Scans incomprehensibles

Le
Merangueur
Bonjour à tous.

Depuis environ 20 jours, mon ordi est sujet à de multiples tentatives de
scan qui émanent d'adresses différentes (jusqu'à 200 scans par jours). Je
tiens à préciser que je n'utilise pas Kazaa ou tout autre logiciels peer to
peer. Possédant Sygate Personal Firewall, ce problème ne m'inquiète pas
trop. Néanmoins, ce phénomène est curieux.

J'utilise norton AV (à jour), Sygate, The Cleaner (à jour), Sybot Search
and Destroy (à jour), Spyware Blaster,Purge-it - (plus des scan avec Fprot
[à jour] sous dos, une fois par mois).

Quelle peuvent-être la sigification des ces scans ?

Merci de vos réponses.

Mérangueur
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Cedric Blancher
Le #231074
Le Mon, 03 May 2004 14:49:38 +0000, Merangueur a écrit :
Depuis environ 20 jours, mon ordi est sujet à de multiples tentatives de
scan qui émanent d'adresses différentes (jusqu'à 200 scans par jours). Je
tiens à préciser que je n'utilise pas Kazaa ou tout autre logiciels peer to
peer. Possédant Sygate Personal Firewall, ce problème ne m'inquiète pas
trop. Néanmoins, ce phénomène est curieux.


La situation actuelle est telle que les scans font partie du bruit de fond
d'Internet. Bref, c'est presque normal.

Maintenant, ce qui est intéressant quand on parle de scan, ce n'est pas
tant de savoir combien on en a par jour, mais surtout ce qu'ils visent.
Le gros scan du moment, c'est Sasser qui vise 3 ports. Il y a aussi des
scans qui semblent moins automatisés vers le port 443 (HTTPS) pour
exploitation d'une faille sous IIS 5.0 (MS04-011). Tournent aussi pas mal
de scan pour une vieille faille Webdav sous IIS (déjà discuté ici).

Bref, ce qui serait bien, pour qu'on puisse qualifier la nature et le but
de ces scans, ce serait de nous dire vers quel port ils vont (au moins).


--
C'est malheureux de constater k'apres kelkes millers d'années d'evolution,
les hommes sont encore au stade *primitive* : peur de ce k'on ne connait
pas, juger ses sembles a tout prix, coller une etiquette et j'en passe.
-+- Gl in : Guide du Neuneu d'Usenet - fufe, c'est du Darwin -+-


Merangueur
Le #231005
"Cedric Blancher" news:
| > Depuis environ 20 jours, mon ordi est sujet à de multiples tentatives de
| > scan qui émanent d'adresses différentes (jusqu'à 200 scans par jours).
Je
| > tiens à préciser que je n'utilise pas Kazaa ou tout autre logiciels peer
to
| > peer. Possédant Sygate Personal Firewall, ce problème ne m'inquiète pas
| > trop. Néanmoins, ce phénomène est curieux.
|
| La situation actuelle est telle que les scans font partie du bruit de fond
| d'Internet. Bref, c'est presque normal.
|
| Maintenant, ce qui est intéressant quand on parle de scan, ce n'est pas
| tant de savoir combien on en a par jour, mais surtout ce qu'ils visent.
| Le gros scan du moment, c'est Sasser qui vise 3 ports. Il y a aussi des
| scans qui semblent moins automatisés vers le port 443 (HTTPS) pour
| exploitation d'une faille sous IIS 5.0 (MS04-011). Tournent aussi pas mal
| de scan pour une vieille faille Webdav sous IIS (déjà discuté ici).
|
| Bref, ce qui serait bien, pour qu'on puisse qualifier la nature et le but
| de ces scans, ce serait de nous dire vers quel port ils vont (au moins).

Merci de votre réponse.

Si je comprends bien, je prends des balles perdue.

De fait, après analyse, ces scans visent principalement quatres port :

445 (SMB : Server Message Block - probablement Sasser - mais m'en fous,
suis sous 98...) De fait, ce port est aussi utilisé part Lioten, Randon,
WORM_DELODER.A, W32/Deloder.A, W32.HLLW.Deloder

2745 (Bagle sans doute)

1359 (UDP et TCP, FTSRV ) Kezako ?

0 (Nachi [aussi dénomé W32Welchia] qu'est-ce qui veut celui-là, j'ai pas
appellé l'plombier )

Merci encore

Merangueur

ps : Concernant Sasser et le port 445, voici un texte glané sur internet :

////////////////////////////////////////////////

Une des nouvelles fonctionalités de W2K est la possibilité d'utiliser les
partages de fichiers directement au dessus de TCP/IP sans utiliser la couche
Netbios (port 137, 138(UDP) et 139 (TCP)).

Maintenant, lors d'une connexion à un partage de fichier, voilà ce qui se
passe:

Si NetBios est activé sur le client, ce dernier esseaira toujours de se
connecter au serveur en utilisant simultanément les ports 139 et 445. S'il y
a une réponse sur le port 445, il envoie le drapeau TCP RESET au port 139,
et continue sa cession SMB (Server Message Block) en utilisant uniquement le
port 445. S'il n'y a pas de réponse sur le port 445, il continue sa cession
SMB sur le port 139 si celui-ci répond. Si aucun des deux ports répond, la
cession échoue totalement.

Si NetBios n'est pas activé sur le client, ce dernier essaierai toujours de
se connecter uniquement sur le port 445. Si le serveur répond sur ce port,
la cession s'établira et continuera sur ce port. S'il ne répond pas, la
cession échoue. C'est le cas notament si le serveur tourne sous NT (qui ne
supporte que le partage de fichier au dessus de la couche NetBios).

Si le serveur supporte NetBios, il écoute sur les ports UDP 137 et 138 mais
aussi sur les ports TCP 139 et 445.
Si le serveur ne supporte pas NetBios, il écoute uniquement sur le port TCP
445.

Enfin, si tu n'utilise pas les partages réseau, tu peux directement les
désactiver au niveau de la configuration de ta carte réseau en DESACTIVANT
les services "Clients pour les réseaux Microsoft" et "Partage de fichiers et
d'imprimantes pour les réseaux Microsoft". Je dis bien désactiver, car si tu
les supprime tu risque d'avoir de drôles (enfin pas si drôles) de surprises
que ça.

///////////////////////////////////////////////////////
Stephane Poirey
Le #230963
Cedric Blancher news::

Maintenant, ce qui est intéressant quand on parle de scan, ce n'est pas
tant de savoir combien on en a par jour, mais surtout ce qu'ils visent.


Moi j'ai beaucoup de scans sur mon démon ssh ainsi que des tentatives pour
voir si mon serveur de mail est open-relay...

--
Les propos tenus ici n'engagent que leur auteur qui s'exprime à titre
personnel.

Cedric Blancher
Le #230958
Le Tue, 04 May 2004 09:17:03 +0000, Merangueur a écrit :
Si je comprends bien, je prends des balles perdue.


Fort possible.

Il y a eu une présentation basée sur la capture de vers pendant 3
semaines pour la JSSI hier (presentation 4B). Les slides devraient
être en ligne bientôt. Cela permet de se faire une idée de ce que peut
recevoir une machine inactive sur Internet.

--
BOFH excuse #303:

fractal radiation jamming the backbone

Publicité
Poster une réponse
Anonyme