Je viens d'acquérir un modem/routeur Belkin ADSL2+ et la connexion marche
bien.
Seulement, j'ai des msg sur le routeur du genre klogd:
Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=195.36.205.245 DST=195.36.193.131
LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=23225 DF PROTO=TCP SPT=1428 DPT=445
WINDOW=65535 RES=0x00 SYN URGP=0
Est-ce une tentative d'intrusion ou une intrusion réussie ?
Faut-il faire confiance au firewall du modem ?
Si non, peut-on en prendre le contrôle via iptables ?
D'avane merci,
Fabien
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Jacques L'helgoualc'h
Fabien R a écrit, mardi 17 mai 2005, à 22:10 :
Salut à tous,
Je viens d'acquérir un modem/routeur Belkin ADSL2+ et la connexion marche bien. Seulement, j'ai des msg sur le routeur du genre klogd: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC5.36.205.245 DST5.36.193.131 LENH TOS=0x00 PREC=0x00 TTL7 ID#225 DF PROTO=TCP SPT28 DPTD5 WINDOWe535 RES=0x00 SYN URGP=0
Est-ce une tentative d'intrusion
google « 445 worm » => Sasser, un ver qui attaque le côté obscur sur le port tcp/445 ;
ou une intrusion réussie ?
Tu aurais un XP ou W2000 dans ton routeur ??? Bah non, c'est trop cher pour lui, et il ne doit pas avoir le bon processeur.
Faut-il faire confiance au firewall du modem ?
à force d'enregistrer ce bruit de fond, il va saturer son /var/log/ ... autant ignorer les tentatives de connexion sur les ports comme 135, 13[789], 445, et j'en oublie.
Si non, peut-on en prendre le contrôle via iptables ?
Qui ça ? Toi, ou ceux de l'autre côté ?
D'avane merci,
de rien, -- Jacques L'helgoualc'h
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Fabien R a écrit, mardi 17 mai 2005, à 22:10 :
Salut à tous,
Je viens d'acquérir un modem/routeur Belkin ADSL2+ et la connexion marche
bien.
Seulement, j'ai des msg sur le routeur du genre klogd:
Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC5.36.205.245 DST5.36.193.131
LENH TOS=0x00 PREC=0x00 TTL7 ID#225 DF PROTO=TCP SPT28 DPTD5
WINDOWe535 RES=0x00 SYN URGP=0
Est-ce une tentative d'intrusion
google « 445 worm » => Sasser, un ver qui attaque le côté obscur sur
le port tcp/445 ;
ou une intrusion réussie ?
Tu aurais un XP ou W2000 dans ton routeur ??? Bah non, c'est trop cher
pour lui, et il ne doit pas avoir le bon processeur.
Faut-il faire confiance au firewall du modem ?
à force d'enregistrer ce bruit de fond, il va saturer son /var/log/ ...
autant ignorer les tentatives de connexion sur les ports comme 135,
13[789], 445, et j'en oublie.
Si non, peut-on en prendre le contrôle via iptables ?
Qui ça ? Toi, ou ceux de l'autre côté ?
D'avane merci,
de rien,
--
Jacques L'helgoualc'h
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Je viens d'acquérir un modem/routeur Belkin ADSL2+ et la connexion marche bien. Seulement, j'ai des msg sur le routeur du genre klogd: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC5.36.205.245 DST5.36.193.131 LENH TOS=0x00 PREC=0x00 TTL7 ID#225 DF PROTO=TCP SPT28 DPTD5 WINDOWe535 RES=0x00 SYN URGP=0
Est-ce une tentative d'intrusion
google « 445 worm » => Sasser, un ver qui attaque le côté obscur sur le port tcp/445 ;
ou une intrusion réussie ?
Tu aurais un XP ou W2000 dans ton routeur ??? Bah non, c'est trop cher pour lui, et il ne doit pas avoir le bon processeur.
Faut-il faire confiance au firewall du modem ?
à force d'enregistrer ce bruit de fond, il va saturer son /var/log/ ... autant ignorer les tentatives de connexion sur les ports comme 135, 13[789], 445, et j'en oublie.
Si non, peut-on en prendre le contrôle via iptables ?
Qui ça ? Toi, ou ceux de l'autre côté ?
D'avane merci,
de rien, -- Jacques L'helgoualc'h
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Fabien R
On Tuesday 17 May 2005 23:40, Jacques L'helgoualc'h wrote:
Fabien R a écrit, mardi 17 mai 2005, à 22:10 : > Salut à tous, > > Je viens d'acquérir un modem/routeur Belkin ADSL2+ et la connexion marche > bien. > Seulement, j'ai des msg sur le routeur du genre klogd: > Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC5.36.205.245 > DST5.36.193.131 LENH TOS=0x00 PREC=0x00 TTL7 ID#225 DF > PROTO=TCP SPT28 DPTD5 WINDOWe535 RES=0x00 SYN URGP=0 > > Est-ce une tentative d'intrusion
google « 445 worm » => Sasser, un ver qui attaque le côté obscur sur le port tcp/445 ;
> ou une intrusion réussie ?
Tu aurais un XP ou W2000 dans ton routeur ??? Bah non, c'est trop cher pour lui, et il ne doit pas avoir le bon processeur.
Nan. A priori, c'est du linux (msg klogd).
> Faut-il faire confiance au firewall du modem ?
à force d'enregistrer ce bruit de fond, il va saturer son /var/log/ ... autant ignorer les tentatives de connexion sur les ports comme 135, 13[789], 445, et j'en oublie.
Donc ce sont seulement des tentatives.
> Si non, peut-on en prendre le contrôle via iptables ?
Qui ça ? Toi, ou ceux de l'autre côté ?
Moi bien sûr. Avant j'avais un modem interne et je voyais tout ce qui se passait. Maintenant, je fais confiance au routeur...
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
On Tuesday 17 May 2005 23:40, Jacques L'helgoualc'h wrote:
Fabien R a écrit, mardi 17 mai 2005, à 22:10 :
> Salut à tous,
>
> Je viens d'acquérir un modem/routeur Belkin ADSL2+ et la connexion marche
> bien.
> Seulement, j'ai des msg sur le routeur du genre klogd:
> Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC5.36.205.245
> DST5.36.193.131 LENH TOS=0x00 PREC=0x00 TTL7 ID#225 DF
> PROTO=TCP SPT28 DPTD5 WINDOWe535 RES=0x00 SYN URGP=0
>
> Est-ce une tentative d'intrusion
google « 445 worm » => Sasser, un ver qui attaque le côté obscur sur
le port tcp/445 ;
> ou une intrusion réussie ?
Tu aurais un XP ou W2000 dans ton routeur ??? Bah non, c'est trop cher
pour lui, et il ne doit pas avoir le bon processeur.
Nan. A priori, c'est du linux (msg klogd).
> Faut-il faire confiance au firewall du modem ?
à force d'enregistrer ce bruit de fond, il va saturer son /var/log/ ...
autant ignorer les tentatives de connexion sur les ports comme 135,
13[789], 445, et j'en oublie.
Donc ce sont seulement des tentatives.
> Si non, peut-on en prendre le contrôle via iptables ?
Qui ça ? Toi, ou ceux de l'autre côté ?
Moi bien sûr. Avant j'avais un modem interne et je voyais tout ce qui se
passait. Maintenant, je fais confiance au routeur...
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
On Tuesday 17 May 2005 23:40, Jacques L'helgoualc'h wrote:
Fabien R a écrit, mardi 17 mai 2005, à 22:10 : > Salut à tous, > > Je viens d'acquérir un modem/routeur Belkin ADSL2+ et la connexion marche > bien. > Seulement, j'ai des msg sur le routeur du genre klogd: > Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC5.36.205.245 > DST5.36.193.131 LENH TOS=0x00 PREC=0x00 TTL7 ID#225 DF > PROTO=TCP SPT28 DPTD5 WINDOWe535 RES=0x00 SYN URGP=0 > > Est-ce une tentative d'intrusion
google « 445 worm » => Sasser, un ver qui attaque le côté obscur sur le port tcp/445 ;
> ou une intrusion réussie ?
Tu aurais un XP ou W2000 dans ton routeur ??? Bah non, c'est trop cher pour lui, et il ne doit pas avoir le bon processeur.
Nan. A priori, c'est du linux (msg klogd).
> Faut-il faire confiance au firewall du modem ?
à force d'enregistrer ce bruit de fond, il va saturer son /var/log/ ... autant ignorer les tentatives de connexion sur les ports comme 135, 13[789], 445, et j'en oublie.
Donc ce sont seulement des tentatives.
> Si non, peut-on en prendre le contrôle via iptables ?
Qui ça ? Toi, ou ceux de l'autre côté ?
Moi bien sûr. Avant j'avais un modem interne et je voyais tout ce qui se passait. Maintenant, je fais confiance au routeur...
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Jacques L'helgoualc'h
Fabien R a écrit, mercredi 18 mai 2005, à 20:41 :
On Tuesday 17 May 2005 23:40, Jacques L'helgoualc'h wrote:
[...]
Nan. A priori, c'est du linux (msg klogd).
Oui, comme beaucoup de petits routeurs.
> > Faut-il faire confiance au firewall du modem ? > > à force d'enregistrer ce bruit de fond, il va saturer son /var/log/ ... > autant ignorer les tentatives de connexion sur les ports comme 135, > 13[789], 445, et j'en oublie. Donc ce sont seulement des tentatives.
Vouées à l'échec, Sasser n'attaque que les serveurs microsoft. Pour les ports NetBIOS, il faudrait vraiment faire exprès d'ouvrir Samba en partage à tout le nain Ternet à travers ton routeur ;)
> > Si non, peut-on en prendre le contrôle via iptables ? > > Qui ça ? Toi, ou ceux de l'autre côté ? Moi bien sûr. Avant j'avais un modem interne et je voyais tout ce qui se passait. Maintenant, je fais confiance au routeur...
Tu dois bien avoir une interface de configuration côté intérieur (http ou telnet) ? Vérifie que c'est fermé à l'extérieur, tout de même.
Pour ton Belkin, je ne sais pas, demande à Google. Le routeur le mieux doté de ce point de vue semble être le Linksys WRT54. -- Jacques L'helgoualc'h
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Fabien R a écrit, mercredi 18 mai 2005, à 20:41 :
On Tuesday 17 May 2005 23:40, Jacques L'helgoualc'h wrote:
[...]
Nan. A priori, c'est du linux (msg klogd).
Oui, comme beaucoup de petits routeurs.
> > Faut-il faire confiance au firewall du modem ?
>
> à force d'enregistrer ce bruit de fond, il va saturer son /var/log/ ...
> autant ignorer les tentatives de connexion sur les ports comme 135,
> 13[789], 445, et j'en oublie.
Donc ce sont seulement des tentatives.
Vouées à l'échec, Sasser n'attaque que les serveurs microsoft. Pour les
ports NetBIOS, il faudrait vraiment faire exprès d'ouvrir Samba en
partage à tout le nain Ternet à travers ton routeur ;)
> > Si non, peut-on en prendre le contrôle via iptables ?
>
> Qui ça ? Toi, ou ceux de l'autre côté ?
Moi bien sûr. Avant j'avais un modem interne et je voyais tout ce qui se
passait. Maintenant, je fais confiance au routeur...
Tu dois bien avoir une interface de configuration côté intérieur (http
ou telnet) ? Vérifie que c'est fermé à l'extérieur, tout de même.
Pour ton Belkin, je ne sais pas, demande à Google. Le routeur le mieux
doté de ce point de vue semble être le Linksys WRT54.
--
Jacques L'helgoualc'h
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
On Tuesday 17 May 2005 23:40, Jacques L'helgoualc'h wrote:
[...]
Nan. A priori, c'est du linux (msg klogd).
Oui, comme beaucoup de petits routeurs.
> > Faut-il faire confiance au firewall du modem ? > > à force d'enregistrer ce bruit de fond, il va saturer son /var/log/ ... > autant ignorer les tentatives de connexion sur les ports comme 135, > 13[789], 445, et j'en oublie. Donc ce sont seulement des tentatives.
Vouées à l'échec, Sasser n'attaque que les serveurs microsoft. Pour les ports NetBIOS, il faudrait vraiment faire exprès d'ouvrir Samba en partage à tout le nain Ternet à travers ton routeur ;)
> > Si non, peut-on en prendre le contrôle via iptables ? > > Qui ça ? Toi, ou ceux de l'autre côté ? Moi bien sûr. Avant j'avais un modem interne et je voyais tout ce qui se passait. Maintenant, je fais confiance au routeur...
Tu dois bien avoir une interface de configuration côté intérieur (http ou telnet) ? Vérifie que c'est fermé à l'extérieur, tout de même.
Pour ton Belkin, je ne sais pas, demande à Google. Le routeur le mieux doté de ce point de vue semble être le Linksys WRT54. -- Jacques L'helgoualc'h
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Bernard MAYER
Bonsoir a tous.
> Nan. A priori, c'est du linux (msg klogd).
Je ne saurai tarder de recevoir un routeur di-604 Quelqu'un pourrait-il me dire s'il y a moyen de savoir/logger ce qu'il se passe in ze boiboite ? Agir sur la boite par des batchs ?
Merci d'avance.
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Bonsoir a tous.
> Nan. A priori, c'est du linux (msg klogd).
Je ne saurai tarder de recevoir un routeur di-604
Quelqu'un pourrait-il me dire s'il y a moyen de savoir/logger ce qu'il
se passe in ze boiboite ?
Agir sur la boite par des batchs ?
Merci d'avance.
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Je ne saurai tarder de recevoir un routeur di-604 Quelqu'un pourrait-il me dire s'il y a moyen de savoir/logger ce qu'il se passe in ze boiboite ? Agir sur la boite par des batchs ?
Merci d'avance.
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Jérôme Drouet
>>Nan. A priori, c'est du linux (msg klogd).
Oui, comme beaucoup de petits routeurs.
mais c'est pas pour autant que tu pourras te logger dessus en ssh ou autre
pour ca, google est ton ami :)
@+ Jérôme
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
>>Nan. A priori, c'est du linux (msg klogd).
Oui, comme beaucoup de petits routeurs.
mais c'est pas pour autant que tu pourras te logger dessus en ssh ou autre
pour ca, google est ton ami :)
@+
Jérôme
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org