Des abonnés Free testent mes ports.

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Des abonnés Free testent mes ports.

Messagepar jotad » 09 Sep 2004 17:37

Bonjour à toutes zé à tous,

Les logs de mon routeur/FW m'informe que plusieurs IP Free (j'ai la liste) test les ports 135 et 445 sur l'IP de mon abonnement Freebox.

Question : pourquoi ? que puis-je faire ?

Merci.
" Un barbu, c'est un barbu. Trois barbus, c'est des Barbouzes ! "
Avatar de l’utilisateur
jotad
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 180
Inscrit le: 18 Août 2003 00:00
Localisation: Là où le tram y marche pas !

Re: Des abonnés Free test mes ports.

Messagepar tomtom » 09 Sep 2004 17:51

jotad a écrit:Question : pourquoi ?

plusieurs possibilités. A priori, ce sont des robots qui cherchent des machines potentiellemtn vulnérables à des attaques sur des failles windos. Ce peut etre des virus aussi. L'objectif est de prendre une partie du controle de ton poste, soit juste pour le plaisir de t'embeter (newbie en mal de sensations), soit pour avoir des "armes" pour une attaque d eplus grande echelle (DDOS, vers...)

que puis-je faire ?

En gros, ecrire au ABUSE de free pour leur signaler les problèmes, avc les ip et les heures des scans. mais il est probable que ca ne donnera aucune suite. A priori, si tu vois les scans, c'est que tu as un detecteur d'intrusion, je suppose donc aussi un firewall.. A priori tu n'es pas en danger immediat.

T.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar jotad » 09 Sep 2004 17:59

Merci pour l'info,

J'ai bien pensé à écrire à l'ABUSE mais je doute franchement du résultat.

En fait (pour préciser un peu mon équipement) :

Freebox -> netgear RP614V2 -> PC (XP Home)

Pas de P2P ni de tout cela.

Si j'ai bien compris, je ne risque pas grand chose alors !

merci
" Un barbu, c'est un barbu. Trois barbus, c'est des Barbouzes ! "
Avatar de l’utilisateur
jotad
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 180
Inscrit le: 18 Août 2003 00:00
Localisation: Là où le tram y marche pas !

Messagepar micjack » 10 Sep 2004 01:20

Salut,

Oui, mais il serrait interressant aussi de connaitre les port sources... Les a tu?
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar Chikouille » 10 Sep 2004 02:26

hum...je suis ausi chez FREE et j'ai litteralement halluciné le jour ou j'ai passé mon modem-routeur en bridge : des tonnes de logs

Pour les ports 135,445 etc, tu peut inserer une regle de drop dans prerouting pour maintenir la visibilité dans les logs

Mais chez moi, FREE1024, peine perdue car j'ai jusqu'a 8000 acces/jour sur des ports divers (mais pas des ports de services), avec des ports sources divers, des ip bien sur differentes. Les paquets se repetent 5 a 10 fois. Chose etrange, au meme moment, deux adresses ip differentes visent le meme port cible (cela arrive regulierement)
Je considere cela comme des logiciels p2p qui cherchent à recontacter des clients qui avaient auparavant mon ip
Je n'ai pourtant pas utilisé de p2p depuis au bas mot 3 mois, et j'imagine que tout ce traffic "pollue" ma ligne, d'autant plus que les logs que je voie sont volontairement limités en nombre.

Je ne m'imagine pas envoyer 800 adresses ip au service "ABUSE" et je ne vois pas ce que je peut faire.
Je compte essayer PSAD, sur le papier ca a l air pas mal, peut etre que ca calmera les logs.

a+
Avatar de l’utilisateur
Chikouille
Second Maître
Second Maître
 
Messages: 42
Inscrit le: 10 Juin 2004 13:59

Messagepar jotad » 10 Sep 2004 09:13

micjack a écrit:Salut,

Oui, mais il serrait interressant aussi de connaitre les port sources... Les a tu?


Hello,

Non, à priori rien sur les ports sources. Ci-dessous un extrait des logs (volontairement tronqués) :

1| <SPI: non-existing connection> <TCP>Source=82.225.xxx.xx, Destination=82.225.xx.xxx:135
2| <SPI: non-existing connection> <TCP>Source=82.225.xxx.xx, Destination=82.225.xx.xxx:135
3| <SPI: non-existing connection> <TCP>Source=82.225.xxx.xxx, Destination=82.225.xx.xxx:445
4| <SPI: non-existing connection> <TCP>Source=82.225.xxx.xxx, Destination=82.225.xx.xxx:445
5| <SPI: non-existing connection> <TCP>Source=82.225.xx.xxx, Destination=82.225.xx.xxx:445
6| <SPI: non-existing connection> <TCP>Source=82.225.xx.xxx, Destination=82.225.xx.xxx:445
7| <SPI: non-existing connection> <TCP>Source=82.225.xx.xx, Destination=82.225.xx.xxx:135
8| <SPI: non-existing connection> <TCP>Source=82.225.xx.xx, Destination=82.225.xx.xxx:135
9| <SPI: non-existing connection> <TCP>Source=82.225.xxx.xx, Destination=82.225.xx.xxx:445
10| <SPI: non-existing connection> <TCP>Source=82.225.xxx.xx, Destination=82.225.xx.xxx:445

Il y en a 128 lignes comme cela dans le log d'hier.

Merci (encore) à tous pour vos infos.
" Un barbu, c'est un barbu. Trois barbus, c'est des Barbouzes ! "
Avatar de l’utilisateur
jotad
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 180
Inscrit le: 18 Août 2003 00:00
Localisation: Là où le tram y marche pas !

Messagepar Chikouille » 10 Sep 2004 13:14

tu n'as pas indiqué le port source des paquets, uniquement ip:port cible

mais ne t'inquiete pas pour ce traffic, il est a mon avis inoffensif
Avatar de l’utilisateur
Chikouille
Second Maître
Second Maître
 
Messages: 42
Inscrit le: 10 Juin 2004 13:59

Messagepar loic » 10 Sep 2004 14:30

Salut jotad,
Je suis dans le même cas que toi. J'ai déja posté sur le même sujet 3 ou 4 posts plus bas.
Mon intrus à une adresse Free à savoir 82.228.70.172 et ce matin il à scanné pas mal de mes ports, 36 fois de 09:00 à12:00. Je l'ai signalé à Free@abuse (sur le site de Free) mais curieusement mon message n'est apparemment pas passé.
Je pense que je vais le signaler à NetworkAbuse
If I have seen further, it is by standing on the shouders of giants. Isaac Newton.
Avatar de l’utilisateur
loic
Major
Major
 
Messages: 76
Inscrit le: 12 Nov 2003 01:00
Localisation: 31 Blagnac

Messagepar Methos_Hi » 10 Sep 2004 14:45

Pour les ports 135 et 445, il n'est pas certain que cela soit des attaques et que le trafic soit volontaire.

Il s'agit peut-être d'un pc windows directement relié à la freebox ou modem (sans routeur) donc directement adressé avec une adresse public et sans firewall (ou mal configuré) qui cherche comme tous les windows à savoir ce qui se passe ou ce qu'il y a sur le réseau surlequel il est connecté et le réseau en question est celui de Free.

Si tu veux tenter d'avoir une réponse, tente un net send sur l'@ip en précisant brièvement le problème et un moyen de te joindre. Genre une adresse mail jetable ou ton numéro freebox, en fonction de ta paranoïa.


A savoir que moi aussi, j'ai des 135 et 445 (beaucoup) et je m'en fout pour le moment!!
Avatar de l’utilisateur
Methos_Hi
Amiral
Amiral
 
Messages: 1520
Inscrit le: 07 Fév 2004 01:00
Localisation: Ile de France

Messagepar pulsergene » 10 Sep 2004 14:49

bonjour

si tu en as assez de te faire scanner
ecrit a abuse@free.fr :idea:
Avatar de l’utilisateur
pulsergene
Amiral
Amiral
 
Messages: 1314
Inscrit le: 14 Oct 2003 00:00
Localisation: cambrousse city

Messagepar micjack » 10 Sep 2004 20:14

Apres, il est possible que ce soit un ver du style Mydoom, Blaster,Sasser ayant infectés ces machines...

D'ou ma question des ports sources...
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar Chikouille » 11 Sep 2004 02:25

bien vu le coup de la machine windows sans firewall et le netsend pour tester

:idea:
Avatar de l’utilisateur
Chikouille
Second Maître
Second Maître
 
Messages: 42
Inscrit le: 10 Juin 2004 13:59

Messagepar loic » 11 Sep 2004 10:14

Methos_Hi a écrit:Si tu veux tenter d'avoir une réponse, tente un net send sur l'@ip en précisant brièvement le problème et un moyen de te joindre. Genre une adresse mail jetable ou ton numéro freebox, en fonction de ta paranoïa.

Tu peux me donner la syntaxe exacte ?
Quand je fais une tentative ça me retourne le texte de net help dans lequel je trouve pas net send.
Il est vrai que je n'ai que Win98.
If I have seen further, it is by standing on the shouders of giants. Isaac Newton.
Avatar de l’utilisateur
loic
Major
Major
 
Messages: 76
Inscrit le: 12 Nov 2003 01:00
Localisation: 31 Blagnac

Messagepar duval03 » 11 Sep 2004 11:23

Rappel d'une explication deja diffusé sur le forum


Leport 445 est un des nouveaux ports utilisés par Windows 2000 pour le partage de fichier.

En effet, une des nouvelles fonctionalités de W2K est la possibilité d'utiliser les partages de fichiers directement au dessus de TCP/IP sans utiliser la couche Netbios (port 137, 138(UDP) et 139 (TCP)).

Maintenant, lors d'une connexion à un partage de fichier, voilà ce qui se passe:

Si NetBios est activé sur le client, ce dernier esseaira toujours de se connecter au serveur en utilisant simultanément les ports 139 et 445. S'il y a une réponse sur le port 445, il envoie le drapeau TCP RESET au port 139, et continue sa cession SMB (Server Message Block) en utilisant uniquement le port 445. S'il n'y a pas de réponse sur le port 445, il continue sa cession SMB sur le port 139 si celui-ci répond. Si aucun des deux ports répond, la cession échoue totalement.

Si NetBios n'est pas activé sur le client, ce dernier essaierai toujours de se connecter uniquement sur le port 445. Si le serveur répond sur ce port, la cession s'établira et continuera sur ce port. S'il ne répond pas, la cession échoue. C'est le cas notament si le serveur tourne sous NT (qui ne supporte que le partage de fichier au dessus de la couche NetBios).

Si le serveur supporte NetBios, il écoute sur les ports UDP 137 et 138 mais aussi sur les ports TCP 139 et 445.
Si le serveur ne supporte pas NetBios, il écoute uniquement sur le port TCP 445.

Enfin, si tu n'utilise pas les partages réseau, tu peux directement les désactiver au niveau de la configuration de ta carte réseau en DESACTIVANT les services "Clients pour les réseaux Microsoft" et "Partage de fichiers et d'imprimantes pour les réseaux Microsoft". Je dis bien désactiver, car si tu les supprime tu risque d'avoir de drôles (enfin pas si drôles) de surprises que ça.
duval03
Matelot
Matelot
 
Messages: 1
Inscrit le: 11 Sep 2004 11:17

Messagepar Methos_Hi » 11 Sep 2004 11:40

loic a écrit:Il est vrai que je n'ai que Win98.


Oups !! Je crois bien que çà n'existe pas dans Win98, du moins pas de base.
Avatar de l’utilisateur
Methos_Hi
Amiral
Amiral
 
Messages: 1520
Inscrit le: 07 Fév 2004 01:00
Localisation: Ile de France

Suivant

Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité