Bonjour
Pourquoi que lorsque je me connecte avec FreeTelecom il y aussitôt une
attaque toutes les 2 secondes environ (surtout sur le port 445) et
ceci de façon permanente (requètes sur de très nombreux ports) et
allant en sestompant au cours de la liaison alors qu'avec Tele2 il ni
a pas un poil d'attaque sur les canaux essentiels?
Chose aussi curieuse, à la connection même, si je bloque tout avec mon
Firewall AVANT la liaison, les attaques démarrent instantanéement
avec Free.
pas étonnant de retrouver l'adresse en destination.
--
Guy Decoux
Eric
Le 9 juillet 2004 à 15:15, Jeuf nous disait :
Tous ces "attaquants" ne sont donc que des pings de requête.
Hein ? Des pings sur les ports 445 et 137 ? Qu'est-ce que c'est que des « pings de requête » ? Le port 445 est utilisé par NetBios over TCP/IP et le 137 par NetBios, rien à voir avec le FAI. Ça ressemble plus à des tentatives d'intrusion.
Il faut désactiver ces protocoles s'ils sont installés et qu'on en a pas l'utilité. Voir ici : http://www.petri.co.il/what_is_port_445_in_w2kxp.htm http://www.petri.co.il/disable_netbios_in_w2k_xp_2003.htm
Laisse-les passer, ça sera plus simple pour toi, ainsi que pour ton FAI.
Qu'est-ce que tu entends par « laisser passer » ? Le firewall doit continuer à faire son boulot et bloquer ces tentatives, il est là pour ça.
-- Cordialement
Le 9 juillet 2004 à 15:15, Jeuf nous disait :
Tous ces "attaquants" ne sont donc que des pings de requête.
Hein ? Des pings sur les ports 445 et 137 ? Qu'est-ce que c'est que des
« pings de requête » ? Le port 445 est utilisé par NetBios over TCP/IP
et le 137 par NetBios, rien à voir avec le FAI. Ça ressemble plus à des
tentatives d'intrusion.
Il faut désactiver ces protocoles s'ils sont installés et qu'on en a pas
l'utilité. Voir ici :
http://www.petri.co.il/what_is_port_445_in_w2kxp.htm
http://www.petri.co.il/disable_netbios_in_w2k_xp_2003.htm
Laisse-les passer, ça sera plus simple pour toi, ainsi que pour ton FAI.
Qu'est-ce que tu entends par « laisser passer » ? Le firewall doit
continuer à faire son boulot et bloquer ces tentatives, il est là pour
ça.
Tous ces "attaquants" ne sont donc que des pings de requête.
Hein ? Des pings sur les ports 445 et 137 ? Qu'est-ce que c'est que des « pings de requête » ? Le port 445 est utilisé par NetBios over TCP/IP et le 137 par NetBios, rien à voir avec le FAI. Ça ressemble plus à des tentatives d'intrusion.
Il faut désactiver ces protocoles s'ils sont installés et qu'on en a pas l'utilité. Voir ici : http://www.petri.co.il/what_is_port_445_in_w2kxp.htm http://www.petri.co.il/disable_netbios_in_w2k_xp_2003.htm
Laisse-les passer, ça sera plus simple pour toi, ainsi que pour ton FAI.
Qu'est-ce que tu entends par « laisser passer » ? Le firewall doit continuer à faire son boulot et bloquer ces tentatives, il est là pour ça.
-- Cordialement
F1GBY
Je pense qu'il y a les ping (un max) et les tentatives d'intrusion en sup
Qu'est-ce que tu entends par « laisser passer » ? Le firewall doit continuer à faire son boulot et bloquer ces tentatives, il est là pour ça.
Je pense qu'il y a les ping (un max) et les tentatives d'intrusion en
sup
Qu'est-ce que tu entends par « laisser passer » ? Le firewall doit
continuer à faire son boulot et bloquer ces tentatives, il est là pour
ça.
Je pense qu'il y a les ping (un max) et les tentatives d'intrusion en sup
Qu'est-ce que tu entends par « laisser passer » ? Le firewall doit continuer à faire son boulot et bloquer ces tentatives, il est là pour ça.
Christian
le ven., 09 juil. 2004 17:10:22 GMT, F1GBY écrivait sur fr.comp.securite.virus
Je pense qu'il y a les ping (un max) et les tentatives d'intrusion en sup
je ne voudrais pas trop m'avancer (pas expert en la matière) mais il me semble bien qu'un "ping" utilise le protocole ICMP, et d'après l'extrait de log que tu donnes, c'est du TCP sur le port 445 : pour moi ça ressemble à un vers genre sasser
personnellement, je ne loggue même plus les vers (le firewall bloque : il n'a pas besoin de m'avertir toutes les 5mn)
s'il s'agissait d'un "pirate" qui tentait une intrusion, je pense que tu verrais des dizaines de tentatives sur beaucoup plus de n° de ports (à quoi bon s'acharner sur un port : s'il répond fermé, autant en chercher un autre non ?)
fais un test sur pc.flank ou grc.com : tu verras si ton firewall a oublié quelque chose d'évident
tout mon baratin est à prendre avec des pincettes : je ne suis pas expert en sécurité :-)
-- Christian (enlever le H de mon e-mail)
le ven., 09 juil. 2004 17:10:22 GMT, F1GBY écrivait sur
fr.comp.securite.virus
Je pense qu'il y a les ping (un max) et les tentatives d'intrusion en
sup
je ne voudrais pas trop m'avancer (pas expert en la matière) mais il me
semble bien qu'un "ping" utilise le protocole ICMP, et d'après l'extrait
de log que tu donnes, c'est du TCP sur le port 445 : pour moi ça
ressemble à un vers genre sasser
personnellement, je ne loggue même plus les vers (le firewall bloque : il
n'a pas besoin de m'avertir toutes les 5mn)
s'il s'agissait d'un "pirate" qui tentait une intrusion, je pense que tu
verrais des dizaines de tentatives sur beaucoup plus de n° de ports
(à quoi bon s'acharner sur un port : s'il répond fermé, autant en
chercher un autre non ?)
fais un test sur pc.flank ou grc.com : tu verras si ton firewall a oublié
quelque chose d'évident
tout mon baratin est à prendre avec des pincettes : je ne suis pas expert
en sécurité :-)
le ven., 09 juil. 2004 17:10:22 GMT, F1GBY écrivait sur fr.comp.securite.virus
Je pense qu'il y a les ping (un max) et les tentatives d'intrusion en sup
je ne voudrais pas trop m'avancer (pas expert en la matière) mais il me semble bien qu'un "ping" utilise le protocole ICMP, et d'après l'extrait de log que tu donnes, c'est du TCP sur le port 445 : pour moi ça ressemble à un vers genre sasser
personnellement, je ne loggue même plus les vers (le firewall bloque : il n'a pas besoin de m'avertir toutes les 5mn)
s'il s'agissait d'un "pirate" qui tentait une intrusion, je pense que tu verrais des dizaines de tentatives sur beaucoup plus de n° de ports (à quoi bon s'acharner sur un port : s'il répond fermé, autant en chercher un autre non ?)
fais un test sur pc.flank ou grc.com : tu verras si ton firewall a oublié quelque chose d'évident
tout mon baratin est à prendre avec des pincettes : je ne suis pas expert en sécurité :-)
-- Christian (enlever le H de mon e-mail)
Jeuf
"ts" écriva...
"J" == Jeuf writes:
J> Ils vienent TOUS du même endroit : Proxad de Rennes.
ils *VONT* tous au même endroit
Ouais, désolé. Je n'ai pris QUE l'adresse de destination.
Toutes mes excuses. Pour me faire pardonner, je referai toute l'analye lundi (je ne suis pas sur mon pc, et je n'ai pas les bons outils)
------------------------ JFV - TOUT penaud ------------------------
"ts" écriva...
"J" == Jeuf <jfv@fr.fm> writes:
J> Ils vienent TOUS du même endroit : Proxad de Rennes.
ils *VONT* tous au même endroit
Ouais, désolé.
Je n'ai pris QUE l'adresse de destination.
Toutes mes excuses.
Pour me faire pardonner, je referai toute l'analye lundi
(je ne suis pas sur mon pc, et je n'ai pas les bons outils)
------------------------
JFV - TOUT penaud
------------------------
