Je constate depuis plusieurs jours des scans UDP ayant pour port source
666 et pour ports destination 1026 à 1029. Les IP source sont toutes des
dialups (RTC ou ADSL) répartis à travers le monde (US, CZ, RU, ...) mais
je ne suis évidemment pas sûr que ces IP ne sont pas spoofées.
Le scan est fait de manière séquentielle (par port et par IP), mais je
ne vois pas trop à quoi cela peut correspondre. Quelqu'un a une idée, ou
a observé le même type de trafic ?
J'ai un tcpdump en attente d'un paquet, pour plus de détails ...
Bon, j'ai chopé quelques paquets (61) ayant comme port source 666/UDP au cours de la nuit. 26 d'entre eux avaient pour port destination 135/UDP et les 35 autres avaient 1026/UDP. Tous venaient de 66.52.249.70
Et finalement, ce n'est que du spam de type "Microsoft Messenger Service" pour du "Penis Enlargement" :( Le coupable :
http://www.genericnow.biz/
Nicob
On Tue, 25 Nov 2003 16:48:21 +0000, Nicob wrote:
J'ai un tcpdump en attente d'un paquet, pour plus de détails ...
Bon, j'ai chopé quelques paquets (61) ayant comme port source 666/UDP
au cours de la nuit. 26 d'entre eux avaient pour port destination 135/UDP
et les 35 autres avaient 1026/UDP. Tous venaient de 66.52.249.70
Et finalement, ce n'est que du spam de type "Microsoft Messenger Service"
pour du "Penis Enlargement" :( Le coupable :
J'ai un tcpdump en attente d'un paquet, pour plus de détails ...
Bon, j'ai chopé quelques paquets (61) ayant comme port source 666/UDP au cours de la nuit. 26 d'entre eux avaient pour port destination 135/UDP et les 35 autres avaient 1026/UDP. Tous venaient de 66.52.249.70
Et finalement, ce n'est que du spam de type "Microsoft Messenger Service" pour du "Penis Enlargement" :( Le coupable :
http://www.genericnow.biz/
Nicob
Matthieu
Nicob wrote:
Ben si on a les logs d'un pare-feu protégeant plusieurs adresses IP (disons une classe C), il est facile de voir à quelle heure tel ou tel paquet a été loggué, et d'en déduire que ça a commencé par X.Y.Z.1:1026 puis X.Y.Z.1:1027 puis X.Y.Z.1:1028 puis X.Y.Z.2:1026, etc.
pour une reponse par email, enlevez le .invalid for an email answer, please remove the .invalid -----------------------------------------------
Nicob wrote:
Ben si on a les logs d'un pare-feu protégeant plusieurs adresses
IP (disons une classe C), il est facile de voir à quelle heure tel
ou tel paquet a été loggué, et d'en déduire que ça a commencé par
X.Y.Z.1:1026 puis X.Y.Z.1:1027 puis X.Y.Z.1:1028 puis X.Y.Z.2:1026, etc.
Ben si on a les logs d'un pare-feu protégeant plusieurs adresses IP (disons une classe C), il est facile de voir à quelle heure tel ou tel paquet a été loggué, et d'en déduire que ça a commencé par X.Y.Z.1:1026 puis X.Y.Z.1:1027 puis X.Y.Z.1:1028 puis X.Y.Z.2:1026, etc.
pour une reponse par email, enlevez le .invalid for an email answer, please remove the .invalid -----------------------------------------------
HelloMan
Nicob wrote:
On Tue, 25 Nov 2003 16:48:21 +0000, Nicob wrote:
J'ai un tcpdump en attente d'un paquet, pour plus de détails ...
Bon, j'ai chopé quelques paquets (61) ayant comme port source 666/UDP au cours de la nuit. 26 d'entre eux avaient pour port destination 135/UDP et les 35 autres avaient 1026/UDP. Tous venaient de 66.52.249.70
Et finalement, ce n'est que du spam de type "Microsoft Messenger Service" pour du "Penis Enlargement" :( Le coupable :
http://www.genericnow.biz/
Nicob
Bonne conclusion
mais je m'étonne de n'en avoir reçu qu'un depuis Lundi (logrotate hebdomadaire, pas le temps de voir les logs de la semaine dernière)
Sinon, il y avait bien doom, qui utilisait le 666, mais c'était en réception.
-- HelloMan
Nicob wrote:
On Tue, 25 Nov 2003 16:48:21 +0000, Nicob wrote:
J'ai un tcpdump en attente d'un paquet, pour plus de détails ...
Bon, j'ai chopé quelques paquets (61) ayant comme port source 666/UDP
au cours de la nuit. 26 d'entre eux avaient pour port destination 135/UDP
et les 35 autres avaient 1026/UDP. Tous venaient de 66.52.249.70
Et finalement, ce n'est que du spam de type "Microsoft Messenger Service"
pour du "Penis Enlargement" :( Le coupable :
http://www.genericnow.biz/
Nicob
Bonne conclusion
mais je m'étonne de n'en avoir reçu qu'un depuis Lundi (logrotate
hebdomadaire, pas le temps de voir les logs de la semaine dernière)
J'ai un tcpdump en attente d'un paquet, pour plus de détails ...
Bon, j'ai chopé quelques paquets (61) ayant comme port source 666/UDP au cours de la nuit. 26 d'entre eux avaient pour port destination 135/UDP et les 35 autres avaient 1026/UDP. Tous venaient de 66.52.249.70
Et finalement, ce n'est que du spam de type "Microsoft Messenger Service" pour du "Penis Enlargement" :( Le coupable :
http://www.genericnow.biz/
Nicob
Bonne conclusion
mais je m'étonne de n'en avoir reçu qu'un depuis Lundi (logrotate hebdomadaire, pas le temps de voir les logs de la semaine dernière)
Sinon, il y avait bien doom, qui utilisait le 666, mais c'était en réception.
-- HelloMan
Nicob
On Thu, 27 Nov 2003 00:54:23 +0000, HelloMan wrote:
mais je m'étonne de n'en avoir reçu qu'un depuis Lundi
Leur algo de génération des IP destination est peut-être buggé car ça fait 10+ fois que je vois passer les mêmes paquets, depuis la même source et vers les mêmes destinations ...
Nicob
On Thu, 27 Nov 2003 00:54:23 +0000, HelloMan wrote:
mais je m'étonne de n'en avoir reçu qu'un depuis Lundi
Leur algo de génération des IP destination est peut-être buggé car
ça fait 10+ fois que je vois passer les mêmes paquets, depuis la même
source et vers les mêmes destinations ...
On Thu, 27 Nov 2003 00:54:23 +0000, HelloMan wrote:
mais je m'étonne de n'en avoir reçu qu'un depuis Lundi
Leur algo de génération des IP destination est peut-être buggé car ça fait 10+ fois que je vois passer les mêmes paquets, depuis la même source et vers les mêmes destinations ...
