Logo GNT
Actualités Tests & Guides Bons Plans
Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11
Entraide Sécurité Sécurité Sécurité J'attaque sur le port 137 !

J'attaque sur le port 137 !

3 réponses
Avatar
Philippe Orand
Salut tout le monde

Depuis que je suis passé en ADSL, c'est à dire peu de temps vu le bled perdu où j'habite. j'ai un
petit problème:

on dirait que je fais des requètes sur le port 137 vers d'autres machines quand je reconnais une
adresse IP.

voici un exemple de log commenté:

Un attaque de Blaster je suppose, bloquée par le firewall de la machine 218.....
'TCP source:218.162.27.127 TCP Ports Dest:microsoft-d=445 Src:3337

et puis me voilà en train de balancer des trames UDP (bloquées par le firewall aussi)
'UDP Destination 218.162.27.127 UDP Ports Dest:netbios-ns=137 Src:netbios-ns=137
'UDP Destination 218.162.27.127 UDP Ports Dest:netbios-ns=137 Src:netbios-ns=137

un autre exemple (non commenté puisque identique)

'TCP source:82.49.56.60 TCP Ports Dest:microsoft-d=135 Src:3337
'UDP Destination 82.49.56.60 UDP Ports Dest:netbios-ns=137 Src:netbios-ns=137
'UDP Destination 82.49.56.60 UDP Ports Dest:netbios-ns=137 Src:netbios-ns=137

Je suis connecté en ADSL en PPPOe , j'ai enlevé tous (enfin je crois) les protocoles Netbios de: ma
carte réseau, de ma connexion PPPOe, et même de ma carte IEEE1394.

J'ai passé AD-AWARE, Spybot-SD, mon antivirus résident à jour (de 3 jours), un autre antivirus (AVP)
à jour aussi, et j'ai rien trouvé qui a modifié le binz.

Ethereal en capture sur ETH0 (promiscuious) ne capture pas ces paquets.. mais rien du tout.(dumoins
de ce type :))

Mon firewall est: lookn'stop.

Je n'avais pas ces trames quand j'étais en RTC, et depuis je n'ai rien changé de ma config (sauf la
mise en service de l'ADSL).

Quelqu'un a t'il une idée ?
Signaler un problème avec ce contenu

3 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Avatar
Rakotomandimby
Philippe Orand wrote:

on dirait que je fais des requètes sur le port 137 vers d'autres machines
quand je reconnais une adresse IP.


qu'est ce que tu entends par " reconnaitre une adrese IP " ?

as tu un serveur qui tourne sur ta machine ?

Je nen sais pas si c'est une bonne idee de faire cohabiter 2 AV , les autes
se prononceront sur ce sujet ... est tu a jour des SP de MSoft ?

Moi j'ai un serveur WEb et je reçois entre 100 et 200 requetes sur ce port
( sans compter celles sur le 139 ) par jour ... alors que je ne suis pas
sous Win . Donc c'est interessant de savoir ce qu'il en est ...
--
http://mrakotom.free.fr

Avatar
T0t0
"Philippe Orand" wrote in message
news:
Un attaque de Blaster je suppose, bloquée par le firewall de la machine 218.....
'TCP source:218.162.27.127 TCP Ports Dest:microsoft-dD5 Src:3337


Une requête netbios plutôt ?

et puis me voilà en train de balancer des trames UDP (bloquées par le firewall aussi)
'UDP Destination 218.162.27.127 UDP Ports Dest:netbios-ns7 Src:netbios-ns7
'UDP Destination 218.162.27.127 UDP Ports Dest:netbios-ns7 Src:netbios-ns7


Votre machine cherche à résoudre le nom de la machine en face suite
à sa requête.

Je suis connecté en ADSL en PPPOe , j'ai enlevé tous (enfin je crois) les protocoles Netbios de: ma
carte réseau, de ma connexion PPPOe, et même de ma carte IEEE1394.


Un netstat -an vous donnera les ports en écoute sur votre machines.
Apparemment, les ports 445 et 135 doivent être encore ouverts.

Mon firewall est: lookn'stop.


Bon choix ;-)



--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG

Avatar
Philippe Orand
J'ai TROUVE!!!!!

Ne vous bilez pas, (si tant est qu'il y en ait qui se le soit :))

Voilà d'où ça vient:

J'avais paramétré Lookn'stop de façon à ce qu'il résolve les adresses IP... pour le log, pensant que
la résolution serait une résolution DNS, donc autorisée à sortir. En fait, il essaie aussi
d'utiliser la résolution NETBIOS ... qui, elle, est fortement interdite de sortir...

un petit ping pong entre le firewall sur PPP0 et ETH0 s'en suivait.. voilà le résultat :)
Je ne le voyais pas en RTC puisque je n'avais qu'une seule carte : la PPP0)

Donc si ça vous arrive avec Look'nstop, il faut désactiver les options:
Résoudre les noms des adresses IP
et
Afficher le nom et l'adresse IP

Voilà, à retenir donc. :)