Sachant que 82.224.75.81 est l'ip de la pate externe de mon FW. Savez-vous à quoi celà correspond ? Merci. Bonjour,
d'apres moi il sagit de spam du service messenger de windows... En générale ca dit que windows a détecté une corruption de la base de registre et qu'il faut se rendre sur un site (ferme à malware) pour corriger... ex: Message [truncated]: STOP! nnSCAN CRITICAL SYSTEM ERRORSnnTo fix the errors please do the following:n1. Download Registry Repair from: http://www.regdoc32.comn2. Install Registry Repairn3. Run Registry Repairn4. Reboot your compute[...]
Normalement le service messenger n'ecoute que sur le port 1026 mais ces idiots spamment sur plein d'autres ports qui ne servent à rien (courrament 1026-1031, 4081)...
Sur ma ligne ADSL je recoit en moyenne 268/jour... Pas de quoi s'inquieter. Peut être créer une règle spéciale sans logging pour ces ports...
-- MaXX
nospheratus wrote:
Bonjour,
J'ai des logs zarbi sur mon FW. En résumer j'ai ça :
From 146.23.132.35 - 5 packets
To 82.224.75.81 - 5 packets
Service: 1025 (udp/1025) (Shorewall:net2all:DROP:,eth1,none) - 1
packet
[snip]
Sachant que 82.224.75.81 est l'ip de la pate externe de mon FW.
Savez-vous à quoi celà correspond ?
Merci.
Bonjour,
d'apres moi il sagit de spam du service messenger de windows... En
générale ca dit que windows a détecté une corruption de la base de
registre et qu'il faut se rendre sur un site (ferme à malware) pour
corriger...
ex: Message [truncated]: STOP! nnSCAN CRITICAL SYSTEM
ERRORSnnTo fix the errors please do the following:n1. Download
Registry Repair from: http://www.regdoc32.comn2. Install Registry
Repairn3. Run Registry Repairn4. Reboot your compute[...]
Normalement le service messenger n'ecoute que sur le port 1026 mais ces
idiots spamment sur plein d'autres ports qui ne servent à rien
(courrament 1026-1031, 4081)...
Sur ma ligne ADSL je recoit en moyenne 268/jour... Pas de quoi
s'inquieter. Peut être créer une règle spéciale sans logging pour ces
ports...
Sachant que 82.224.75.81 est l'ip de la pate externe de mon FW. Savez-vous à quoi celà correspond ? Merci. Bonjour,
d'apres moi il sagit de spam du service messenger de windows... En générale ca dit que windows a détecté une corruption de la base de registre et qu'il faut se rendre sur un site (ferme à malware) pour corriger... ex: Message [truncated]: STOP! nnSCAN CRITICAL SYSTEM ERRORSnnTo fix the errors please do the following:n1. Download Registry Repair from: http://www.regdoc32.comn2. Install Registry Repairn3. Run Registry Repairn4. Reboot your compute[...]
Normalement le service messenger n'ecoute que sur le port 1026 mais ces idiots spamment sur plein d'autres ports qui ne servent à rien (courrament 1026-1031, 4081)...
Sur ma ligne ADSL je recoit en moyenne 268/jour... Pas de quoi s'inquieter. Peut être créer une règle spéciale sans logging pour ces ports...
-- MaXX
nospheratus
Salut MaXX,
Je te remercie, le temps que mon message soit publié, j'ai trouvé la meme information que toi. Tout comme toi je reçois bcp de message de ce genre. Je vais effectivement créé une regle qui ne log pas sur ces ports là.
En revanche, je cherche un moyen de bloque les rippers ssh, sais-tu s'il s'il y a une combine pour bloquer celà ? J'ai très souvent de l part d'adresses IP coréennes des suite de tentztive de connexion ssh avec plein de login differents. Je pourrais évidement changer le port de connexion ssh, mais bon je trouve ça pas top comme manipe. l'idéal serait de faire reconnaitre à shorewall (mon FW iptable) qu'il s'agit d'un ripper.
Si tu as des propositions, je suis prenneur.
ma config : Shorewall sur une mandriva 200.
Merci et @plus -- NosPHeratus http://www.nosland.com
"MaXX" a écrit dans le message de news:eb7h3l$418$
nospheratus wrote:
Bonjour, J'ai des logs zarbi sur mon FW. En résumer j'ai ça : From 146.23.132.35 - 5 packets To 82.224.75.81 - 5 packets Service: 1025 (udp/1025) (Shorewall:net2all:DROP:,eth1,none) - 1
Sachant que 82.224.75.81 est l'ip de la pate externe de mon FW. Savez-vous à quoi celà correspond ? Merci. Bonjour,
d'apres moi il sagit de spam du service messenger de windows... En générale ca dit que windows a détecté une corruption de la base de registre et qu'il faut se rendre sur un site (ferme à malware) pour corriger... ex: Message [truncated]: STOP! nnSCAN CRITICAL SYSTEM ERRORSnnTo fix the errors please do the following:n1. Download Registry Repair from: http://www.regdoc32.comn2. Install Registry Repairn3. Run Registry Repairn4. Reboot your compute[...]
Normalement le service messenger n'ecoute que sur le port 1026 mais ces idiots spamment sur plein d'autres ports qui ne servent à rien (courrament 1026-1031, 4081)...
Sur ma ligne ADSL je recoit en moyenne 268/jour... Pas de quoi s'inquieter. Peut être créer une règle spéciale sans logging pour ces ports...
-- MaXX
Salut MaXX,
Je te remercie, le temps que mon message soit publié, j'ai trouvé la meme
information que toi.
Tout comme toi je reçois bcp de message de ce genre. Je vais effectivement
créé une regle qui ne log pas sur ces ports là.
En revanche, je cherche un moyen de bloque les rippers ssh, sais-tu s'il
s'il y a une combine pour bloquer celà ? J'ai très souvent de l part
d'adresses IP coréennes des suite de tentztive de connexion ssh avec plein
de login differents. Je pourrais évidement changer le port de connexion ssh,
mais bon je trouve ça pas top comme manipe. l'idéal serait de faire
reconnaitre à shorewall (mon FW iptable) qu'il s'agit d'un ripper.
Si tu as des propositions, je suis prenneur.
ma config : Shorewall sur une mandriva 200.
Merci et @plus
--
NosPHeratus
http://www.nosland.com
"MaXX" <bs139412@skynet.be> a écrit dans le message de
news:eb7h3l$418$1@talisker.lacave.net...
nospheratus wrote:
Bonjour,
J'ai des logs zarbi sur mon FW. En résumer j'ai ça :
From 146.23.132.35 - 5 packets
To 82.224.75.81 - 5 packets
Service: 1025 (udp/1025) (Shorewall:net2all:DROP:,eth1,none) -
1
Sachant que 82.224.75.81 est l'ip de la pate externe de mon FW.
Savez-vous à quoi celà correspond ?
Merci.
Bonjour,
d'apres moi il sagit de spam du service messenger de windows... En
générale ca dit que windows a détecté une corruption de la base de
registre et qu'il faut se rendre sur un site (ferme à malware) pour
corriger...
ex: Message [truncated]: STOP! nnSCAN CRITICAL SYSTEM
ERRORSnnTo fix the errors please do the following:n1. Download
Registry Repair from: http://www.regdoc32.comn2. Install Registry
Repairn3. Run Registry Repairn4. Reboot your compute[...]
Normalement le service messenger n'ecoute que sur le port 1026 mais ces
idiots spamment sur plein d'autres ports qui ne servent à rien
(courrament 1026-1031, 4081)...
Sur ma ligne ADSL je recoit en moyenne 268/jour... Pas de quoi
s'inquieter. Peut être créer une règle spéciale sans logging pour ces
ports...
Je te remercie, le temps que mon message soit publié, j'ai trouvé la meme information que toi. Tout comme toi je reçois bcp de message de ce genre. Je vais effectivement créé une regle qui ne log pas sur ces ports là.
En revanche, je cherche un moyen de bloque les rippers ssh, sais-tu s'il s'il y a une combine pour bloquer celà ? J'ai très souvent de l part d'adresses IP coréennes des suite de tentztive de connexion ssh avec plein de login differents. Je pourrais évidement changer le port de connexion ssh, mais bon je trouve ça pas top comme manipe. l'idéal serait de faire reconnaitre à shorewall (mon FW iptable) qu'il s'agit d'un ripper.
Si tu as des propositions, je suis prenneur.
ma config : Shorewall sur une mandriva 200.
Merci et @plus -- NosPHeratus http://www.nosland.com
"MaXX" a écrit dans le message de news:eb7h3l$418$
nospheratus wrote:
Bonjour, J'ai des logs zarbi sur mon FW. En résumer j'ai ça : From 146.23.132.35 - 5 packets To 82.224.75.81 - 5 packets Service: 1025 (udp/1025) (Shorewall:net2all:DROP:,eth1,none) - 1
Sachant que 82.224.75.81 est l'ip de la pate externe de mon FW. Savez-vous à quoi celà correspond ? Merci. Bonjour,
d'apres moi il sagit de spam du service messenger de windows... En générale ca dit que windows a détecté une corruption de la base de registre et qu'il faut se rendre sur un site (ferme à malware) pour corriger... ex: Message [truncated]: STOP! nnSCAN CRITICAL SYSTEM ERRORSnnTo fix the errors please do the following:n1. Download Registry Repair from: http://www.regdoc32.comn2. Install Registry Repairn3. Run Registry Repairn4. Reboot your compute[...]
Normalement le service messenger n'ecoute que sur le port 1026 mais ces idiots spamment sur plein d'autres ports qui ne servent à rien (courrament 1026-1031, 4081)...
Sur ma ligne ADSL je recoit en moyenne 268/jour... Pas de quoi s'inquieter. Peut être créer une règle spéciale sans logging pour ces ports...
-- MaXX
MaXX
nospheratus wrote:
Salut MaXX, Je te remercie, le temps que mon message soit publié, j'ai trouvé la meme information que toi. Tout comme toi je reçois bcp de message de ce genre. Je vais effectivement créé une regle qui ne log pas sur ces ports là. En revanche, je cherche un moyen de bloque les rippers ssh, sais-tu s'il s'il y a une combine pour bloquer celà ? J'ai très souvent de l part d'adresses IP coréennes des suite de tentztive de connexion ssh avec plein de login differents. Je pourrais évidement changer le port de connexion ssh, mais bon je trouve ça pas top comme manipe. l'idéal serait de faire reconnaitre à shorewall (mon FW iptable) qu'il s'agit d'un ripper.
Si tu as des propositions, je suis prenneur. ma config : Shorewall sur une mandriva 200. Merci et @plus Salut,
Je ne connais pas bien Linux, je suis plus habitué a FreeBSD, mais voilà quelques idées...
Je suis persuadé qu'il existe beaucoup scripts pour iptable qui peuvent bloquer une IP automatiquement apres X tentatives de login échouées. (J'ai trouvé http://www.groundzero-security.com/code/bruteforce-block.sh par exemple, j'ai survolé rapidement le script, faudra peut-etre l'adapter et je crois que tu peux te bloquer toi meme si tu te plantes trop souvent. y'a peut etre des solutions plus "évoluées" avec timeouts, liste-blanche,...).
Changer le port SSH est plus simple "ssh -p [port] [hostname]" c'est pas la fin du monde et tu peux "automatiser" ça dans la config de ssh. Si tu remarques des connections échouées la dessus y'a moins de chances qu'ils s'agisse d'un stupide script, le type a au moins fait un "fingerprint" de ta machine pour identifier les ports et les services qui sont derrières...
SSH permet d'utiliser des certificats, cette methode désactive les logins par mot de passe, et par conséquent ces attaques... Pb il te faut promener ton certificat avec toi (cle usb par ex). Voir man ssh et consors.
Le "port knocking" peut etre une solution assez cool, mais la tu dois connaitre la séquence par coeur (et disposer des commandes nécéssaires sur le client)... Pas toujours pratique, et souvant considéré comme "sécurité par l'obscurité".
Tu peux bloquer les plages d'ip ou tu as peu de chance de te connecter (tu ne vas pas tout les jours en Asie, en Afrique ou aux USA?). Mieux, ne laisser passer que les connections provenant des FAIs que tu utilise.
Par ex pour l'asie (les 3/4 viennent de la): 60.0.0.0/7 # APNIC3 + APNIC-60 202.0.0.0/7 # APNIC-CIDR-BLK 210.0.0.0/7 # APNIC-CIDR-BLK2 218.0.0.0/7 # APNIC4 + APNIC5 220.0.0.0/6 # APNIC6+7+8 + Iana (je sais plus ou j'avais trouvé cette liste)
Chez moi je suis plus restrictif, ssh n'écoute que sur mon LAN et mon VPN (http://openvpn.net/), je ne pars que rarement sans mon fidele portable. Le VPN me sert à l'exterieur et sur mon WLAN, impossible* de faire quoi que ce soit sur le WIFI sans avoir le client VPN et le certificat qui va avec...
Enfin, libre à toi de choisir la méthode qui te conviens le mieux (ou de les combiner ex: port knock+VPN ou que sais-je) en fct de tes besoins.
A+,
-- MaXX
*: je crois, restons prudents, on peut tomber un jour sur son maitre ou avoir commis une erreur tellement ridicule qu'on ne l'a pas vu.
nospheratus wrote:
Salut MaXX,
Je te remercie, le temps que mon message soit publié, j'ai trouvé la meme
information que toi.
Tout comme toi je reçois bcp de message de ce genre. Je vais effectivement
créé une regle qui ne log pas sur ces ports là.
En revanche, je cherche un moyen de bloque les rippers ssh, sais-tu s'il
s'il y a une combine pour bloquer celà ? J'ai très souvent de l part
d'adresses IP coréennes des suite de tentztive de connexion ssh avec plein
de login differents. Je pourrais évidement changer le port de connexion ssh,
mais bon je trouve ça pas top comme manipe. l'idéal serait de faire
reconnaitre à shorewall (mon FW iptable) qu'il s'agit d'un ripper.
Si tu as des propositions, je suis prenneur.
ma config : Shorewall sur une mandriva 200.
Merci et @plus
Salut,
Je ne connais pas bien Linux, je suis plus habitué a FreeBSD, mais voilà
quelques idées...
Je suis persuadé qu'il existe beaucoup scripts pour iptable qui peuvent
bloquer une IP automatiquement apres X tentatives de login échouées.
(J'ai trouvé http://www.groundzero-security.com/code/bruteforce-block.sh
par exemple, j'ai survolé rapidement le script, faudra peut-etre
l'adapter et je crois que tu peux te bloquer toi meme si tu te plantes
trop souvent. y'a peut etre des solutions plus "évoluées" avec timeouts,
liste-blanche,...).
Changer le port SSH est plus simple "ssh -p [port] [hostname]" c'est pas
la fin du monde et tu peux "automatiser" ça dans la config de ssh. Si tu
remarques des connections échouées la dessus y'a moins de chances qu'ils
s'agisse d'un stupide script, le type a au moins fait un "fingerprint"
de ta machine pour identifier les ports et les services qui sont
derrières...
SSH permet d'utiliser des certificats, cette methode désactive les
logins par mot de passe, et par conséquent ces attaques... Pb il te faut
promener ton certificat avec toi (cle usb par ex). Voir man ssh et consors.
Le "port knocking" peut etre une solution assez cool, mais la tu dois
connaitre la séquence par coeur (et disposer des commandes nécéssaires
sur le client)... Pas toujours pratique, et souvant considéré comme
"sécurité par l'obscurité".
Tu peux bloquer les plages d'ip ou tu as peu de chance de te connecter
(tu ne vas pas tout les jours en Asie, en Afrique ou aux USA?). Mieux,
ne laisser passer que les connections provenant des FAIs que tu utilise.
Par ex pour l'asie (les 3/4 viennent de la):
60.0.0.0/7 # APNIC3 + APNIC-60
202.0.0.0/7 # APNIC-CIDR-BLK
210.0.0.0/7 # APNIC-CIDR-BLK2
218.0.0.0/7 # APNIC4 + APNIC5
220.0.0.0/6 # APNIC6+7+8 + Iana
(je sais plus ou j'avais trouvé cette liste)
Chez moi je suis plus restrictif, ssh n'écoute que sur mon LAN et mon
VPN (http://openvpn.net/), je ne pars que rarement sans mon fidele
portable. Le VPN me sert à l'exterieur et sur mon WLAN, impossible* de
faire quoi que ce soit sur le WIFI sans avoir le client VPN et le
certificat qui va avec...
Enfin, libre à toi de choisir la méthode qui te conviens le mieux (ou de
les combiner ex: port knock+VPN ou que sais-je) en fct de tes besoins.
A+,
--
MaXX
*: je crois, restons prudents, on peut tomber un jour sur son maitre ou
avoir commis une erreur tellement ridicule qu'on ne l'a pas vu.
Salut MaXX, Je te remercie, le temps que mon message soit publié, j'ai trouvé la meme information que toi. Tout comme toi je reçois bcp de message de ce genre. Je vais effectivement créé une regle qui ne log pas sur ces ports là. En revanche, je cherche un moyen de bloque les rippers ssh, sais-tu s'il s'il y a une combine pour bloquer celà ? J'ai très souvent de l part d'adresses IP coréennes des suite de tentztive de connexion ssh avec plein de login differents. Je pourrais évidement changer le port de connexion ssh, mais bon je trouve ça pas top comme manipe. l'idéal serait de faire reconnaitre à shorewall (mon FW iptable) qu'il s'agit d'un ripper.
Si tu as des propositions, je suis prenneur. ma config : Shorewall sur une mandriva 200. Merci et @plus Salut,
Je ne connais pas bien Linux, je suis plus habitué a FreeBSD, mais voilà quelques idées...
Je suis persuadé qu'il existe beaucoup scripts pour iptable qui peuvent bloquer une IP automatiquement apres X tentatives de login échouées. (J'ai trouvé http://www.groundzero-security.com/code/bruteforce-block.sh par exemple, j'ai survolé rapidement le script, faudra peut-etre l'adapter et je crois que tu peux te bloquer toi meme si tu te plantes trop souvent. y'a peut etre des solutions plus "évoluées" avec timeouts, liste-blanche,...).
Changer le port SSH est plus simple "ssh -p [port] [hostname]" c'est pas la fin du monde et tu peux "automatiser" ça dans la config de ssh. Si tu remarques des connections échouées la dessus y'a moins de chances qu'ils s'agisse d'un stupide script, le type a au moins fait un "fingerprint" de ta machine pour identifier les ports et les services qui sont derrières...
SSH permet d'utiliser des certificats, cette methode désactive les logins par mot de passe, et par conséquent ces attaques... Pb il te faut promener ton certificat avec toi (cle usb par ex). Voir man ssh et consors.
Le "port knocking" peut etre une solution assez cool, mais la tu dois connaitre la séquence par coeur (et disposer des commandes nécéssaires sur le client)... Pas toujours pratique, et souvant considéré comme "sécurité par l'obscurité".
Tu peux bloquer les plages d'ip ou tu as peu de chance de te connecter (tu ne vas pas tout les jours en Asie, en Afrique ou aux USA?). Mieux, ne laisser passer que les connections provenant des FAIs que tu utilise.
Par ex pour l'asie (les 3/4 viennent de la): 60.0.0.0/7 # APNIC3 + APNIC-60 202.0.0.0/7 # APNIC-CIDR-BLK 210.0.0.0/7 # APNIC-CIDR-BLK2 218.0.0.0/7 # APNIC4 + APNIC5 220.0.0.0/6 # APNIC6+7+8 + Iana (je sais plus ou j'avais trouvé cette liste)
Chez moi je suis plus restrictif, ssh n'écoute que sur mon LAN et mon VPN (http://openvpn.net/), je ne pars que rarement sans mon fidele portable. Le VPN me sert à l'exterieur et sur mon WLAN, impossible* de faire quoi que ce soit sur le WIFI sans avoir le client VPN et le certificat qui va avec...
Enfin, libre à toi de choisir la méthode qui te conviens le mieux (ou de les combiner ex: port knock+VPN ou que sais-je) en fct de tes besoins.
A+,
-- MaXX
*: je crois, restons prudents, on peut tomber un jour sur son maitre ou avoir commis une erreur tellement ridicule qu'on ne l'a pas vu.
