Quelque chose scanne vers ports distants 1433 (sql-server) ou 135
4 réponses
Draniom
Bonjour,
J'ai isolé deux machines sur notre réseau, avec quelque chose dessus
qui scanne :
- sur une bécane la plage ip 192.169.*.*, port distant 1433
- sur une bécane la plage ip 192.169.*.*, port distant 135
Manifestement je suis en présence de worms mais si vous avez des infos
? Mes outils de détection ne trouvent rien de spécial.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Draniom
J'ai isolé deux machines sur notre réseau, avec quelque chose dessus qui scanne : - sur une bécane la plage ip 192.169.*.*, port distant 1433 - sur une bécane la plage ip 192.169.*.*, port distant 135
Manifestement je suis en présence de worms mais si vous avez des infos ? Mes outils de détection ne trouvent rien de spécial.
En fait je trouve bien des infos sur comment se protéger de ce genre d'attaque, mais là mes machines semblent les initier, et je ne trouve pas de quel virus il s'agit.
-- Draniom
J'ai isolé deux machines sur notre réseau, avec quelque chose dessus qui
scanne :
- sur une bécane la plage ip 192.169.*.*, port distant 1433
- sur une bécane la plage ip 192.169.*.*, port distant 135
Manifestement je suis en présence de worms mais si vous avez des infos ? Mes
outils de détection ne trouvent rien de spécial.
En fait je trouve bien des infos sur comment se protéger de ce genre
d'attaque, mais là mes machines semblent les initier, et je ne trouve
pas de quel virus il s'agit.
J'ai isolé deux machines sur notre réseau, avec quelque chose dessus qui scanne : - sur une bécane la plage ip 192.169.*.*, port distant 1433 - sur une bécane la plage ip 192.169.*.*, port distant 135
Manifestement je suis en présence de worms mais si vous avez des infos ? Mes outils de détection ne trouvent rien de spécial.
En fait je trouve bien des infos sur comment se protéger de ce genre d'attaque, mais là mes machines semblent les initier, et je ne trouve pas de quel virus il s'agit.
-- Draniom
Ghost the Gremlins
J'ai isolé deux machines sur notre réseau, avec quelque chose dessus qui scanne : - sur une bécane la plage ip 192.169.*.*, port distant 1433 - sur une bécane la plage ip 192.169.*.*, port distant 135
Manifestement je suis en présence de worms mais si vous avez des infos ? Mes outils de détection ne trouvent rien de spécial.
En fait je trouve bien des infos sur comment se protéger de ce genre d'attaque, mais là mes machines semblent les initier, et je ne trouve pas de quel virus il s'agit.
Ta cherche d'avoir quels softs pourraient ouvrir ces ports.. Pour te répondre : sur le port 135, c'est le binaire de nom epmap, un DCE endpoint resolution. C'un service que tu trouve que win. man google pour plus ample infos. Apres en ce qui concerne le port 1433, c'est Microsoft-SQL-Server, de nom de binaire : ms-sql-s Sache que les ports ne peuvent pas être ouvert par n'importe qu'elle programme, mise à paris si il a les droits adéquates. Mais surtout que les port de 0 à 1023 sont des ports réservé que seul le systeme peut utiliser, ou binaire avec droit root. Ensuite de 1024 à 49151, sont des numéros de port enregistré. La j'ai pas de précision sur leur utilisation.` Sinon man rfc.
Donc la première marche à suivre est de savoir si ces services sont bien en lancer. bon courage.
J'ai isolé deux machines sur notre réseau, avec quelque chose dessus
qui scanne :
- sur une bécane la plage ip 192.169.*.*, port distant 1433
- sur une bécane la plage ip 192.169.*.*, port distant 135
Manifestement je suis en présence de worms mais si vous avez des infos
? Mes outils de détection ne trouvent rien de spécial.
En fait je trouve bien des infos sur comment se protéger de ce genre
d'attaque, mais là mes machines semblent les initier, et je ne trouve
pas de quel virus il s'agit.
Ta cherche d'avoir quels softs pourraient ouvrir ces ports..
Pour te répondre : sur le port 135, c'est le binaire de nom epmap, un
DCE endpoint resolution. C'un service que tu trouve que win. man google
pour plus ample infos.
Apres en ce qui concerne le port 1433, c'est Microsoft-SQL-Server, de
nom de binaire : ms-sql-s
Sache que les ports ne peuvent pas être ouvert par n'importe qu'elle
programme, mise à paris si il a les droits adéquates. Mais surtout que
les port de 0 à 1023 sont des ports réservé que seul le systeme peut
utiliser, ou binaire avec droit root.
Ensuite de 1024 à 49151, sont des numéros de port enregistré. La j'ai
pas de précision sur leur utilisation.`
Sinon man rfc.
Donc la première marche à suivre est de savoir si ces services sont bien
en lancer.
bon courage.
J'ai isolé deux machines sur notre réseau, avec quelque chose dessus qui scanne : - sur une bécane la plage ip 192.169.*.*, port distant 1433 - sur une bécane la plage ip 192.169.*.*, port distant 135
Manifestement je suis en présence de worms mais si vous avez des infos ? Mes outils de détection ne trouvent rien de spécial.
En fait je trouve bien des infos sur comment se protéger de ce genre d'attaque, mais là mes machines semblent les initier, et je ne trouve pas de quel virus il s'agit.
Ta cherche d'avoir quels softs pourraient ouvrir ces ports.. Pour te répondre : sur le port 135, c'est le binaire de nom epmap, un DCE endpoint resolution. C'un service que tu trouve que win. man google pour plus ample infos. Apres en ce qui concerne le port 1433, c'est Microsoft-SQL-Server, de nom de binaire : ms-sql-s Sache que les ports ne peuvent pas être ouvert par n'importe qu'elle programme, mise à paris si il a les droits adéquates. Mais surtout que les port de 0 à 1023 sont des ports réservé que seul le systeme peut utiliser, ou binaire avec droit root. Ensuite de 1024 à 49151, sont des numéros de port enregistré. La j'ai pas de précision sur leur utilisation.` Sinon man rfc.
Donc la première marche à suivre est de savoir si ces services sont bien en lancer. bon courage.
Rakotomandimby (R12y) Mihamina
Ghost the Gremlins :
man google pour plus ample infos.
$ man google No manual entry for google
:-)
-- Miroir de logiciels libres http://www.etud-orleans.fr Développement de logiciels libres http://aspo.rktmb.org/activites/developpement Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance (En louant les services de l'ASPO vous luttez contre la fracture numerique)
Ghost the Gremlins <ghost.kenshin@gmail.com> :
man google pour
plus ample infos.
$ man google
No manual entry for google
:-)
--
Miroir de logiciels libres http://www.etud-orleans.fr
Développement de logiciels libres http://aspo.rktmb.org/activites/developpement
Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance
(En louant les services de l'ASPO vous luttez contre la fracture numerique)
-- Miroir de logiciels libres http://www.etud-orleans.fr Développement de logiciels libres http://aspo.rktmb.org/activites/developpement Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance (En louant les services de l'ASPO vous luttez contre la fracture numerique)
Draniom
Trouvé.
Pour info : c'est un vers de type WORM_RBOT.BIC qu'on détecte par la présence du fichier c:windowssystem32cfmon.exe et/ou l'existence d'un service nommé "Sound Sservice Driver" (Sound Service).
Pour s'en débarasser : http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_RBOT.BIC&VSect=Sn
-- Draniom
Trouvé.
Pour info : c'est un vers de type WORM_RBOT.BIC qu'on détecte par la
présence du fichier c:windowssystem32cfmon.exe et/ou l'existence
d'un service nommé "Sound Sservice Driver" (Sound Service).
Pour s'en débarasser :
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_RBOT.BIC&VSect=Sn
Pour info : c'est un vers de type WORM_RBOT.BIC qu'on détecte par la présence du fichier c:windowssystem32cfmon.exe et/ou l'existence d'un service nommé "Sound Sservice Driver" (Sound Service).
Pour s'en débarasser : http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_RBOT.BIC&VSect=Sn
