Services qui tentent d'accéder à l'adresse IP 2.0.0.135 et 2.0.4.1 sur le port 3584

Le
leflo
Bonjours,
Sur un server 2003 entreprise, les services type explorateur, DFS,
MMC bref tout ce qui touche au système essaye de sortir vers
2.0.0.135:3584 et 2.0.4.1:3584

Je n'arrive pas à comprendre pourquoi, ni à trouver une quelconque info
vu que dans mes souvenir j'ai toujours eu ce symptome.

Est ce normal, quel est ce procédé, cette IP?

MErci d'avance à celui ou celle qui pourra éclairer ma lanterne.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Mathieu CHATEAU
Le #786819
Bonjour,

cette plage n'est pas attribuée via le ripe & co

Est-ce que ce type d'adresse (2.0.0/16) existe sur votre réseau ?

Que donnne:
tracert -d 2.0.0.135
tracert -d 2.0.4.1
nslookup 2.0.4.1
nslookup 2.0.0.135

--
Cordialement,
Mathieu CHATEAU
English blog: http://lordoftheping.blogspot.com
French blog: http://www.lotp.fr


"leflo" news:473ba12c$0$17182$
Bonjours,
Sur un server 2003 entreprise, les services type explorateur, DFS, MMC...
bref tout ce qui touche au système essaye de sortir vers 2.0.0.135:3584 et
2.0.4.1:3584

Je n'arrive pas à comprendre pourquoi, ni à trouver une quelconque info vu
que dans mes souvenir j'ai toujours eu ce symptome.

Est ce normal, quel est ce procédé, cette IP?

MErci d'avance à celui ou celle qui pourra éclairer ma lanterne.


leflo
Le #786600
Bonjour,
J'ai oublié de précisé que bien entendu je n'ai aucunement existence de
ce sous réseau, que bien entendu je n'ai aucune réponse ni en résolution
d'adresse et que la route se perd très vite au 3è noeud.

En résumé pour moi cette adresse n'existe pas mais le système veut quand
même s'y connecter... Peut être une vieille config qui traine dans mon
image?

Rien dans les registres, rien en texte dans les fichiers du système,
peut être un reste dans une dll modifiée/corrompue? Y'a-t-il un moyen de
remonter à ce qui appelle ces adresses IP?


Bonjour,

cette plage n'est pas attribuée via le ripe & co

Est-ce que ce type d'adresse (2.0.0/16) existe sur votre réseau ?

Que donnne:
tracert -d 2.0.0.135
tracert -d 2.0.4.1
nslookup 2.0.4.1
nslookup 2.0.0.135



Mathieu CHATEAU
Le #786599
tcpview de sysinternal permettrait de voir le PID du processus qui fait la
connexion, permettant de limiter les recherches

--
Cordialement,
Mathieu CHATEAU
English blog: http://lordoftheping.blogspot.com
French blog: http://www.lotp.fr


"leflo" news:473d97aa$0$9667$
Bonjour,
J'ai oublié de précisé que bien entendu je n'ai aucunement existence de ce
sous réseau, que bien entendu je n'ai aucune réponse ni en résolution
d'adresse et que la route se perd très vite au 3è noeud.

En résumé pour moi cette adresse n'existe pas mais le système veut quand
même s'y connecter... Peut être une vieille config qui traine dans mon
image?

Rien dans les registres, rien en texte dans les fichiers du système, peut
être un reste dans une dll modifiée/corrompue? Y'a-t-il un moyen de
remonter à ce qui appelle ces adresses IP?


Bonjour,

cette plage n'est pas attribuée via le ripe & co

Est-ce que ce type d'adresse (2.0.0/16) existe sur votre réseau ?

Que donnne:
tracert -d 2.0.0.135
tracert -d 2.0.4.1
nslookup 2.0.4.1
nslookup 2.0.0.135





Nina Popravka
Le #786598
On Thu, 15 Nov 2007 02:33:21 +0100, leflo wrote:

Est ce normal, quel est ce procédé, cette IP?


L'IP, c'est pas compliqué, ce sont des réseaux réservés, à peu près au
même titre que 192.168.0.0 ou 10.0.0.0. Donc c'est normal que ça
n'arrive nulle part.
Je les connais uniquement parce que ce sont des adresses qu'on filtre
en entrée de réseau, vu que ça correspond nécessairement à des paquets
hostiles spoofés.
Vous êtes sûr que votre machine est saine (enfin, autant qu'on puisse
l'être...) ?
--
Nina

leflo
Le #786597
Ce qui me parait étonnant c'est que je vois vraiment pas d'où ça vient
et pourquoi ça voudrait sortir sur un réseau qui n'existe pas (par
essence puisque cette plage n'est pas utilisable en public et que je
suis sur de mon réseau tellement il est restreint)

Sur j'y mettrais pas ma main à couper non plus, m'enfin j'en suis quasi
sur du moins sur le serveur en question y'a aucune raison que qui que ça
soit ait voulu/pu y accéder à part moi :)



On Thu, 15 Nov 2007 02:33:21 +0100, leflo wrote:





Est ce normal, quel est ce procédé, cette IP?


L'IP, c'est pas compliqué, ce sont des réseaux réservés, à peu près au
même titre que 192.168.0.0 ou 10.0.0.0. Donc c'est normal que ça
n'arrive nulle part.
Je les connais uniquement parce que ce sont des adresses qu'on filtre
en entrée de réseau, vu que ça correspond nécessairement à des paquets
hostiles spoofés.
Vous êtes sûr que votre machine est saine (enfin, autant qu'on puisse
l'être...) ?



Nina Popravka
Le #786596
On Fri, 16 Nov 2007 17:46:02 +0100, leflo wrote:

Ce qui me parait étonnant c'est que je vois vraiment pas d'où ça vient
et pourquoi ça voudrait sortir sur un réseau qui n'existe pas


Remarquez, si ça peut vous consoler, j'ai une machine ici qui tente
d'aller faire des enregistrements DNS dynamiques vers un réseau de ce
genre, et je n'ai toujours pas compris pourquoi... :-))))
C'est d'ailleurs event viewer qui me l'a appris, le vôtre n'a rien à
dire de ce côté ?
--
Nina

leflo
Le #786355
Moi c'est le parefeu qui m'a mis la puce à l'oreille sur le sujet. Rien
vu du côté des évènements, m'enfin j'épluche pas tout non plus mais rien
d'anormal de ce côté, je loggue surement pas assez pour y voir quelque
chose :)

Plus ça va plus je me dis que y'a une vilaine chose qui traine dans une
dll ou le système que j'ai. Rien de méchant, mais un vilain commentaire
qui reste quoi...

Enfin rien de méchant en l'occurence mais j'aimerais bien comprendre un
jour :D

On Fri, 16 Nov 2007 17:46:02 +0100, leflo wrote:

Ce qui me parait étonnant c'est que je vois vraiment pas d'où ça vient
et pourquoi ça voudrait sortir sur un réseau qui n'existe pas


Remarquez, si ça peut vous consoler, j'ai une machine ici qui tente
d'aller faire des enregistrements DNS dynamiques vers un réseau de ce
genre, et je n'ai toujours pas compris pourquoi... :-))))
C'est d'ailleurs event viewer qui me l'a appris, le vôtre n'a rien à
dire de ce côté ?



Mathieu CHATEAU
Le #786354
tcpview ne vous a pas aidé ?

--
Cordialement,
Mathieu CHATEAU
English blog: http://lordoftheping.blogspot.com
French blog: http://www.lotp.fr


"leflo" news:474243d2$0$1027$
Moi c'est le parefeu qui m'a mis la puce à l'oreille sur le sujet. Rien vu
du côté des évènements, m'enfin j'épluche pas tout non plus mais rien
d'anormal de ce côté, je loggue surement pas assez pour y voir quelque
chose :)

Plus ça va plus je me dis que y'a une vilaine chose qui traine dans une
dll ou le système que j'ai. Rien de méchant, mais un vilain commentaire
qui reste quoi...

Enfin rien de méchant en l'occurence mais j'aimerais bien comprendre un
jour :D

On Fri, 16 Nov 2007 17:46:02 +0100, leflo wrote:

Ce qui me parait étonnant c'est que je vois vraiment pas d'où ça vient
et pourquoi ça voudrait sortir sur un réseau qui n'existe pas


Remarquez, si ça peut vous consoler, j'ai une machine ici qui tente
d'aller faire des enregistrements DNS dynamiques vers un réseau de ce
genre, et je n'ai toujours pas compris pourquoi... :-))))
C'est d'ailleurs event viewer qui me l'a appris, le vôtre n'a rien à
dire de ce côté ?





Publicité
Poster une réponse
Anonyme