emule edonkey et le port 4662

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Messagepar pietre » 19 Fév 2004 02:27

Bonsoir à tout le monde <BR> <BR>voilà après avoir longuement parcouru les forums sur ce sujet, ( il y a des centaines de posts!!) <BR>Mes excuses auprès des vétérans pour un sujet qui doit les lasser <BR> <IMG SRC="images/smiles/icon_frown.gif"> <BR> <BR>Je crois avoir (mal) compris les chose suivantes (j'ai smoothwall 2.0): <BR>les ports sont fermés par défaut (4662 par exemple) en entrée mais ouverts en sortie. Je n'utilise ni emule ni tout le reste d'ailleurs (peut etre un syndrome de vieilllesse). <BR> <BR>J'ai vu que les logs de mon firewall étaient bourrés de requête sur le port 4662 <BR>j'ai donc ajouté la ligne suivante dans mon fichier rc.firewall.up <BR>iptables -A INPUT -p TCP -i $RED_DEV --dport 4662 -s 0/0 -j DROP <BR> <BR>tout ça parce que mon serveur qui est un vieux p120 avec 16M de RAM mouilinait sans arret pour inscrire ces logs. <BR> <BR>Ma question est en 2 parties: <BR>1) est ce que ces requetes sur le port 4662 peuvent ralentir mon reseau (bande passante) <BR>2) est il possible de les bloquer complètement?? <BR> <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif"> <BR>Merci de vos réponses <BR>Pietre
"J'en connais un qui s'est marée un grande raie publique il dit quand elle lui fait la nique HA qu'est ce que tu me fais ma raie"
Avatar de l’utilisateur
pietre
Aspirant
Aspirant
 
Messages: 124
Inscrit le: 04 Nov 2003 01:00
Localisation: Grenoble

Messagepar tomtom » 19 Fév 2004 02:34

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>1) est ce que ces requetes sur le port 4662 peuvent ralentir mon reseau (bande passante) <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR>Ca prend un peu de bande passante, mais ce traffic est en general assez diffus et faible donc ca doit passer inapperçu. <BR>C'est quand meme etonnant que tu recoives un tres grand nombre de requetes.... <BR> <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>2) est il possible de les bloquer complètement?? <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR>La commande que tu as entrée bloque completement, cad que les requets ne sont pas traitees par le kernel (enfin pas par sa couche reseau à proprement parler). <BR>Il est impossible de bloquer en amont de ceci (sinon, il faut demander à ton fournisseur d'acces s'il peut faire quelquechose pour toi). <BR> <BR>t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar pietre » 19 Fév 2004 02:53

Merci de ta réponse <BR> <BR>Mais bon maintenant je comprends encore moins <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif"> <BR>j'ai fait les modifs plus haut et j'ai déconnecté et reconnecté l'interface red <BR>(il était 01h00) et voici un court extrait de mes logs: <BR> <BR>Time In Out Proto Source Src Port Destination Dst Port <BR> <BR>01:25:43 ppp0 - TCP 82.224.184.104 4548 81.185.236.68 4662 <BR>01:25:43 ppp0 - TCP 80.14.171.109 60809 81.185.236.68 4662 <BR>01:25:45 ppp0 - TCP 82.224.184.104 4548 81.185.236.68 4662 <BR>01:25:47 ppp0 - TCP 80.14.171.109 60813 81.185.236.68 4662 <BR>01:26:19 ppp0 - TCP 172.183.78.249 4556 81.185.236.68 4662 <BR>01:26:22 ppp0 - TCP 172.183.78.249 4556 81.185.236.68 4662 <BR>01:26:28 ppp0 - TCP 172.183.78.249 4556 81.185.236.68 4662 <BR>01:27:01 ppp0 - TCP 172.183.78.249 4983 81.185.236.68 4662 <BR>01:27:03 ppp0 - TCP 213.23.247.252 4144 81.185.236.68 4662 <BR>01:27:04 ppp0 - TCP 172.183.78.249 4983 81.185.236.68 4662 <BR>01:27:06 ppp0 - TCP 62.62.235.117 47982 81.185.236.68 4662 <BR>01:27:06 ppp0 - TCP 213.23.247.252 4144 81.185.236.68 4662 <BR>01:27:10 ppp0 - TCP 172.183.78.249 4983 81.185.236.68 4662 <BR>01:27:45 ppp0 - TCP 172.183.78.249 1282 81.185.236.68 4662 <BR>01:27:48 ppp0 - TCP 172.183.78.249 1282 81.185.236.68 4662 <BR>01:27:54 ppp0 - TCP 172.183.78.249 1282 81.185.236.68 4662 <BR>01:28:53 ppp0 - TCP 82.65.63.22 49754 81.185.236.68 4662 <BR> <BR>apparemment je vois toujour ces requetes <BR> <BR>je crois que je vais aller réfléchir au lit:-( <BR> <BR>Merci encore <BR>Pietre <BR>
"J'en connais un qui s'est marée un grande raie publique il dit quand elle lui fait la nique HA qu'est ce que tu me fais ma raie"
Avatar de l’utilisateur
pietre
Aspirant
Aspirant
 
Messages: 124
Inscrit le: 04 Nov 2003 01:00
Localisation: Grenoble

Messagepar micatod » 30 Déc 2004 12:00

c peu etre un trojan ki fait ces requetes... de l'exterrieur il est vu comme ouvert le port?. mais je comprends pas bien tu as caché le port et il est quand meme vu comme ouvert? Peut etre un trojan ki a pris controle de ton firewall...?

les requetes sont fait d'un ordi local vers ton serveur ?

moi je serais toi je laisserais pas ca comme ca, meme si c bloqué, c kan meme bizarre t'as regardé sur la machine kel service demandait cette requete genre avec TPCview ?

répond sur mon mail
micatod@koprojetc.org
micatod
Matelot
Matelot
 
Messages: 2
Inscrit le: 30 Déc 2004 11:52


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)

cron