Je constate depuis plusieurs jours des scans UDP ayant pour port source
666 et pour ports destination 1026 à 1029. Les IP source sont toutes des
dialups (RTC ou ADSL) répartis à travers le monde (US, CZ, RU, ...) mais
je ne suis évidemment pas sûr que ces IP ne sont pas spoofées.
Le scan est fait de manière séquentielle (par port et par IP), mais je
ne vois pas trop à quoi cela peut correspondre. Quelqu'un a une idée, ou
a observé le même type de trafic ?
Une des sources les plus actives sur les réseaux que je surveille (pour les scans UDP/666 vers UDP/1026->1029) est déjà connue chez Dshield :
http://www.dshield.org/ipinfo.php?ipf.52.249.70
Nicob
Bertrand
Salut,
Le scan est fait de manière séquentielle (par port et par IP), mais je ne vois pas trop à quoi cela peut correspondre. Quelqu'un a une idée, ou a observé le même type de trafic ?
Hypothese parmi d'autre: backdoor dans un ver qui se propage par email par ex., l'auteur cherchant des machines "ouvertes".
Pourrais tu poster un dump d'un paquet, si ils ne sont pas trop gros ?
@+ Bertrand
Salut,
Le scan est fait de manière séquentielle (par port et par IP), mais je
ne vois pas trop à quoi cela peut correspondre. Quelqu'un a une idée, ou
a observé le même type de trafic ?
Hypothese parmi d'autre: backdoor dans un ver qui se propage par email par
ex., l'auteur cherchant des machines "ouvertes".
Pourrais tu poster un dump d'un paquet, si ils ne sont pas trop gros ?
Le scan est fait de manière séquentielle (par port et par IP), mais je ne vois pas trop à quoi cela peut correspondre. Quelqu'un a une idée, ou a observé le même type de trafic ?
Hypothese parmi d'autre: backdoor dans un ver qui se propage par email par ex., l'auteur cherchant des machines "ouvertes".
Pourrais tu poster un dump d'un paquet, si ils ne sont pas trop gros ?
@+ Bertrand
FrekoDing
Dans la news : , Nicob ecrivait (justement !) :
Salut !
Salut !
Je constate depuis plusieurs jours des scans UDP ayant pour port source 666 et pour ports destination 1026 à 1029. Les IP source sont toutes des dialups (RTC ou ADSL) répartis à travers le monde (US, CZ, RU, ...) mais je ne suis évidemment pas sûr que ces IP ne sont pas spoofées. Le scan est fait de manière séquentielle (par port et par IP), mais je ne vois pas trop à quoi cela peut correspondre. Quelqu'un a une idée, ou a observé le même type de trafic ?
je confirme. idem pour moi.
Dans la news : pan.2003.11.25.08.36.23.203338@nicob.net,
Nicob <usenet@nicob.net> ecrivait (justement !) :
Salut !
Salut !
Je constate depuis plusieurs jours des scans UDP ayant pour port
source 666 et pour ports destination 1026 à 1029. Les IP source sont
toutes des dialups (RTC ou ADSL) répartis à travers le monde (US, CZ,
RU, ...) mais je ne suis évidemment pas sûr que ces IP ne sont pas
spoofées.
Le scan est fait de manière séquentielle (par port et par IP), mais je
ne vois pas trop à quoi cela peut correspondre. Quelqu'un a une idée,
ou a observé le même type de trafic ?
Je constate depuis plusieurs jours des scans UDP ayant pour port source 666 et pour ports destination 1026 à 1029. Les IP source sont toutes des dialups (RTC ou ADSL) répartis à travers le monde (US, CZ, RU, ...) mais je ne suis évidemment pas sûr que ces IP ne sont pas spoofées. Le scan est fait de manière séquentielle (par port et par IP), mais je ne vois pas trop à quoi cela peut correspondre. Quelqu'un a une idée, ou a observé le même type de trafic ?
je confirme. idem pour moi.
Sebastien Reister
Nicob wrote:
Salut !
Je constate depuis plusieurs jours des scans UDP ayant pour port source 666 et pour ports destination 1026 à 1029. Les IP source sont toutes des dialups (RTC ou ADSL) répartis à travers le monde (US, CZ, RU, ...) mais je ne suis évidemment pas sûr que ces IP ne sont pas spoofées.
Le scan est fait de manière séquentielle (par port et par IP), mais je ne vois pas trop à quoi cela peut correspondre. Quelqu'un a une idée, ou a observé le même type de trafic ?
Pareil depuis quelques semaine j'ai un max de log avec le port UDP/666 en source.
Je vais voir sur incidents si quelqu'un a vu quelquechose.
Nicob wrote:
Salut !
Je constate depuis plusieurs jours des scans UDP ayant pour port source
666 et pour ports destination 1026 à 1029. Les IP source sont toutes des
dialups (RTC ou ADSL) répartis à travers le monde (US, CZ, RU, ...) mais
je ne suis évidemment pas sûr que ces IP ne sont pas spoofées.
Le scan est fait de manière séquentielle (par port et par IP), mais je
ne vois pas trop à quoi cela peut correspondre. Quelqu'un a une idée, ou
a observé le même type de trafic ?
Pareil depuis quelques semaine j'ai un max de log avec le port UDP/666
en source.
Je vais voir sur incidents si quelqu'un a vu quelquechose.
Je constate depuis plusieurs jours des scans UDP ayant pour port source 666 et pour ports destination 1026 à 1029. Les IP source sont toutes des dialups (RTC ou ADSL) répartis à travers le monde (US, CZ, RU, ...) mais je ne suis évidemment pas sûr que ces IP ne sont pas spoofées.
Le scan est fait de manière séquentielle (par port et par IP), mais je ne vois pas trop à quoi cela peut correspondre. Quelqu'un a une idée, ou a observé le même type de trafic ?
Pareil depuis quelques semaine j'ai un max de log avec le port UDP/666 en source.
Je vais voir sur incidents si quelqu'un a vu quelquechose.
Nicob
On Tue, 25 Nov 2003 14:33:29 +0000, Sebastien Reister wrote:
Pareil depuis quelques semaine j'ai un max de log avec le port UDP/666 en source.
Je me demandais aussi pourquoi scanner ces ports là (1026 à 1029 UDP).
Et ce matin, je tombe sur une machine en ADSL qui scanne pour des failles IIS un de mes serveurs Web. La machine à l'origine des attaques semble compromise (elle héberge un stro) et a comme par hasard le port 1028/UDP ouvert.
Une coïncidence ?
Nicob
On Tue, 25 Nov 2003 14:33:29 +0000, Sebastien Reister wrote:
Pareil depuis quelques semaine j'ai un max de log avec le port UDP/666 en
source.
Je me demandais aussi pourquoi scanner ces ports là (1026 à 1029 UDP).
Et ce matin, je tombe sur une machine en ADSL qui scanne pour des failles
IIS un de mes serveurs Web. La machine à l'origine des attaques semble
compromise (elle héberge un stro) et a comme par hasard le port 1028/UDP
ouvert.
On Tue, 25 Nov 2003 14:33:29 +0000, Sebastien Reister wrote:
Pareil depuis quelques semaine j'ai un max de log avec le port UDP/666 en source.
Je me demandais aussi pourquoi scanner ces ports là (1026 à 1029 UDP).
Et ce matin, je tombe sur une machine en ADSL qui scanne pour des failles IIS un de mes serveurs Web. La machine à l'origine des attaques semble compromise (elle héberge un stro) et a comme par hasard le port 1028/UDP ouvert.
Une coïncidence ?
Nicob
Michel Arboi
Nicob writes:
Je constate depuis plusieurs jours des scans UDP ayant pour port source 666
J'ai vu des choses comme ça. je soupçonne que ce soit un scanner pour gr0zax0rz. En tout cas, ce n'est vraiment pas discret.
-- http://arboi.da.ru FAQNOPI de fr.comp.securite http://faqnopi.da.ru/
T0t0
"Bertrand" wrote in message news:
Hypothese parmi d'autre: backdoor dans un ver qui se propage par email par ex., l'auteur cherchant des machines "ouvertes".
Oui, mais ce qui est étonnant est le port 666 utilisé en source, et que le port destination soit aléatoire.
Ca pourrait ressembler aussi à un scan avec une adresse spoofée fait par un ver quelconque. J'envoies un scan UDP avec le port 666 en destination en spoofant aléatoirement l'@IP source. La réponse arrive à cette IP spoofée avec le port 666 en source, et un port élevé > 1024 en dest (typiquement des ports >1024, mais proches lors du reboot d'une machine) Je n'arrive pas à y voir d'intérêt particulier, mis à part que l'IP en destination sera vue comme un vilain garçon. Mais bon, c'est peut être juste un délire perso :-)
Pourrais tu poster un dump d'un paquet, si ils ne sont pas trop gros ?
Yep, bonne idée.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Bertrand" <usenet@cykian.net> wrote in message
news:pan.2003.11.25.11.37.51.455618@cykian.net
Hypothese parmi d'autre: backdoor dans un ver qui se propage par email par
ex., l'auteur cherchant des machines "ouvertes".
Oui, mais ce qui est étonnant est le port 666 utilisé en source, et
que le port destination soit aléatoire.
Ca pourrait ressembler aussi à un scan avec une adresse spoofée fait
par un ver quelconque.
J'envoies un scan UDP avec le port 666 en destination en spoofant
aléatoirement l'@IP source. La réponse arrive à cette IP spoofée avec
le port 666 en source, et un port élevé > 1024 en dest (typiquement des
ports >1024, mais proches lors du reboot d'une machine)
Je n'arrive pas à y voir d'intérêt particulier, mis à part que l'IP en
destination sera vue comme un vilain garçon. Mais bon, c'est peut
être juste un délire perso :-)
Pourrais tu poster un dump d'un paquet, si ils ne sont pas trop gros ?
Yep, bonne idée.
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Hypothese parmi d'autre: backdoor dans un ver qui se propage par email par ex., l'auteur cherchant des machines "ouvertes".
Oui, mais ce qui est étonnant est le port 666 utilisé en source, et que le port destination soit aléatoire.
Ca pourrait ressembler aussi à un scan avec une adresse spoofée fait par un ver quelconque. J'envoies un scan UDP avec le port 666 en destination en spoofant aléatoirement l'@IP source. La réponse arrive à cette IP spoofée avec le port 666 en source, et un port élevé > 1024 en dest (typiquement des ports >1024, mais proches lors du reboot d'une machine) Je n'arrive pas à y voir d'intérêt particulier, mis à part que l'IP en destination sera vue comme un vilain garçon. Mais bon, c'est peut être juste un délire perso :-)
Pourrais tu poster un dump d'un paquet, si ils ne sont pas trop gros ?
Yep, bonne idée.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Matthieu
Nicob wrote:
Salut !
bonjour,
Le scan est fait de manière séquentielle (par port et par IP), mais je ne vois pas trop à quoi cela peut correspondre.
petite question toute bete: en tant que newbie je me demandais comment tu arrives a te rendre compte que le scan est fait de manière sequentielle? cela m'interesse merci d'avance
pour une reponse par email, enlevez le .invalid for an email answer, please remove the .invalid -----------------------------------------------
Nicob wrote:
Salut !
bonjour,
Le scan est fait de manière séquentielle (par port et par IP), mais je
ne vois pas trop à quoi cela peut correspondre.
petite question toute bete: en tant que newbie je me demandais comment
tu arrives a te rendre compte que le scan est fait de manière
sequentielle? cela m'interesse
merci d'avance
Le scan est fait de manière séquentielle (par port et par IP), mais je ne vois pas trop à quoi cela peut correspondre.
petite question toute bete: en tant que newbie je me demandais comment tu arrives a te rendre compte que le scan est fait de manière sequentielle? cela m'interesse merci d'avance
L'ID s'incrémente à chaque paquet émis. Les autres champs (sauf DPT) sont fixes. Le TTL indique (si le paquet est passé par la pile de l'OS) un OS Windows côté émetteur.
J'ai un tcpdump en attente d'un paquet, pour plus de détails ...
Nicob
On Tue, 25 Nov 2003 16:25:49 +0000, T0t0 wrote:
Pourrais tu poster un dump d'un paquet, si ils ne sont pas trop gros ?
L'ID s'incrémente à chaque paquet émis.
Les autres champs (sauf DPT) sont fixes.
Le TTL indique (si le paquet est passé par la pile de l'OS) un OS Windows
côté émetteur.
J'ai un tcpdump en attente d'un paquet, pour plus de détails ...
L'ID s'incrémente à chaque paquet émis. Les autres champs (sauf DPT) sont fixes. Le TTL indique (si le paquet est passé par la pile de l'OS) un OS Windows côté émetteur.
J'ai un tcpdump en attente d'un paquet, pour plus de détails ...
Nicob
Nicob
On Tue, 25 Nov 2003 16:25:49 +0000, Matthieu wrote:
petite question toute bete: en tant que newbie je me demandais comment tu arrives a te rendre compte que le scan est fait de manière sequentielle?
Ben si on a les logs d'un pare-feu protégeant plusieurs adresses IP (disons une classe C), il est facile de voir à quelle heure tel ou tel paquet a été loggué, et d'en déduire que ça a commencé par X.Y.Z.1:1026 puis X.Y.Z.1:1027 puis X.Y.Z.1:1028 puis X.Y.Z.2:1026, etc.
Nicob
On Tue, 25 Nov 2003 16:25:49 +0000, Matthieu wrote:
petite question toute bete: en tant que newbie je me demandais comment tu
arrives a te rendre compte que le scan est fait de manière sequentielle?
Ben si on a les logs d'un pare-feu protégeant plusieurs adresses
IP (disons une classe C), il est facile de voir à quelle heure tel
ou tel paquet a été loggué, et d'en déduire que ça a commencé par
X.Y.Z.1:1026 puis X.Y.Z.1:1027 puis X.Y.Z.1:1028 puis X.Y.Z.2:1026, etc.
On Tue, 25 Nov 2003 16:25:49 +0000, Matthieu wrote:
petite question toute bete: en tant que newbie je me demandais comment tu arrives a te rendre compte que le scan est fait de manière sequentielle?
Ben si on a les logs d'un pare-feu protégeant plusieurs adresses IP (disons une classe C), il est facile de voir à quelle heure tel ou tel paquet a été loggué, et d'en déduire que ça a commencé par X.Y.Z.1:1026 puis X.Y.Z.1:1027 puis X.Y.Z.1:1028 puis X.Y.Z.2:1026, etc.
