Scan de chez Krosoft

par **kaulian** » 28 Juil 2003 11:01

voila le toppo hier j'ai installé mon serveur web avec snort et aujourd'hui dans le rapport voila ce que j'ai 07/27-22:08:19.993748 TCP 213.199.154.11:80 -> 81.48.141.221:33346 tgts: 1 ports: 21 flags: ***A**S* event_id: 0 07/27-22:08:19.998698 TCP 213.199.154.11:80 -> 81.48.141.221:33347 tgts: 1 ports: 22 flags: ***A**S* event_id: 18 07/27-22:08:20.006089 TCP 213.199.154.11:80 -> 81.48.141.221:33351 tgts: 1 ports: 23 flags: ***A**S* event_id: 18 07/27-22:08:20.014705 TCP 213.199.154.11:80 -> 81.48.141.221:33352 tgts: 1 ports: 24 flags: ***A**S* event_id: 18 07/27-22:08:20.022305 TCP 213.199.154.11:80 -> 81.48.141.221:33353 tgts: 1 ports: 25 flags: ***A**S* event_id: 18 07/27-22:08:20.210566 TCP 213.199.154.11:80 -> 81.48.141.221:33355 tgts: 1 ports: 26 flags: ***A**S* event_id: 18 07/27-22:08:20.541955 TCP 213.199.154.11:80 -> 81.48.141.221:33357 tgts: 1 ports: 27 flags: ***A**S* event_id: 18 07/27-22:08:20.562649 TCP 213.199.154.11:80 -> 81.48.141.221:33359 tgts: 1 ports: 28 flags: ***A**S* event_id: 18 07/27-22:08:20.643184 TCP 213.199.154.11:80 -> 81.48.141.221:33361 tgts: 1 ports: 29 flags: ***A**S* event_id: 18 07/27-22:08:20.649126 TCP 213.199.154.11:80 -> 81.48.141.221:33363 tgts: 1 ports: 30 flags: ***A**S* event_id: 18 07/27-22:08:20.927895 TCP 213.199.154.11:80 -> 81.48.141.221:33365 tgts: 1 ports: 31 flags: ***A**S* event_id: 18 07/27-22:08:21.194358 TCP 213.199.154.11:80 -> 81.48.141.221:33370 tgts: 1 ports: 32 flags: ***A**S* event_id: 18 07/27-22:08:21.202246 TCP 213.199.154.11:80 -> 81.48.141.221:33371 tgts: 1 ports: 33 flags: ***A**S* event_id: 18 07/27-22:08:21.209841 TCP 213.199.154.11:80 -> 81.48.141.221:33372 tgts: 1 ports: 34 flags: ***A**S* event_id: 18 07/27-22:08:21.459421 TCP 213.199.154.11:80 -> 81.48.141.221:33375 tgts: 1 ports: 35 flags: ***A**S* event_id: 18 07/27-22:08:21.462910 TCP 213.199.154.11:80 -> 81.48.141.221:33378 tgts: 1 ports: 36 flags: ***A**S* event_id: 18 07/27-22:08:21.465098 TCP 213.199.154.11:80 -> 81.48.141.221:33379 tgts: 1 ports: 37 flags: ***A**S* event_id: 18 L'IP correspond a Microsoft , j'aimerais savoir ce que ca veux dire tout ces scan de leurs provenance et quels sont ces ports ???

par **MasterSleepy** » 28 Juil 2003 11:08

Ce serait pas un coup de messenger??? Ca doit être les port soit du transfert de fichier ou voix.

par **arapaho** » 28 Juil 2003 11:11

L'adresse provenant de Microsoft ne veux rien dire. Avec certains utilitaires de scans, je pense par exemple à nmap, tu peux forger des adresses ip pour faire croire que le scan viens de quelqu'un d'autre. Afin de te rendre compte de ce qui se passe avec ces scans de ports, tu peux essayer de lancer un netcat sur une serie de ces ports. En fait netcat va ecouter sur ces ports et tu auras alors la possibilité de logger les activités. Par exemple, utilisation de netcat sur plusieurs ports avec un fichier de log par port: # nc -l -p 33346 > port33346.log # nc -l -p 33351 > port33351.log # nc -l -p 33371 > port33371.log etc ... Si jamais un nouveau scan se réalise, netcat va alors logger tout ce qui se passe pour les ports donnés.

par **WaVeR** » 29 Juil 2003 13:48

Je pense que c un scan normal <IMG SRC="images/smiles/icon_boxe2.gif"> , vu qu'il a scané les ports avec un ordre chronologic le mieux c un bon firewall ki te rendra invisible au scan (Je pense a BlackIce pour les systemes WIN)

par **Breizh-Tux** » 29 Juil 2003 13:56

J'ai recupérer l'ip en question et dans mozilla <a href="http://213.199.154.11:80" target="_blank">http://213.199.154.11:80</a> et me voila sur : <a href="http://emealogin.msn.com/pplogin.asp?strRS=http%3A%2F%2F213%2E199%2E154%2E11%2FDefault%2Easp" target="_blank">http://emealogin.msn.com/pplogin.asp?strRS=http%3A%2F%2F213%2E199%2E154%2E11%2FDefault%2Easp</a> Je pense donc comme MasterSleepy que c'est du MSN ... <IMG SRC="images/smiles/icon_biggrin.gif">

par **kaulian** » 30 Juil 2003 10:42

merci pour ces réponses ...

Scan de chez Krosoft

Qui est en ligne ?