La semaine dernière, plusieurs jours de suite, après m'être connecté sur
handango.com, j'ai fait l'objet de scans de ports presque immédiatement. ZA
les a bloqués.
Traceroute sur l'adresse IP 64.143.96.133 renvoie www.handango.com, de même
que Whois qui donne un range d'adresses IP attribuées au domaine. Ceci se
produit chaque fois que je me connecte chez eux. Mon adresse IP, toujours
différente est détectée et exploitée.
J'ai bien sûr envoyé un abuse mais quelque chose me tracassait.
J'ai alors tapé http://64.143.96.133 dans la barre d'adresse et quelle n'a
pas été ma surprise en ouvrant une page d'un autre site: Coyotte Point
System Inc., domaine auquel ne correspondent que deux adresses IP:
64.143.96.132 et ...133. Ce domaine ne semble pas (?) être en relation avec
Handango.
Questions:
- 1 - ZA peut-il avoir renvoyé une adresse IP n'appartenant pas à
Handango.com ?
- 2 - La coïncidence est trop grande pour que ce ne soit pas handango mais
quelqu'un peut avoir détourné l'adresse. Est possible, où ? et comment ?
- 3 - Y a t-il une identité entre l'entrée http://adresse_IP et la
translation en adresse IP à partir d'un nom de domaine ?
En d'autres termes http://adresse_IP est-il équivalent à www.nom-de-domaine
?
- 4 - Que penser de ces scan répétés dont voici quelques extraits?
FWIN,2004/06/08,02:53:38 +2:00 GMT,64.143.96.133:80,xx.xxx.xxx.xxx:1082,TCP
(flags:R)
FWIN,2004/06/08,02:53:38 +2:00 GMT,64.143.96.133:80,xx.xxx.xxx.xxx:1083,TCP
(flags:R)
FWIN,2004/06/08,02:53:38 +2:00 GMT,64.143.96.133:80,xx.xxx.xxx.xxx:21024,TCP
(flags:R)
...
FWIN,2004/06/08,03:04:26 +2:00 GMT,64.143.96.133:80,xx.xxx.xxx.xxx:1075,TCP
(flags:R)
FWIN,2004/06/08,03:04:26 +2:00
GMT,64.143.96.133:37670,xx.xxx.xxx.xxx:1075,TCP (flags:A)
...
FWIN,2004/06/10,20:21:24 +2:00 GMT,64.143.96.133:0,zzz.zzz.zzz.zzz:0,ICMP
(type:0/subtype:0)
- 5 - De leur côté, c'est toujours le port 80 (http:// ?) qui est utilisé
sauf de rares fois (37670). Que cela signifie t-il ?
Une réponse technique ne pourra certainement pas être évitée, j'apprécierais
cependant qu'elle ne le soit pas trop en jargon de réseau.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Fabien LE LEZ
On 15 Jun 2004 19:58:09 GMT, "Aldo Larrabiata" :
J'ai alors tapé http://64.143.96.133 dans la barre d'adresse et quelle n'a pas été ma surprise en ouvrant une page d'un autre site: Coyotte Point System Inc., domaine auquel ne correspondent que deux adresses IP: 64.143.96.132 et ...133. Ce domaine ne semble pas (?) être en relation avec Handango.
Pour répondre à quelques-unes de tes questions : il n'y a pas forcément identité entre adresse IP et nom.
Bon, là c'est logique, ce site connaît un fort traffic, donc la charge est répartie.
Exemple 2 : à l'inverse, des petits sites peuvent cohabiter sur un même serveur. Du coup, bien que www.gramster.com ait l'adresse IP 80.65.238.155, http://www.gramster.com et http://80.65.238.155 te donneront des résultats totalement différents.
Exemple 3 : www.streamload.com et www5.streamload.com ont deux adresses IP différentes, 209.245.58.70 et 209.245.58.75. Et, pour le coup, c'est bien deux machines différentes, y'a pas de souci. Mais à partir de l'adresse 209.245.58.70 (ou n'importe quelle adresse 209.245.58.x), on obtient systématiquement "unknown.Level3.net", qui ne semble avoir qu'une seule entrée "A", 209.245.19.42.
-- schtroumpf schtroumpf
On 15 Jun 2004 19:58:09 GMT, "Aldo Larrabiata" <zzz@zorglub.net>:
J'ai alors tapé http://64.143.96.133 dans la barre d'adresse et quelle n'a
pas été ma surprise en ouvrant une page d'un autre site: Coyotte Point
System Inc., domaine auquel ne correspondent que deux adresses IP:
64.143.96.132 et ...133. Ce domaine ne semble pas (?) être en relation avec
Handango.
Pour répondre à quelques-unes de tes questions : il n'y a pas
forcément identité entre adresse IP et nom.
Bon, là c'est logique, ce site connaît un fort traffic, donc la charge
est répartie.
Exemple 2 : à l'inverse, des petits sites peuvent cohabiter sur un
même serveur. Du coup, bien que www.gramster.com ait l'adresse IP
80.65.238.155, http://www.gramster.com et http://80.65.238.155 te
donneront des résultats totalement différents.
Exemple 3 : www.streamload.com et www5.streamload.com ont deux
adresses IP différentes, 209.245.58.70 et 209.245.58.75. Et, pour le
coup, c'est bien deux machines différentes, y'a pas de souci.
Mais à partir de l'adresse 209.245.58.70 (ou n'importe quelle adresse
209.245.58.x), on obtient systématiquement "unknown.Level3.net", qui
ne semble avoir qu'une seule entrée "A", 209.245.19.42.
J'ai alors tapé http://64.143.96.133 dans la barre d'adresse et quelle n'a pas été ma surprise en ouvrant une page d'un autre site: Coyotte Point System Inc., domaine auquel ne correspondent que deux adresses IP: 64.143.96.132 et ...133. Ce domaine ne semble pas (?) être en relation avec Handango.
Pour répondre à quelques-unes de tes questions : il n'y a pas forcément identité entre adresse IP et nom.
Bon, là c'est logique, ce site connaît un fort traffic, donc la charge est répartie.
Exemple 2 : à l'inverse, des petits sites peuvent cohabiter sur un même serveur. Du coup, bien que www.gramster.com ait l'adresse IP 80.65.238.155, http://www.gramster.com et http://80.65.238.155 te donneront des résultats totalement différents.
Exemple 3 : www.streamload.com et www5.streamload.com ont deux adresses IP différentes, 209.245.58.70 et 209.245.58.75. Et, pour le coup, c'est bien deux machines différentes, y'a pas de souci. Mais à partir de l'adresse 209.245.58.70 (ou n'importe quelle adresse 209.245.58.x), on obtient systématiquement "unknown.Level3.net", qui ne semble avoir qu'une seule entrée "A", 209.245.19.42.
-- schtroumpf schtroumpf
jnury
"Aldo Larrabiata" wrote in message news:<canje1$rtr$...
J'ai alors tapé http://64.143.96.133 dans la barre d'adresse et quelle n'a pas été ma surprise en ouvrant une page d'un autre site: Coyotte Point System Inc., domaine auquel ne correspondent que deux adresses IP: 64.143.96.132 et ...133. Ce domaine ne semble pas (?) être en relation avec Handango.
La page sur laquelle tu tombes lorsque tu va sur http://64.143.96.133 n'appartient pas à "Coyotte Point System" mais bel et bien à Handango, en fait cette page fait partie d'une interface d'administration du produit "Equalizer Traffic Managment" qui est utilisé par Handango pour gérer sa bande passante (probablement).
Donc il n'y a pas d'usurpation d'identité et tu te trouves bien sur le site d'Handango. En se qui concerne le scanne de port: certaines personnes, chez Handago ou non (peut etre l'admin du serveur, le webmaster, ou une personne qui a "hacké" le serveur), ont l'intention de se constituer une base contenant des machines potentiellement vulnérable pour un usage futur... Le port source à 80 c'est une ruse pour essayer de flouer les firewalls personnels : tu t'es connecté au port 80 du serveur, il est donc possible que ce soit ce port qui te réponde, donc certains firewalls perso (pas les meilleurs ;-) ) laissent passer le traffic en provenance d'un port distant sur lequel tu est déjà connecté.
Conclusion : pas beaucoup plus d'indice sur qui est l'auteur de cette mesquinerie :-( désolé
"Aldo Larrabiata" <zzz@zorglub.net> wrote in message news:<canje1$rtr$1@news-reader1.wanadoo.fr>...
J'ai alors tapé http://64.143.96.133 dans la barre d'adresse et quelle n'a
pas été ma surprise en ouvrant une page d'un autre site: Coyotte Point
System Inc., domaine auquel ne correspondent que deux adresses IP:
64.143.96.132 et ...133. Ce domaine ne semble pas (?) être en relation avec
Handango.
La page sur laquelle tu tombes lorsque tu va sur
http://64.143.96.133 n'appartient pas à "Coyotte Point System" mais
bel et bien à Handango, en fait cette page fait partie d'une interface
d'administration du produit "Equalizer Traffic Managment" qui est
utilisé par Handango pour gérer sa bande passante (probablement).
Donc il n'y a pas d'usurpation d'identité et tu te trouves bien sur
le site d'Handango. En se qui concerne le scanne de port: certaines
personnes, chez Handago ou non (peut etre l'admin du serveur, le
webmaster, ou une personne qui a "hacké" le serveur), ont l'intention
de se constituer une base contenant des machines potentiellement
vulnérable pour un usage futur... Le port source à 80 c'est une ruse
pour essayer de flouer les firewalls personnels : tu t'es connecté au
port 80 du serveur, il est donc possible que ce soit ce port qui te
réponde, donc certains firewalls perso (pas les meilleurs ;-) )
laissent passer le traffic en provenance d'un port distant sur lequel
tu est déjà connecté.
Conclusion : pas beaucoup plus d'indice sur qui est l'auteur de
cette mesquinerie :-( désolé
"Aldo Larrabiata" wrote in message news:<canje1$rtr$...
J'ai alors tapé http://64.143.96.133 dans la barre d'adresse et quelle n'a pas été ma surprise en ouvrant une page d'un autre site: Coyotte Point System Inc., domaine auquel ne correspondent que deux adresses IP: 64.143.96.132 et ...133. Ce domaine ne semble pas (?) être en relation avec Handango.
La page sur laquelle tu tombes lorsque tu va sur http://64.143.96.133 n'appartient pas à "Coyotte Point System" mais bel et bien à Handango, en fait cette page fait partie d'une interface d'administration du produit "Equalizer Traffic Managment" qui est utilisé par Handango pour gérer sa bande passante (probablement).
Donc il n'y a pas d'usurpation d'identité et tu te trouves bien sur le site d'Handango. En se qui concerne le scanne de port: certaines personnes, chez Handago ou non (peut etre l'admin du serveur, le webmaster, ou une personne qui a "hacké" le serveur), ont l'intention de se constituer une base contenant des machines potentiellement vulnérable pour un usage futur... Le port source à 80 c'est une ruse pour essayer de flouer les firewalls personnels : tu t'es connecté au port 80 du serveur, il est donc possible que ce soit ce port qui te réponde, donc certains firewalls perso (pas les meilleurs ;-) ) laissent passer le traffic en provenance d'un port distant sur lequel tu est déjà connecté.
Conclusion : pas beaucoup plus d'indice sur qui est l'auteur de cette mesquinerie :-( désolé
T0t0
"Aldo Larrabiata" wrote in message news:canje1$rtr$
- 4 - Que penser de ces scan répétés dont voici quelques extraits? FWIN,2004/06/08,02:53:38 +2:00 GMT,64.143.96.133:80,xx.xxx.xxx.xxx:1082,TCP (flags:R) FWIN,2004/06/08,02:53:38 +2:00 GMT,64.143.96.133:80,xx.xxx.xxx.xxx:1083,TCP (flags:R) FWIN,2004/06/08,02:53:38 +2:00 GMT,64.143.96.133:80,xx.xxx.xxx.xxx:21024,TCP (flags:R) ... FWIN,2004/06/08,03:04:26 +2:00 GMT,64.143.96.133:80,xx.xxx.xxx.xxx:1075,TCP (flags:R)
Que des TCP reset, le site te demande de fermer un certain nombre de connexions. Peut-être tes connexions web...
ICMP echo reply, tu as fait un ping vers cette adresse ? c'est la réponse.
- 5 - De leur côté, c'est toujours le port 80 (http:// ?) qui est utilisé sauf de rares fois (37670). Que cela signifie t-il ?
Que tu t'es connecté chez eux en HTTP ?
Une réponse technique ne pourra certainement pas être évitée, j'apprécierais cependant qu'elle ne le soit pas trop en jargon de réseau.
Arf, malheureusement, pour lire des logs de firewalls, mieux vaut avoir quelques notions de TCP/IP si on veut comprendre ce qui se passe. Disons qu'on ne peut pas vraiment savoir si les logs présentés sont bizarres si on ne sait pas ce que tu as fait en parallèle avec ce site...
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Aldo Larrabiata" <zzz@zorglub.net> wrote in message
news:canje1$rtr$1@news-reader1.wanadoo.fr
- 4 - Que penser de ces scan répétés dont voici quelques extraits?
FWIN,2004/06/08,02:53:38 +2:00 GMT,64.143.96.133:80,xx.xxx.xxx.xxx:1082,TCP
(flags:R)
FWIN,2004/06/08,02:53:38 +2:00 GMT,64.143.96.133:80,xx.xxx.xxx.xxx:1083,TCP
(flags:R)
FWIN,2004/06/08,02:53:38 +2:00 GMT,64.143.96.133:80,xx.xxx.xxx.xxx:21024,TCP
(flags:R)
...
FWIN,2004/06/08,03:04:26 +2:00 GMT,64.143.96.133:80,xx.xxx.xxx.xxx:1075,TCP
(flags:R)
Que des TCP reset, le site te demande de fermer un certain nombre de
connexions. Peut-être tes connexions web...
ICMP echo reply, tu as fait un ping vers cette adresse ? c'est la
réponse.
- 5 - De leur côté, c'est toujours le port 80 (http:// ?) qui est utilisé
sauf de rares fois (37670). Que cela signifie t-il ?
Que tu t'es connecté chez eux en HTTP ?
Une réponse technique ne pourra certainement pas être évitée, j'apprécierais
cependant qu'elle ne le soit pas trop en jargon de réseau.
Arf, malheureusement, pour lire des logs de firewalls, mieux vaut avoir
quelques notions de TCP/IP si on veut comprendre ce qui se passe.
Disons qu'on ne peut pas vraiment savoir si les logs présentés sont
bizarres si on ne sait pas ce que tu as fait en parallèle avec ce
site...
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
ICMP echo reply, tu as fait un ping vers cette adresse ? c'est la réponse.
- 5 - De leur côté, c'est toujours le port 80 (http:// ?) qui est utilisé sauf de rares fois (37670). Que cela signifie t-il ?
Que tu t'es connecté chez eux en HTTP ?
Une réponse technique ne pourra certainement pas être évitée, j'apprécierais cependant qu'elle ne le soit pas trop en jargon de réseau.
Arf, malheureusement, pour lire des logs de firewalls, mieux vaut avoir quelques notions de TCP/IP si on veut comprendre ce qui se passe. Disons qu'on ne peut pas vraiment savoir si les logs présentés sont bizarres si on ne sait pas ce que tu as fait en parallèle avec ce site...
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Aldo Larrabiata
Merci à Fabien, Julien et TOto qui m'ont donné de précieuses infos.
Disons qu'on ne peut pas vraiment savoir si les logs présentés sont bizarres si on ne sait pas ce que tu as fait en parallèle avec ce site..."
Effectivement, je me suis connecté evec IE pour browser et télécharger des friandises gratuites. Depuis, je les ai appâtés mais aucun scan sinon quelques coups isolés sur les ports 1063, 1078, 21026, 21060, 21061 et 21090, tous en TCP, flag R.
certaines personnes, chez Handago ou non (peut etre l'admin du serveur, le webmaster, ou une personne qui a "hacké" le serveur), ont l'intention de se constituer une base contenant des machines potentiellement vulnérable pour un usage futur... Le port source à 80 c'est une ruse
Je pense que l'abuse était bien placé.
Que des TCP reset, le site te demande de fermer un certain nombre de connexions. Peut-être tes connexions web
Dans quel but ?
Exemple 3 : www.streamload.com et www5.streamload.com ont deux adresses IP différentes, 209.245.58.70 et 209.245.58.75. Et, pour le coup, c'est bien deux machines différentes, y'a pas de souci. Mais à partir de l'adresse 209.245.58.70 (ou n'importe quelle adresse 209.245.58.x), on obtient systématiquement "unknown.Level3.net", qui ne semble avoir qu'une seule entrée "A", 209.245.19.42.
En bon élève consciencieux, j'ai fait les manips de cet exemple et ça marche dans chaque cas. 209.245.58.70 et 209.245.58.75 renvoient bien la même page, celle de www.streamload.com. Je ne comprends donc pas la remarque concernant "level3" qui correspond bien à l'adresse indiquée. Bien compris pour les deux autres.
Pour revenir à handango, je vais continuer à surveiller mes logs. Wait and see.
Merci à Fabien, Julien et TOto qui m'ont donné de précieuses infos.
Disons qu'on ne peut pas vraiment savoir si les logs présentés sont
bizarres si on ne sait pas ce que tu as fait en parallèle avec ce
site..."
Effectivement, je me suis connecté evec IE pour browser et télécharger des
friandises gratuites.
Depuis, je les ai appâtés mais aucun scan sinon quelques coups isolés sur
les ports 1063, 1078, 21026, 21060, 21061 et 21090, tous en TCP, flag R.
certaines
personnes, chez Handago ou non (peut etre l'admin du serveur, le
webmaster, ou une personne qui a "hacké" le serveur), ont l'intention
de se constituer une base contenant des machines potentiellement
vulnérable pour un usage futur... Le port source à 80 c'est une ruse
Je pense que l'abuse était bien placé.
Que des TCP reset, le site te demande de fermer un certain nombre de
connexions. Peut-être tes connexions web
Dans quel but ?
Exemple 3 : www.streamload.com et www5.streamload.com ont deux
adresses IP différentes, 209.245.58.70 et 209.245.58.75. Et, pour le
coup, c'est bien deux machines différentes, y'a pas de souci.
Mais à partir de l'adresse 209.245.58.70 (ou n'importe quelle adresse
209.245.58.x), on obtient systématiquement "unknown.Level3.net", qui
ne semble avoir qu'une seule entrée "A", 209.245.19.42.
En bon élève consciencieux, j'ai fait les manips de cet exemple et ça marche
dans chaque cas. 209.245.58.70 et 209.245.58.75 renvoient bien la même page,
celle de www.streamload.com. Je ne comprends donc pas la remarque concernant
"level3" qui correspond bien à l'adresse indiquée.
Bien compris pour les deux autres.
Pour revenir à handango, je vais continuer à surveiller mes logs. Wait and
see.
Merci à Fabien, Julien et TOto qui m'ont donné de précieuses infos.
Disons qu'on ne peut pas vraiment savoir si les logs présentés sont bizarres si on ne sait pas ce que tu as fait en parallèle avec ce site..."
Effectivement, je me suis connecté evec IE pour browser et télécharger des friandises gratuites. Depuis, je les ai appâtés mais aucun scan sinon quelques coups isolés sur les ports 1063, 1078, 21026, 21060, 21061 et 21090, tous en TCP, flag R.
certaines personnes, chez Handago ou non (peut etre l'admin du serveur, le webmaster, ou une personne qui a "hacké" le serveur), ont l'intention de se constituer une base contenant des machines potentiellement vulnérable pour un usage futur... Le port source à 80 c'est une ruse
Je pense que l'abuse était bien placé.
Que des TCP reset, le site te demande de fermer un certain nombre de connexions. Peut-être tes connexions web
Dans quel but ?
Exemple 3 : www.streamload.com et www5.streamload.com ont deux adresses IP différentes, 209.245.58.70 et 209.245.58.75. Et, pour le coup, c'est bien deux machines différentes, y'a pas de souci. Mais à partir de l'adresse 209.245.58.70 (ou n'importe quelle adresse 209.245.58.x), on obtient systématiquement "unknown.Level3.net", qui ne semble avoir qu'une seule entrée "A", 209.245.19.42.
En bon élève consciencieux, j'ai fait les manips de cet exemple et ça marche dans chaque cas. 209.245.58.70 et 209.245.58.75 renvoient bien la même page, celle de www.streamload.com. Je ne comprends donc pas la remarque concernant "level3" qui correspond bien à l'adresse indiquée. Bien compris pour les deux autres.
Pour revenir à handango, je vais continuer à surveiller mes logs. Wait and see.
Fabien LE LEZ
On 16 Jun 2004 22:48:06 GMT, "Aldo Larrabiata" :
En bon élève consciencieux, j'ai fait les manips de cet exemple et ça marche dans chaque cas. 209.245.58.70 et 209.245.58.75 renvoient bien la même page, celle de www.streamload.com.
Peut-être mon exemple était-il mal choisi, car bien que ce soient des machines différentes, elles sont miroir l'une de l'autre. Rajoute donc 209.245.59.150 dans ta liste.
En fait, le problème est que 209.245.58.x, 209.245.59.x et quelques autres me donnent du "unknown.level3.net", alors que unknown.level3.net a pour seule adresse IP 209.245.19.42.
-- schtroumpf schtroumpf
On 16 Jun 2004 22:48:06 GMT, "Aldo Larrabiata" <zzz@zorglub.net>:
En bon élève consciencieux, j'ai fait les manips de cet exemple et ça marche
dans chaque cas. 209.245.58.70 et 209.245.58.75 renvoient bien la même page,
celle de www.streamload.com.
Peut-être mon exemple était-il mal choisi, car bien que ce soient des
machines différentes, elles sont miroir l'une de l'autre. Rajoute donc
209.245.59.150 dans ta liste.
En fait, le problème est que 209.245.58.x, 209.245.59.x et quelques
autres me donnent du "unknown.level3.net", alors que
unknown.level3.net a pour seule adresse IP 209.245.19.42.
En bon élève consciencieux, j'ai fait les manips de cet exemple et ça marche dans chaque cas. 209.245.58.70 et 209.245.58.75 renvoient bien la même page, celle de www.streamload.com.
Peut-être mon exemple était-il mal choisi, car bien que ce soient des machines différentes, elles sont miroir l'une de l'autre. Rajoute donc 209.245.59.150 dans ta liste.
En fait, le problème est que 209.245.58.x, 209.245.59.x et quelques autres me donnent du "unknown.level3.net", alors que unknown.level3.net a pour seule adresse IP 209.245.19.42.
-- schtroumpf schtroumpf
T0t0
"Aldo Larrabiata" wrote in message news:caqdrr$qo9$
Disons qu'on ne peut pas vraiment savoir si les logs présentés sont bizarres si on ne sait pas ce que tu as fait en parallèle avec ce site..." Effectivement, je me suis connecté evec IE pour browser et télécharger des
friandises gratuites. Depuis, je les ai appâtés mais aucun scan sinon quelques coups isolés sur les ports 1063, 1078, 21026, 21060, 21061 et 21090, tous en TCP, flag R.
En fait si, il faut comprendre les principes de base du fonctionnement de TCP/IP. Quand tu vois des connexions vers le port 1063 de ta machine, cela corresond surement à une réponse à l'une de tes requêtes sur le site. Pour t'en convaincre, va sur un site web et fait un netstat -an dans une fenêtre dos, tu verras ta connexion active avec les ports utilisés.
Donc les TCP RST (reset) que tu reçois correspondent surement à une demande de fermeture de tes connexions par le site handango, parceque ce connexions ne sont plus actives pour eux... Donc rien d'anormal, à priori.
certaines personnes, chez Handago ou non (peut etre l'admin du serveur, le webmaster, ou une personne qui a "hacké" le serveur), ont l'intention de se constituer une base contenant des machines potentiellement vulnérable pour un usage futur... Le port source à 80 c'est une ruse
Je pense que l'abuse était bien placé.
Je n'en suis pas si sûr...
Que des TCP reset, le site te demande de fermer un certain nombre de connexions. Peut-être tes connexions web Dans quel but ?
Ne pas laisser des connexions TCP ouvertes pour rien alors qu'il n'y a plus de traffic sur ces connexions depuis belle lurette !! Ou parce que le serveur veut mettre fin à la connexion, etc. C'est le fonctionnement de TCP/IP.
Pour revenir à handango, je vais continuer à surveiller mes logs. Wait and see.
Mouaif, je vois rien de bien méchant mis à part l'utilisation de ports bizarres pour certaines connexions...
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Aldo Larrabiata" <zzz@zorglub.net> wrote in message
news:caqdrr$qo9$1@news-reader3.wanadoo.fr
Disons qu'on ne peut pas vraiment savoir si les logs présentés sont
bizarres si on ne sait pas ce que tu as fait en parallèle avec ce
site..."
Effectivement, je me suis connecté evec IE pour browser et télécharger des
friandises gratuites.
Depuis, je les ai appâtés mais aucun scan sinon quelques coups isolés sur
les ports 1063, 1078, 21026, 21060, 21061 et 21090, tous en TCP, flag R.
En fait si, il faut comprendre les principes de base du fonctionnement
de TCP/IP.
Quand tu vois des connexions vers le port 1063 de ta machine, cela
corresond surement à une réponse à l'une de tes requêtes sur le site.
Pour t'en convaincre, va sur un site web et fait un netstat -an dans
une fenêtre dos, tu verras ta connexion active avec les ports utilisés.
Donc les TCP RST (reset) que tu reçois correspondent surement à une
demande de fermeture de tes connexions par le site handango, parceque
ce connexions ne sont plus actives pour eux...
Donc rien d'anormal, à priori.
certaines
personnes, chez Handago ou non (peut etre l'admin du serveur, le
webmaster, ou une personne qui a "hacké" le serveur), ont l'intention
de se constituer une base contenant des machines potentiellement
vulnérable pour un usage futur... Le port source à 80 c'est une ruse
Je pense que l'abuse était bien placé.
Je n'en suis pas si sûr...
Que des TCP reset, le site te demande de fermer un certain nombre de
connexions. Peut-être tes connexions web
Dans quel but ?
Ne pas laisser des connexions TCP ouvertes pour rien alors qu'il n'y a
plus de traffic sur ces connexions depuis belle lurette !!
Ou parce que le serveur veut mettre fin à la connexion, etc.
C'est le fonctionnement de TCP/IP.
Pour revenir à handango, je vais continuer à surveiller mes logs. Wait and
see.
Mouaif, je vois rien de bien méchant mis à part l'utilisation de ports
bizarres pour certaines connexions...
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Aldo Larrabiata" wrote in message news:caqdrr$qo9$
Disons qu'on ne peut pas vraiment savoir si les logs présentés sont bizarres si on ne sait pas ce que tu as fait en parallèle avec ce site..." Effectivement, je me suis connecté evec IE pour browser et télécharger des
friandises gratuites. Depuis, je les ai appâtés mais aucun scan sinon quelques coups isolés sur les ports 1063, 1078, 21026, 21060, 21061 et 21090, tous en TCP, flag R.
En fait si, il faut comprendre les principes de base du fonctionnement de TCP/IP. Quand tu vois des connexions vers le port 1063 de ta machine, cela corresond surement à une réponse à l'une de tes requêtes sur le site. Pour t'en convaincre, va sur un site web et fait un netstat -an dans une fenêtre dos, tu verras ta connexion active avec les ports utilisés.
Donc les TCP RST (reset) que tu reçois correspondent surement à une demande de fermeture de tes connexions par le site handango, parceque ce connexions ne sont plus actives pour eux... Donc rien d'anormal, à priori.
certaines personnes, chez Handago ou non (peut etre l'admin du serveur, le webmaster, ou une personne qui a "hacké" le serveur), ont l'intention de se constituer une base contenant des machines potentiellement vulnérable pour un usage futur... Le port source à 80 c'est une ruse
Je pense que l'abuse était bien placé.
Je n'en suis pas si sûr...
Que des TCP reset, le site te demande de fermer un certain nombre de connexions. Peut-être tes connexions web Dans quel but ?
Ne pas laisser des connexions TCP ouvertes pour rien alors qu'il n'y a plus de traffic sur ces connexions depuis belle lurette !! Ou parce que le serveur veut mettre fin à la connexion, etc. C'est le fonctionnement de TCP/IP.
Pour revenir à handango, je vais continuer à surveiller mes logs. Wait and see.
Mouaif, je vois rien de bien méchant mis à part l'utilisation de ports bizarres pour certaines connexions...
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
