Scan de ports par Free.fr

[EBH]

En consultant le journal de snort, je me suis aperçu qu'une adresse scanne régulièrement les ports de ma machine (tous les jours et parfois plusieurs fois). L'adresse IP enregistrée par le journal est 213.228.0.42, or celle-ci correspond à un serveur (www1.free.fr) de chez Free.fr (mon FAI). <BR> <BR> Est-ce que d'autres abonnés Free ont des enregistrements semblables ? <BR> <BR> Pourquoi Free.fr scannerait-il les ports des machines clientes de ces serveurs ?

[cain]

Passé chez Free depuis peu, je dois dire que pour l'instant mon firewall <IMG SRC="images/smiles/icon_cussing.gif"> ne m'a pas encore signalé de scan de ports provenant de chez eux. <BR> <BR>Ceux qui ont déjà été loggés par le passé dataient du temps ou j'étais chez wanadoo. <BR>Au cas où je constaterai ce genre de "pratiques", je le préciserai ici.

[Vinzstyle]

Pareil pour moi, je réinstall IPCop demain et je vous tiens au courant.

[tomtom]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-06-09 22:20, EBH a écrit: <BR>En consultant le journal de snort, je me suis aperçu qu'une adresse scanne régulièrement les ports de ma machine (tous les jours et parfois plusieurs fois). L'adresse IP enregistrée par le journal est 213.228.0.42, or celle-ci correspond à un serveur (www1.free.fr) de chez Free.fr (mon FAI). <BR> <BR> Est-ce que d'autres abonnés Free ont des enregistrements semblables ? <BR> <BR> Pourquoi Free.fr scannerait-il les ports des machines clientes de ces serveurs ? <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Ca me parait vraiment très etrange ! <BR> <BR>Qu'entends-tu par scan de ports ? <BR>Ce ne seraitpas à rapprocher de <!-- BBCode u2 Start --><A HREF="http://forums.ixus.net/viewtopic.php?t=4183" TARGET="_blank">ceci</A><!-- BBCode u2 End --> par exemple ? <BR> <BR>SI tu te connectes regulièrement au site <!-- BBCode auto-link start --><a href="http://www.free.fr" target="_blank">www.free.fr</a><!-- BBCode auto-link end --> (webmail par exemple), c'est le plus probable. <BR>Donne un peu les logs, que l'on voie ce que ça donne... <BR> <BR>T.

[hb]

j'ai cessé de tracer les scan et autres intrusions tellement j'en ai souvent <BR>dans les 12 dernières heures j'ai : <BR>parefeu 22 tentatives <BR>intrusion 26 tentatives <BR> <BR>et pourtant j'ai qu'un modem 56k connecté h24 depuis octobre 2002 <BR>mais aussi une adresse dynamique chez DYNDNS.ORG <BR> <BR>je me demande qui à la patience d'eplucher toutes ses logs chaque jour ? <BR> <BR>perso je ferme les yeux et je fais confiance à IPCOP. <BR> <BR>serait il possible (et à je me tourne vers les Xperts) qu'un utilisateur se fasse passer pour son provider ? <BR> <BR>e vois mal les mecs de free faire du scan sur le net <IMG SRC="images/smiles/icon_confused.gif">

[tomtom]

Il est possible de "spoofer" un adresse source. Mais spoofer l'adresse d'un serveur web aussi frequenté que celui de free, c'est chaud. <BR> <BR>Alors soit il s'agit de tentatives de DDoS sur ta machine ou même contre la machine de free elle même en utilisant les adresses d'abonnées.... <BR>Soit il s'agit d'une mauvaises config de Snort qui te remonte des laarmes à caractère erroné. <BR> <BR>Dans tous les cas, si tu n'as pas la patience de lire les log, de les traiter pour filtrer l'info pertinent etc, on ne pourra pas comprendre grand chose et surtout ça ne sert à rien de générer des logs dans ce cas là. C'est justement en cas d eproblème qu'elles sont importaantes, je te conseille d'essayer de les analyser, et de poster les parties interressantes pour que l'on essaye de comprendre ce qui se passe. <BR> <BR>T.

[cgrivet]

moi j'ai ça pour la journée d'hier... <BR> <BR> <BR>Date: 06/10 05:24:15 Nom: (spp_portscan2) Portscan detected from 213.228.0.42: 1 targets 21 ports in 4 seconds <BR>Priorité: n/a Type: n/a <BR>Informations sur l'adresse IP: 213.228.0.42:80 -> 212.11.35.168:2655 <BR>Références: aucune entrée trouvée SID: n/a <BR> <BR>Date: 06/10 05:38:21 Nom: (spp_portscan2) Portscan detected from 213.228.0.42: 1 targets 21 ports in 6 seconds <BR>Priorité: n/a Type: n/a <BR>Informations sur l'adresse IP: 213.228.0.42:80 -> 212.11.35.168:2814 <BR>Références: aucune entrée trouvée SID: n/a <BR> <BR>Date: 06/10 06:47:41 Nom: (spp_portscan2) Portscan detected from 213.228.0.42: 1 targets 21 ports in 5 seconds <BR>Priorité: n/a Type: n/a <BR>Informations sur l'adresse IP: 213.228.0.42:80 -> 212.11.35.168:2960 <BR>Références: aucune entrée trouvée SID: n/a <BR> <BR>Date: 06/10 07:17:32 Nom: (spp_portscan2) Portscan detected from 213.228.0.42: 1 targets 21 ports in 5 seconds <BR>Priorité: n/a Type: n/a <BR>Informations sur l'adresse IP: 213.228.0.42:80 -> 212.11.35.168:3120 <BR>Références: aucune entrée trouvée SID: n/a <BR> <BR>Date: 06/10 07:20:03 Nom: (spp_portscan2) Portscan detected from 213.228.0.42: 1 targets 21 ports in 9 seconds <BR>Priorité: n/a Type: n/a <BR>Informations sur l'adresse IP: 213.228.0.42:80 -> 212.11.35.168:3159 <BR>Références: aucune entrée trouvée SID: n/a <BR> <BR>

[tomtom]

C'est exectement le même genre de log qu'ont remonté les gens sur ixus (voir lien ci-dessus...). <BR> <BR>Est-ce que ces rapports correspondent à des heures où vous surfez sur le site de free? (webmail, etc...) <BR> <BR> <BR>T.

[jimwi]

J'ai également des scan de port par free.

[christian67]

Bonjour, <BR> <BR>Pareil pour moi, et pourtant je n'utilise ni le site de Free, ni leur webmail. <BR> <BR>Mais actuellement Free, me rempli me logs ... à suivre. <BR> <BR>Christian67

[nemesis]

juste une kestion est ce que l'iun de vous a pris la peine de fair un <!-- BBCode auto-link start --><a href="http://www1.free.fr" target="_blank">http://www1.free.fr</a><!-- BBCode auto-link end --> ? <BR> <BR>parce que lorsque l'on fait cela c marrant mais on tombe sur la page d'accueil de free donc à mon avis c'est un joli false positive que vous avez là.... <BR> <BR>de même avec certain serveur irc qui font des scan etc....

[doxical]

un script scanner de port, installer sur un compte d'user free.

[nemesis]

logiquement si j'en crois la doc de free aucun script nécessitant des droit d'exec ne peux etre mis en place sur les compte perso dc...

[antolien]

un peu hors sujet, mais aujourd'hui dans mes logs : <BR> <BR>Nombre total de règles d'intrusion activées pour Juin 27: 156 <BR> <BR>Nombre total d'accès au firewall pour Juin 27: 210 <BR> <BR>Et il n'est que 12:20 ! <BR> <BR>C'est assez impressionnant quand même, vous en avez combien ?

[Rbill]

Sur wanadoo: <BR> <BR>Nombre total d'accès au firewall pour Juin 27: 3431 <BR>Nombre total de règles d'intrusion activées pour Juin 27: 29 <BR>