Logo GNT
Actualités Tests & Guides Bons Plans
GTA 6 iPhone 17 Copilot Switch 2 Temu ChatGPT Tesla
OVH Cloud OVH Cloud
Entraide Sécurité Sécurité Sécurité Scanne par une machine de chez Microsoft ?

Scanne par une machine de chez Microsoft ?

7 réponses
Avatar
echant
bonjour

En regardant le log du firewall je regarde par curiosité à qui appartient
une machine faisant un gros scan et je tombe sur microsoft:
# whois 207.46.134.94

OrgName: Microsoft Corp
OrgID: MSFT
Address: One Microsoft Way
City: Redmond
StateProv: WA
PostalCode: 98052
Country: US

NetRange: 207.46.0.0 - 207.46.255.255
CIDR: 207.46.0.0/16
NetName: MICROSOFT-GLOBAL-NET

j'ai l'impression vu le peu d'IP que c'est leur site et non MSN.
Les logs sont comme ceci (j'ai mis des xxx sont mon adresse ip):

Aug 12 22:13:58 brouillard kernel: IPT autre-in REJECT: IN=ppp0 OUT= MAC= SRC=207.46.134.94 DST=81.56.xxx.xxx LEN=44 TOS=0x00 PREC=0x00 TTL=48 ID=12372 PROTO=TCP SPT=80 DPT=1810 WINDOW=16384 RES=0x00 ACK SYN URGP=0

Le port source est toujours 80. Les ports destinations sont:

1053
1058
1066
1145
1165
1182
1224
1246
1260
1262
1265
1341
1349
1380
1405
1412
1419
1431
1448
1451
1486
1517
1518
1538
1552
1562
1575
1599
1636
1646
1652
1662
1710
1717
1742
1762
1789
1810
1818
1824
1833
1834
1869
1966
1993

Quelqu'un a une idée de ce que ça veut dire ? ie: sont-ils piratés,
ont-ils un ver, le font-ils exprès ... ?

--
Emmanuel Chantréau
100% des gens sont dans une minorité de moins de 5% des gens.
Signaler un problème avec ce contenu

7 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Avatar
Vincent Bernat
OoO Pendant le journal télévisé du samedi 16 août 2003, vers 20:07,
(Emmanuel CHANTREAU) disait:

j'ai l'impression vu le peu d'IP que c'est leur site et non MSN.
Les logs sont comme ceci (j'ai mis des xxx sont mon adresse ip):

Aug 12 22:13:58 brouillard kernel: IPT autre-in REJECT: IN=ppp0 OUT > MAC= SRC 7.46.134.94 DST.56.xxx.xxx LEND TOS=0x00 PREC=0x00
TTLH ID372 PROTO=TCP SPT€ DPT10 WINDOW384 RES=0x00 ACK
SYN URGP=0

Le port source est toujours 80. Les ports destinations sont:


Tu t'es connecté sur le site de Microsoft et des paquets sont arrivés
en retard alors que le moteur à états a estimé que la connexion était
terminée.
--
BOFH excuse #305:
IRQ-problems with the Un-Interruptable-Power-Supply

Avatar
echant
Vincent Bernat écrit:
OoO Pendant le journal télévisé du samedi 16 août 2003, vers 20:07,
(Emmanuel CHANTREAU) disait:

j'ai l'impression vu le peu d'IP que c'est leur site et non MSN.
Les logs sont comme ceci (j'ai mis des xxx sont mon adresse ip):

Aug 12 22:13:58 brouillard kernel: IPT autre-in REJECT: IN=ppp0 OUT >> MAC= SRC 7.46.134.94 DST.56.xxx.xxx LEND TOS=0x00 PREC=0x00
TTLH ID372 PROTO=TCP SPT€ DPT10 WINDOW384 RES=0x00 ACK
SYN URGP=0

Le port source est toujours 80. Les ports destinations sont:


Tu t'es connecté sur le site de Microsoft et des paquets sont arrivés
en retard alors que le moteur à états a estimé que la connexion était
terminée.


Je ne me connecte que très très rarement à Microsoft, de plus j'imagine
mal un serveur web envoyer des paquets avec un tel retard.
En cherchant par google-usenet j'ai vu que l'adresse IP est celle d'un des
serveurs de microsoft-update. Ca doit être une attaque contre ce serveur
avec des paquets forgés ayant mon adresse comme adresse source.

--
Emmanuel Chantréau
100% des gens sont dans une minorité de moins de 5% des gens.


Avatar
Antoine

Emmanuel CHANTREAU wrote:


Je ne me connecte que très très rarement à Microsoft, de plus
j'imagine mal un serveur web envoyer des paquets avec un tel
retard. En cherchant par google-usenet j'ai vu que l'adresse IP
est celle d'un des serveurs de microsoft-update. Ca doit être une
attaque contre ce serveur avec des paquets forgés ayant mon
adresse comme adresse source.



quand sur ma machine, je tourne sous windows98se et que j'ai
besoin d'utiliser IE5, si je le lance alors que la connexion
internet n'est pas active, je vois dans la barre d'adresse que
l'accès à microsoft.com a échoué alors que ma page de démarrage
est google.fr étonnant non ?


IE est configuré par défaut (clé dans la base de registre) pour se connecter à microsoft assez
régulièrement (de mémoire : 1 fois pour 100 lancements d'IE).

--
Antoine


Avatar
Fabien LE LEZ
On 23 Aug 2003 08:32:51 GMT, Antoine wrote:

IE est configuré par défaut (clé dans la base de registre) pour se connecter à microsoft assez
régulièrement (de mémoire : 1 fois pour 100 lancements d'IE).


Donc c'est officiellement un spyware ? Il serait temps que Ad-aware et
les autres le rajoutent dans leur liste...

Avatar
T0M
Le 23 Aug 2003 08:32:51 GMT, dans fr.comp.securite vous écriviez:


IE est configuré par défaut (clé dans la base de registre) pour se connecter à microsoft assez
régulièrement (de mémoire : 1 fois pour 100 lancements d'IE).



Bonjour,

Pourrais-tu indiquer précisément la clef de la BdR ?

Merci d'avance


Avatar
Antoine

Le 23 Aug 2003 08:32:51 GMT, dans fr.comp.securite vous écriviez:


IE est configuré par défaut (clé dans la base de registre) pour
se connecter à microsoft assez régulièrement (de mémoire : 1 fois
pour 100 lancements d'IE).



Bonjour,

Pourrais-tu indiquer précisément la clef de la BdR ?


-> Regedit
-> HKEY_CURRENT_USER,Sofware,Microsoft,InternetExplorer,Main
-> ajouter une nouvelle clé DWORD (Edtion/Nouveau/Valeur DWORD)
la nommer NoUpdateCheck et fixer la valeur à 1.

Pour remettre les paramètres d'origine et permettre à nouveau la
recherche des mises à jour, il suffira de remettre cette valeur à 0.

--
Antoine



Avatar
Alni
Bonjour,



Le 23 Aug 2003 08:32:51 GMT, dans fr.comp.securite vous écriviez:


IE est configuré par défaut (clé dans la base de registre) pour
se connecter à microsoft assez régulièrement (de mémoire : 1 fois
pour 100 lancements d'IE).



Bonjour,

Pourrais-tu indiquer précisément la clef de la BdR ?


-> Regedit
-> HKEY_CURRENT_USER,Sofware,Microsoft,InternetExplorer,Main
-> ajouter une nouvelle clé DWORD (Edtion/Nouveau/Valeur DWORD)
la nommer NoUpdateCheck et fixer la valeur à 1.

Pour remettre les paramètres d'origine et permettre à nouveau la
recherche des mises à jour, il suffira de remettre cette valeur à 0.


Ce qui doit pouvoir être obtenu en allant simplement décocher la case
"maintenir mon ordi à jour...windows update..." de l'onglet "mise à jour
automatiques" des propriétés du poste de travail....