Bonjour
Je demarre ma machine à 9h30,je regarde les logs et voila ce que
j'obtiens
Jun 5 09:32:53 linux smbd[3278]: ERROR: Invalid password length 4222.
Jun 5 09:32:53 linux smbd[3278]: Your machine may be under attack by
someone attempting to exploit an old bug.
Jun 5 09:32:53 linux smbd[3278]: Attack was from IP = 82.255.32.184.
Jun 5 09:33:49 linux smbd[3280]: [2005/06/05 09:33:49, 0]
smbd/reply.c:overflow_attack(50)
Jun 5 09:33:49 linux smbd[3280]: ERROR: Invalid password length 4222.
Jun 5 09:33:49 linux smbd[3280]: Your machine may be under attack by
someone attempting to exploit an old bug.
Jun 5 09:33:49 linux smbd[3280]: Attack was from IP = 82.255.92.131.
Jun 5 09:34:33 linux kernel: device ppp0 left promiscuous mode
Jun 5 09:35:20 linux pppoa[2591]: Wrong length field in incoming data 17664
Jun 5 09:35:20 linux pppoa[2591]: Wrong length field in incoming data 17664
A croire que les machines qui m'attaquent attendaient que je démarre !!
Toutes les 2 mn c'est la même attaque avec une IP différente
Est ce un virus qui envoie mon IP et à QUI ?
Les attaques proviennent toujours de ce type de machines
Domain=[WORKGROUP] OS=[Windows 5.1] Server=[Windows 2000 LAN Manager]
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Ph. B.
gmoc a demandé:
Bonjour Je demarre ma machine à 9h30,je regarde les logs et voila ce que j'obtiens
Jun 5 09:32:53 linux smbd[3278]: ERROR: Invalid password length 4222. Jun 5 09:32:53 linux smbd[3278]: Your machine may be under attack by someone attempting to exploit an old bug. Jun 5 09:32:53 linux smbd[3278]: Attack was from IP = 82.255.32.184.
Une recherche nslookup t'aurait dit pour 82.255.32.184 que c'est un abonné Free => lns-vlq-19-ren-82-255-32-184.adsl.proxad.net sur Rennes ???
Jun 5 09:33:49 linux smbd[3280]: [2005/06/05 09:33:49, 0] smbd/reply.c:overflow_attack(50) Jun 5 09:33:49 linux smbd[3280]: ERROR: Invalid password length 4222. Jun 5 09:33:49 linux smbd[3280]: Your machine may be under attack by someone attempting to exploit an old bug. Jun 5 09:33:49 linux smbd[3280]: Attack was from IP = 82.255.92.131.
Une recherche nslookup t'aurait dit pour 82.255.32.184 que c'est un autre abonné Free => lns-vlq-22-lyo-82-255-92-131.adsl.proxad.net sur Lyon ???
Jun 5 09:34:33 linux kernel: device ppp0 left promiscuous mode Jun 5 09:35:20 linux pppoa[2591]: Wrong length field in incoming data 17664 Jun 5 09:35:20 linux pppoa[2591]: Wrong length field in incoming data 17664
A croire que les machines qui m'attaquent attendaient que je démarre !! Toutes les 2 mn c'est la même attaque avec une IP différente
Plutot des machines en connexion permanente et qui scannent une étendue d'adresse IP dont tu fais partie avec eux... (ton IP : 82.255.14.162 => lns-vlq-15-rei-82-255-14-162.adsl.proxad.net) Reims ?
Est ce un virus qui envoie mon IP et à QUI ? Les attaques proviennent toujours de ce type de machines Domain=[WORKGROUP] OS=[Windows 5.1] Server=[Windows 2000 LAN Manager]
Windows XP avec Netbios et "tout le toutim" paramétré par défaut et qui passe leur temps à interroger leur voisinage réseau...
Une idée ?
AMHA, des machines mal configurées...
Merci de vos réponses
De rien :-) -- Philippe.
gmoc a demandé:
Bonjour
Je demarre ma machine à 9h30,je regarde les logs et voila ce que
j'obtiens
Jun 5 09:32:53 linux smbd[3278]: ERROR: Invalid password length 4222.
Jun 5 09:32:53 linux smbd[3278]: Your machine may be under attack by
someone attempting to exploit an old bug.
Jun 5 09:32:53 linux smbd[3278]: Attack was from IP = 82.255.32.184.
Une recherche nslookup t'aurait dit pour 82.255.32.184 que c'est un
abonné Free => lns-vlq-19-ren-82-255-32-184.adsl.proxad.net
sur Rennes ???
Jun 5 09:33:49 linux smbd[3280]: [2005/06/05 09:33:49, 0]
smbd/reply.c:overflow_attack(50)
Jun 5 09:33:49 linux smbd[3280]: ERROR: Invalid password length 4222.
Jun 5 09:33:49 linux smbd[3280]: Your machine may be under attack by
someone attempting to exploit an old bug.
Jun 5 09:33:49 linux smbd[3280]: Attack was from IP = 82.255.92.131.
Une recherche nslookup t'aurait dit pour 82.255.32.184 que c'est un
autre abonné Free => lns-vlq-22-lyo-82-255-92-131.adsl.proxad.net
sur Lyon ???
Jun 5 09:34:33 linux kernel: device ppp0 left promiscuous mode
Jun 5 09:35:20 linux pppoa[2591]: Wrong length field in incoming data 17664
Jun 5 09:35:20 linux pppoa[2591]: Wrong length field in incoming data 17664
A croire que les machines qui m'attaquent attendaient que je démarre !!
Toutes les 2 mn c'est la même attaque avec une IP différente
Plutot des machines en connexion permanente et qui scannent une étendue
d'adresse IP dont tu fais partie avec eux...
(ton IP : 82.255.14.162 => lns-vlq-15-rei-82-255-14-162.adsl.proxad.net)
Reims ?
Est ce un virus qui envoie mon IP et à QUI ?
Les attaques proviennent toujours de ce type de machines
Domain=[WORKGROUP] OS=[Windows 5.1] Server=[Windows 2000 LAN Manager]
Windows XP avec Netbios et "tout le toutim" paramétré par défaut et qui
passe leur temps à interroger leur voisinage réseau...
Bonjour Je demarre ma machine à 9h30,je regarde les logs et voila ce que j'obtiens
Jun 5 09:32:53 linux smbd[3278]: ERROR: Invalid password length 4222. Jun 5 09:32:53 linux smbd[3278]: Your machine may be under attack by someone attempting to exploit an old bug. Jun 5 09:32:53 linux smbd[3278]: Attack was from IP = 82.255.32.184.
Une recherche nslookup t'aurait dit pour 82.255.32.184 que c'est un abonné Free => lns-vlq-19-ren-82-255-32-184.adsl.proxad.net sur Rennes ???
Jun 5 09:33:49 linux smbd[3280]: [2005/06/05 09:33:49, 0] smbd/reply.c:overflow_attack(50) Jun 5 09:33:49 linux smbd[3280]: ERROR: Invalid password length 4222. Jun 5 09:33:49 linux smbd[3280]: Your machine may be under attack by someone attempting to exploit an old bug. Jun 5 09:33:49 linux smbd[3280]: Attack was from IP = 82.255.92.131.
Une recherche nslookup t'aurait dit pour 82.255.32.184 que c'est un autre abonné Free => lns-vlq-22-lyo-82-255-92-131.adsl.proxad.net sur Lyon ???
Jun 5 09:34:33 linux kernel: device ppp0 left promiscuous mode Jun 5 09:35:20 linux pppoa[2591]: Wrong length field in incoming data 17664 Jun 5 09:35:20 linux pppoa[2591]: Wrong length field in incoming data 17664
A croire que les machines qui m'attaquent attendaient que je démarre !! Toutes les 2 mn c'est la même attaque avec une IP différente
Plutot des machines en connexion permanente et qui scannent une étendue d'adresse IP dont tu fais partie avec eux... (ton IP : 82.255.14.162 => lns-vlq-15-rei-82-255-14-162.adsl.proxad.net) Reims ?
Est ce un virus qui envoie mon IP et à QUI ? Les attaques proviennent toujours de ce type de machines Domain=[WORKGROUP] OS=[Windows 5.1] Server=[Windows 2000 LAN Manager]
Windows XP avec Netbios et "tout le toutim" paramétré par défaut et qui passe leur temps à interroger leur voisinage réseau...
Une idée ?
AMHA, des machines mal configurées...
Merci de vos réponses
De rien :-) -- Philippe.
Bruno patri
Bonjour Je demarre ma machine à 9h30,je regarde les logs et voila ce que j'obtiens
Jun 5 09:32:53 linux smbd[3278]: ERROR: Invalid password length 4222. [...]
A croire que les machines qui m'attaquent attendaient que je démarre !! Toutes les 2 mn c'est la même attaque avec une IP différente Est ce un virus qui envoie mon IP et à QUI ?
Probablement des PC zombies sous Windows.
Les attaques proviennent toujours de ce type de machines Domain=[WORKGROUP] OS=[Windows 5.1] Server=[Windows 2000 LAN Manager]
Une idée ?
Oui cela appelle deux questions :
- que disent les logs du firewall ; - pourquoi le seveur Samba est-il ouvert sur l'extérieur ?
-- Bruno
Bonjour
Je demarre ma machine à 9h30,je regarde les logs et voila ce que
j'obtiens
Jun 5 09:32:53 linux smbd[3278]: ERROR: Invalid password length 4222.
[...]
A croire que les machines qui m'attaquent attendaient que je démarre !!
Toutes les 2 mn c'est la même attaque avec une IP différente
Est ce un virus qui envoie mon IP et à QUI ?
Probablement des PC zombies sous Windows.
Les attaques proviennent toujours de ce type de machines
Domain=[WORKGROUP] OS=[Windows 5.1] Server=[Windows 2000 LAN Manager]
Une idée ?
Oui cela appelle deux questions :
- que disent les logs du firewall ;
- pourquoi le seveur Samba est-il ouvert sur l'extérieur ?
Bonjour Je demarre ma machine à 9h30,je regarde les logs et voila ce que j'obtiens
Jun 5 09:32:53 linux smbd[3278]: ERROR: Invalid password length 4222. [...]
A croire que les machines qui m'attaquent attendaient que je démarre !! Toutes les 2 mn c'est la même attaque avec une IP différente Est ce un virus qui envoie mon IP et à QUI ?
Probablement des PC zombies sous Windows.
Les attaques proviennent toujours de ce type de machines Domain=[WORKGROUP] OS=[Windows 5.1] Server=[Windows 2000 LAN Manager]
Une idée ?
Oui cela appelle deux questions :
- que disent les logs du firewall ; - pourquoi le seveur Samba est-il ouvert sur l'extérieur ?
-- Bruno
Fabien LE LEZ
On 05 Jun 2005 09:51:45 GMT, gmoc :
A croire que les machines qui m'attaquent attendaient que je démarre !!
Pas forcément. Les attaques avaient vraisemblablement commencé avant, mais comme ta machine n'était pas démarrée, elle ne les a pas reçues ni enregistrées.
Toutes les 2 mn c'est la même attaque avec une IP différente Est ce un virus qui envoie mon IP et à QUI ?
Ça ressemble plus à une série de zombies qui balance l'attaque au hasard, sur un paquet d'adresses IP différentes.
On 05 Jun 2005 09:51:45 GMT, gmoc <gerard.maillet@online.fr>:
A croire que les machines qui m'attaquent attendaient que je démarre !!
Pas forcément. Les attaques avaient vraisemblablement commencé avant,
mais comme ta machine n'était pas démarrée, elle ne les a pas reçues
ni enregistrées.
Toutes les 2 mn c'est la même attaque avec une IP différente
Est ce un virus qui envoie mon IP et à QUI ?
Ça ressemble plus à une série de zombies qui balance l'attaque au
hasard, sur un paquet d'adresses IP différentes.
A croire que les machines qui m'attaquent attendaient que je démarre !!
Pas forcément. Les attaques avaient vraisemblablement commencé avant, mais comme ta machine n'était pas démarrée, elle ne les a pas reçues ni enregistrées.
Toutes les 2 mn c'est la même attaque avec une IP différente Est ce un virus qui envoie mon IP et à QUI ?
Ça ressemble plus à une série de zombies qui balance l'attaque au hasard, sur un paquet d'adresses IP différentes.
