Scan de ports par Free.fr

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Messagepar EBH » 09 Juin 2003 22:20

En consultant le journal de snort, je me suis aperçu qu'une adresse scanne régulièrement les ports de ma machine (tous les jours et parfois plusieurs fois). L'adresse IP enregistrée par le journal est 213.228.0.42, or celle-ci correspond à un serveur (www1.free.fr) de chez Free.fr (mon FAI). <BR> <BR> Est-ce que d'autres abonnés Free ont des enregistrements semblables ? <BR> <BR> Pourquoi Free.fr scannerait-il les ports des machines clientes de ces serveurs ?
Avatar de l’utilisateur
EBH
Quartier Maître
Quartier Maître
 
Messages: 18
Inscrit le: 27 Mai 2003 00:00
Localisation: Niort/France

Messagepar cain » 09 Juin 2003 22:33

Passé chez Free depuis peu, je dois dire que pour l'instant mon firewall <IMG SRC="images/smiles/icon_cussing.gif"> ne m'a pas encore signalé de scan de ports provenant de chez eux. <BR> <BR>Ceux qui ont déjà été loggés par le passé dataient du temps ou j'étais chez wanadoo. <BR>Au cas où je constaterai ce genre de "pratiques", je le préciserai ici.
Vous avez dit Linux ? Welcome to the real world ;)
Avatar de l’utilisateur
cain
Amiral
Amiral
 
Messages: 1608
Inscrit le: 19 Avr 2002 00:00
Localisation: val-de-marne

Messagepar Vinzstyle » 09 Juin 2003 22:45

Pareil pour moi, je réinstall IPCop demain et je vous tiens au courant.
Avatar de l’utilisateur
Vinzstyle
Amiral
Amiral
 
Messages: 1150
Inscrit le: 25 Jan 2003 01:00
Localisation: Les Lilas (93)

Messagepar tomtom » 09 Juin 2003 22:48

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-06-09 22:20, EBH a écrit: <BR>En consultant le journal de snort, je me suis aperçu qu'une adresse scanne régulièrement les ports de ma machine (tous les jours et parfois plusieurs fois). L'adresse IP enregistrée par le journal est 213.228.0.42, or celle-ci correspond à un serveur (www1.free.fr) de chez Free.fr (mon FAI). <BR> <BR> Est-ce que d'autres abonnés Free ont des enregistrements semblables ? <BR> <BR> Pourquoi Free.fr scannerait-il les ports des machines clientes de ces serveurs ? <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Ca me parait vraiment très etrange ! <BR> <BR>Qu'entends-tu par scan de ports ? <BR>Ce ne seraitpas à rapprocher de <!-- BBCode u2 Start --><A HREF="http://forums.ixus.net/viewtopic.php?t=4183" TARGET="_blank">ceci</A><!-- BBCode u2 End --> par exemple ? <BR> <BR>SI tu te connectes regulièrement au site <!-- BBCode auto-link start --><a href="http://www.free.fr" target="_blank">www.free.fr</a><!-- BBCode auto-link end --> (webmail par exemple), c'est le plus probable. <BR>Donne un peu les logs, que l'on voie ce que ça donne... <BR> <BR>T.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar hb » 09 Juin 2003 22:49

j'ai cessé de tracer les scan et autres intrusions tellement j'en ai souvent <BR>dans les 12 dernières heures j'ai : <BR>parefeu 22 tentatives <BR>intrusion 26 tentatives <BR> <BR>et pourtant j'ai qu'un modem 56k connecté h24 depuis octobre 2002 <BR>mais aussi une adresse dynamique chez DYNDNS.ORG <BR> <BR>je me demande qui à la patience d'eplucher toutes ses logs chaque jour ? <BR> <BR>perso je ferme les yeux et je fais confiance à IPCOP. <BR> <BR>serait il possible (et à je me tourne vers les Xperts) qu'un utilisateur se fasse passer pour son provider ? <BR> <BR>e vois mal les mecs de free faire du scan sur le net <IMG SRC="images/smiles/icon_confused.gif">
Avatar de l’utilisateur
hb
Amiral
Amiral
 
Messages: 1513
Inscrit le: 06 Juin 2002 00:00
Localisation: Nord Isere, 50kms Lyon

Messagepar tomtom » 10 Juin 2003 05:36

Il est possible de "spoofer" un adresse source. Mais spoofer l'adresse d'un serveur web aussi frequenté que celui de free, c'est chaud. <BR> <BR>Alors soit il s'agit de tentatives de DDoS sur ta machine ou même contre la machine de free elle même en utilisant les adresses d'abonnées.... <BR>Soit il s'agit d'une mauvaises config de Snort qui te remonte des laarmes à caractère erroné. <BR> <BR>Dans tous les cas, si tu n'as pas la patience de lire les log, de les traiter pour filtrer l'info pertinent etc, on ne pourra pas comprendre grand chose et surtout ça ne sert à rien de générer des logs dans ce cas là. C'est justement en cas d eproblème qu'elles sont importaantes, je te conseille d'essayer de les analyser, et de poster les parties interressantes pour que l'on essaye de comprendre ce qui se passe. <BR> <BR>T.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar cgrivet » 10 Juin 2003 07:29

moi j'ai ça pour la journée d'hier... <BR> <BR> <BR>Date: 06/10 05:24:15 Nom: (spp_portscan2) Portscan detected from 213.228.0.42: 1 targets 21 ports in 4 seconds <BR>Priorité: n/a Type: n/a <BR>Informations sur l'adresse IP: 213.228.0.42:80 -> 212.11.35.168:2655 <BR>Références: aucune entrée trouvée SID: n/a <BR> <BR>Date: 06/10 05:38:21 Nom: (spp_portscan2) Portscan detected from 213.228.0.42: 1 targets 21 ports in 6 seconds <BR>Priorité: n/a Type: n/a <BR>Informations sur l'adresse IP: 213.228.0.42:80 -> 212.11.35.168:2814 <BR>Références: aucune entrée trouvée SID: n/a <BR> <BR>Date: 06/10 06:47:41 Nom: (spp_portscan2) Portscan detected from 213.228.0.42: 1 targets 21 ports in 5 seconds <BR>Priorité: n/a Type: n/a <BR>Informations sur l'adresse IP: 213.228.0.42:80 -> 212.11.35.168:2960 <BR>Références: aucune entrée trouvée SID: n/a <BR> <BR>Date: 06/10 07:17:32 Nom: (spp_portscan2) Portscan detected from 213.228.0.42: 1 targets 21 ports in 5 seconds <BR>Priorité: n/a Type: n/a <BR>Informations sur l'adresse IP: 213.228.0.42:80 -> 212.11.35.168:3120 <BR>Références: aucune entrée trouvée SID: n/a <BR> <BR>Date: 06/10 07:20:03 Nom: (spp_portscan2) Portscan detected from 213.228.0.42: 1 targets 21 ports in 9 seconds <BR>Priorité: n/a Type: n/a <BR>Informations sur l'adresse IP: 213.228.0.42:80 -> 212.11.35.168:3159 <BR>Références: aucune entrée trouvée SID: n/a <BR> <BR>
Avatar de l’utilisateur
cgrivet
Major
Major
 
Messages: 71
Inscrit le: 05 Avr 2002 00:00
Localisation: arles 13200

Messagepar tomtom » 10 Juin 2003 08:37

C'est exectement le même genre de log qu'ont remonté les gens sur ixus (voir lien ci-dessus...). <BR> <BR>Est-ce que ces rapports correspondent à des heures où vous surfez sur le site de free? (webmail, etc...) <BR> <BR> <BR>T.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar jimwi » 10 Juin 2003 08:51

J'ai également des scan de port par free.
Avatar de l’utilisateur
jimwi
Major
Major
 
Messages: 81
Inscrit le: 24 Sep 2001 00:00

Messagepar christian67 » 10 Juin 2003 09:21

Bonjour, <BR> <BR>Pareil pour moi, et pourtant je n'utilise ni le site de Free, ni leur webmail. <BR> <BR>Mais actuellement Free, me rempli me logs ... à suivre. <BR> <BR>Christian67
" Il n'existe que 10 sortes de personnes : Ceux qui comprennent le binaire et les autres. "
Avatar de l’utilisateur
christian67
Major
Major
 
Messages: 98
Inscrit le: 29 Mai 2003 00:00
Localisation: Strasbourg

Messagepar nemesis » 10 Juin 2003 09:32

juste une kestion est ce que l'iun de vous a pris la peine de fair un <!-- BBCode auto-link start --><a href="http://www1.free.fr" target="_blank">http://www1.free.fr</a><!-- BBCode auto-link end --> ? <BR> <BR>parce que lorsque l'on fait cela c marrant mais on tombe sur la page d'accueil de free donc à mon avis c'est un joli false positive que vous avez là.... <BR> <BR>de même avec certain serveur irc qui font des scan etc....
ce n'est pas parce qu'il n'y a pas de preuve qu'une chose existe qu'elle ne peut pas exister
Avatar de l’utilisateur
nemesis
Amiral
Amiral
 
Messages: 1954
Inscrit le: 01 Jan 2003 01:00
Localisation: 75

Messagepar doxical » 27 Juin 2003 11:58

un script scanner de port, installer sur un compte d'user free.
Avatar de l’utilisateur
doxical
Matelot
Matelot
 
Messages: 2
Inscrit le: 02 Juin 2002 00:00
Localisation: paris - france

Messagepar nemesis » 27 Juin 2003 12:09

logiquement si j'en crois la doc de free aucun script nécessitant des droit d'exec ne peux etre mis en place sur les compte perso dc...
ce n'est pas parce qu'il n'y a pas de preuve qu'une chose existe qu'elle ne peut pas exister
Avatar de l’utilisateur
nemesis
Amiral
Amiral
 
Messages: 1954
Inscrit le: 01 Jan 2003 01:00
Localisation: 75

Messagepar antolien » 27 Juin 2003 12:28

un peu hors sujet, mais aujourd'hui dans mes logs : <BR> <BR>Nombre total de règles d'intrusion activées pour Juin 27: 156 <BR> <BR>Nombre total d'accès au firewall pour Juin 27: 210 <BR> <BR>Et il n'est que 12:20 ! <BR> <BR>C'est assez impressionnant quand même, vous en avez combien ?
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar Rbill » 27 Juin 2003 13:11

Sur wanadoo: <BR> <BR>Nombre total d'accès au firewall pour Juin 27: 3431 <BR>Nombre total de règles d'intrusion activées pour Juin 27: 29 <BR>
Avatar de l’utilisateur
Rbill
Amiral
Amiral
 
Messages: 1323
Inscrit le: 15 Jan 2003 01:00
Localisation: Hauts de Seine (92)

Suivant

Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)

cron