"attaque" toujours sur le meme port

Le
siger
Bonjour,

Avec W98 et Kerio 2.1.5, j'ai entre 2 et 5 messages par jour de Kerio
qui me dit que
=
Quelqu'un (***.***.**.***, port 10559) veut envoyer un datagramme UDP
sur le port 1026 géré par Kerio Personal Firewall Engine sur ce système
=


C'est *toujours* le port 1026. J'ai regardé dans les règles, il n'y a
rien qui autorise ou exclu ce port.

De quoi s'agit-il ?
Est-il possible de le bloquer pour ne pas avoir à cliquer sur
« refuser » sans nuire à autre chose ?

Merci.

--
siger
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Cedric Blancher
Le #556753
Le Fri, 02 Apr 2004 18:29:33 +0000, siger a écrit :
Avec W98 et Kerio 2.1.5, j'ai entre 2 et 5 messages par jour de Kerio
qui me dit que
================== > Quelqu'un (***.***.**.***, port 10559) veut envoyer un datagramme UDP
sur le port 1026 géré par Kerio Personal Firewall Engine sur ce système
===================== [...]
De quoi s'agit-il ?


C'est une tentative d'accès au service de messagerie sans passer par le
portmapper. Les outils qui mettent ça en oeuvre visent pratiquement
toujours le port 1026. Cela peut avoir deux buts :

. du spam via ce service, sous forme de popup
. tentative d'exploitation d'une faille de ce service (cf.
http://www.microsoft.com/technet/security/bulletin/MS03-043.mspx)

À priori, rien de bien grave, dans la mesure où Win98 n'est pas affecté
par cette faille.

Est-il possible de le bloquer pour ne pas avoir à cliquer sur
« refuser » sans nuire à autre chose ?


Tu peux rendre la décision permanente (i.e. transformée en règle
définitive). Ceci dit, dans la mesure où il semble y avoir un service
(Kerio lui-même) en écoute sur ce port, il sera bon de spécifier une
règle plus étoffée de manière à laisser ce port accessible localement
(i.e. depuis 127.0.0.1 et le réseau local si existant) et refuser les
connexions depuis toutes les autres IP.

--
BOFH excuse #23:

improperly oriented keyboard

Nicob
Le #556754
On Fri, 02 Apr 2004 18:29:33 +0000, siger wrote:

C'est *toujours* le port 1026.
De quoi s'agit-il ?


Spam via MS-Messenger.
A gicler sans état d'âme ...

A ce sujet, j'en vois toujours des tonnes avec un port source 666, ce qui
fait une super signature pour le traitement des logs.


Nicob

Publicité
Poster une réponse
Anonyme