Depuis environ 20 jours, mon ordi est sujet à de multiples tentatives de
scan qui émanent d'adresses différentes (jusqu'à 200 scans par jours). Je
tiens à préciser que je n'utilise pas Kazaa ou tout autre logiciels peer to
peer. Possédant Sygate Personal Firewall, ce problème ne m'inquiète pas
trop. Néanmoins, ce phénomène est curieux.
J'utilise norton AV (à jour), Sygate, The Cleaner (à jour), Sybot Search
and Destroy (à jour), Spyware Blaster,Purge-it - (plus des scan avec Fprot
[à jour] sous dos, une fois par mois).
Quelle peuvent-être la sigification des ces scans ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Cedric Blancher
Le Mon, 03 May 2004 14:49:38 +0000, Merangueur a écrit :
Depuis environ 20 jours, mon ordi est sujet à de multiples tentatives de scan qui émanent d'adresses différentes (jusqu'à 200 scans par jours). Je tiens à préciser que je n'utilise pas Kazaa ou tout autre logiciels peer to peer. Possédant Sygate Personal Firewall, ce problème ne m'inquiète pas trop. Néanmoins, ce phénomène est curieux.
La situation actuelle est telle que les scans font partie du bruit de fond d'Internet. Bref, c'est presque normal.
Maintenant, ce qui est intéressant quand on parle de scan, ce n'est pas tant de savoir combien on en a par jour, mais surtout ce qu'ils visent. Le gros scan du moment, c'est Sasser qui vise 3 ports. Il y a aussi des scans qui semblent moins automatisés vers le port 443 (HTTPS) pour exploitation d'une faille sous IIS 5.0 (MS04-011). Tournent aussi pas mal de scan pour une vieille faille Webdav sous IIS (déjà discuté ici).
Bref, ce qui serait bien, pour qu'on puisse qualifier la nature et le but de ces scans, ce serait de nous dire vers quel port ils vont (au moins).
--
C'est malheureux de constater k'apres kelkes millers d'années d'evolution, les hommes sont encore au stade *primitive* : peur de ce k'on ne connait pas, juger ses sembles a tout prix, coller une etiquette et j'en passe. -+- Gl in : Guide du Neuneu d'Usenet - fufe, c'est du Darwin -+-
Le Mon, 03 May 2004 14:49:38 +0000, Merangueur a écrit :
Depuis environ 20 jours, mon ordi est sujet à de multiples tentatives de
scan qui émanent d'adresses différentes (jusqu'à 200 scans par jours). Je
tiens à préciser que je n'utilise pas Kazaa ou tout autre logiciels peer to
peer. Possédant Sygate Personal Firewall, ce problème ne m'inquiète pas
trop. Néanmoins, ce phénomène est curieux.
La situation actuelle est telle que les scans font partie du bruit de fond
d'Internet. Bref, c'est presque normal.
Maintenant, ce qui est intéressant quand on parle de scan, ce n'est pas
tant de savoir combien on en a par jour, mais surtout ce qu'ils visent.
Le gros scan du moment, c'est Sasser qui vise 3 ports. Il y a aussi des
scans qui semblent moins automatisés vers le port 443 (HTTPS) pour
exploitation d'une faille sous IIS 5.0 (MS04-011). Tournent aussi pas mal
de scan pour une vieille faille Webdav sous IIS (déjà discuté ici).
Bref, ce qui serait bien, pour qu'on puisse qualifier la nature et le but
de ces scans, ce serait de nous dire vers quel port ils vont (au moins).
--
C'est malheureux de constater k'apres kelkes millers d'années d'evolution,
les hommes sont encore au stade *primitive* : peur de ce k'on ne connait
pas, juger ses sembles a tout prix, coller une etiquette et j'en passe.
-+- Gl in : Guide du Neuneu d'Usenet - fufe, c'est du Darwin -+-
Le Mon, 03 May 2004 14:49:38 +0000, Merangueur a écrit :
Depuis environ 20 jours, mon ordi est sujet à de multiples tentatives de scan qui émanent d'adresses différentes (jusqu'à 200 scans par jours). Je tiens à préciser que je n'utilise pas Kazaa ou tout autre logiciels peer to peer. Possédant Sygate Personal Firewall, ce problème ne m'inquiète pas trop. Néanmoins, ce phénomène est curieux.
La situation actuelle est telle que les scans font partie du bruit de fond d'Internet. Bref, c'est presque normal.
Maintenant, ce qui est intéressant quand on parle de scan, ce n'est pas tant de savoir combien on en a par jour, mais surtout ce qu'ils visent. Le gros scan du moment, c'est Sasser qui vise 3 ports. Il y a aussi des scans qui semblent moins automatisés vers le port 443 (HTTPS) pour exploitation d'une faille sous IIS 5.0 (MS04-011). Tournent aussi pas mal de scan pour une vieille faille Webdav sous IIS (déjà discuté ici).
Bref, ce qui serait bien, pour qu'on puisse qualifier la nature et le but de ces scans, ce serait de nous dire vers quel port ils vont (au moins).
--
C'est malheureux de constater k'apres kelkes millers d'années d'evolution, les hommes sont encore au stade *primitive* : peur de ce k'on ne connait pas, juger ses sembles a tout prix, coller une etiquette et j'en passe. -+- Gl in : Guide du Neuneu d'Usenet - fufe, c'est du Darwin -+-
Merangueur
"Cedric Blancher" a écrit dans le message news: | > Depuis environ 20 jours, mon ordi est sujet à de multiples tentatives de | > scan qui émanent d'adresses différentes (jusqu'à 200 scans par jours). Je | > tiens à préciser que je n'utilise pas Kazaa ou tout autre logiciels peer to | > peer. Possédant Sygate Personal Firewall, ce problème ne m'inquiète pas | > trop. Néanmoins, ce phénomène est curieux. | | La situation actuelle est telle que les scans font partie du bruit de fond | d'Internet. Bref, c'est presque normal. | | Maintenant, ce qui est intéressant quand on parle de scan, ce n'est pas | tant de savoir combien on en a par jour, mais surtout ce qu'ils visent. | Le gros scan du moment, c'est Sasser qui vise 3 ports. Il y a aussi des | scans qui semblent moins automatisés vers le port 443 (HTTPS) pour | exploitation d'une faille sous IIS 5.0 (MS04-011). Tournent aussi pas mal | de scan pour une vieille faille Webdav sous IIS (déjà discuté ici). | | Bref, ce qui serait bien, pour qu'on puisse qualifier la nature et le but | de ces scans, ce serait de nous dire vers quel port ils vont (au moins).
Merci de votre réponse.
Si je comprends bien, je prends des balles perdue.
De fait, après analyse, ces scans visent principalement quatres port :
445 (SMB : Server Message Block - probablement Sasser - mais m'en fous, suis sous 98...) De fait, ce port est aussi utilisé part Lioten, Randon, WORM_DELODER.A, W32/Deloder.A, W32.HLLW.Deloder
2745 (Bagle sans doute)
1359 (UDP et TCP, FTSRV ) Kezako ?
0 (Nachi [aussi dénomé W32Welchia] qu'est-ce qui veut celui-là, j'ai pas appellé l'plombier )
Merci encore
Merangueur
ps : Concernant Sasser et le port 445, voici un texte glané sur internet :
////////////////////////////////////////////////
Une des nouvelles fonctionalités de W2K est la possibilité d'utiliser les partages de fichiers directement au dessus de TCP/IP sans utiliser la couche Netbios (port 137, 138(UDP) et 139 (TCP)).
Maintenant, lors d'une connexion à un partage de fichier, voilà ce qui se passe:
Si NetBios est activé sur le client, ce dernier esseaira toujours de se connecter au serveur en utilisant simultanément les ports 139 et 445. S'il y a une réponse sur le port 445, il envoie le drapeau TCP RESET au port 139, et continue sa cession SMB (Server Message Block) en utilisant uniquement le port 445. S'il n'y a pas de réponse sur le port 445, il continue sa cession SMB sur le port 139 si celui-ci répond. Si aucun des deux ports répond, la cession échoue totalement.
Si NetBios n'est pas activé sur le client, ce dernier essaierai toujours de se connecter uniquement sur le port 445. Si le serveur répond sur ce port, la cession s'établira et continuera sur ce port. S'il ne répond pas, la cession échoue. C'est le cas notament si le serveur tourne sous NT (qui ne supporte que le partage de fichier au dessus de la couche NetBios).
Si le serveur supporte NetBios, il écoute sur les ports UDP 137 et 138 mais aussi sur les ports TCP 139 et 445. Si le serveur ne supporte pas NetBios, il écoute uniquement sur le port TCP 445.
Enfin, si tu n'utilise pas les partages réseau, tu peux directement les désactiver au niveau de la configuration de ta carte réseau en DESACTIVANT les services "Clients pour les réseaux Microsoft" et "Partage de fichiers et d'imprimantes pour les réseaux Microsoft". Je dis bien désactiver, car si tu les supprime tu risque d'avoir de drôles (enfin pas si drôles) de surprises que ça.
"Cedric Blancher" <blancher@cartel-securite.fr> a écrit dans le message
news: pan.2004.05.03.14.56.41.904762@cartel-securite.fr...
| > Depuis environ 20 jours, mon ordi est sujet à de multiples tentatives de
| > scan qui émanent d'adresses différentes (jusqu'à 200 scans par jours).
Je
| > tiens à préciser que je n'utilise pas Kazaa ou tout autre logiciels peer
to
| > peer. Possédant Sygate Personal Firewall, ce problème ne m'inquiète pas
| > trop. Néanmoins, ce phénomène est curieux.
|
| La situation actuelle est telle que les scans font partie du bruit de fond
| d'Internet. Bref, c'est presque normal.
|
| Maintenant, ce qui est intéressant quand on parle de scan, ce n'est pas
| tant de savoir combien on en a par jour, mais surtout ce qu'ils visent.
| Le gros scan du moment, c'est Sasser qui vise 3 ports. Il y a aussi des
| scans qui semblent moins automatisés vers le port 443 (HTTPS) pour
| exploitation d'une faille sous IIS 5.0 (MS04-011). Tournent aussi pas mal
| de scan pour une vieille faille Webdav sous IIS (déjà discuté ici).
|
| Bref, ce qui serait bien, pour qu'on puisse qualifier la nature et le but
| de ces scans, ce serait de nous dire vers quel port ils vont (au moins).
Merci de votre réponse.
Si je comprends bien, je prends des balles perdue.
De fait, après analyse, ces scans visent principalement quatres port :
445 (SMB : Server Message Block - probablement Sasser - mais m'en fous,
suis sous 98...) De fait, ce port est aussi utilisé part Lioten, Randon,
WORM_DELODER.A, W32/Deloder.A, W32.HLLW.Deloder
2745 (Bagle sans doute)
1359 (UDP et TCP, FTSRV ) Kezako ?
0 (Nachi [aussi dénomé W32Welchia] qu'est-ce qui veut celui-là, j'ai pas
appellé l'plombier )
Merci encore
Merangueur
ps : Concernant Sasser et le port 445, voici un texte glané sur internet :
////////////////////////////////////////////////
Une des nouvelles fonctionalités de W2K est la possibilité d'utiliser les
partages de fichiers directement au dessus de TCP/IP sans utiliser la couche
Netbios (port 137, 138(UDP) et 139 (TCP)).
Maintenant, lors d'une connexion à un partage de fichier, voilà ce qui se
passe:
Si NetBios est activé sur le client, ce dernier esseaira toujours de se
connecter au serveur en utilisant simultanément les ports 139 et 445. S'il y
a une réponse sur le port 445, il envoie le drapeau TCP RESET au port 139,
et continue sa cession SMB (Server Message Block) en utilisant uniquement le
port 445. S'il n'y a pas de réponse sur le port 445, il continue sa cession
SMB sur le port 139 si celui-ci répond. Si aucun des deux ports répond, la
cession échoue totalement.
Si NetBios n'est pas activé sur le client, ce dernier essaierai toujours de
se connecter uniquement sur le port 445. Si le serveur répond sur ce port,
la cession s'établira et continuera sur ce port. S'il ne répond pas, la
cession échoue. C'est le cas notament si le serveur tourne sous NT (qui ne
supporte que le partage de fichier au dessus de la couche NetBios).
Si le serveur supporte NetBios, il écoute sur les ports UDP 137 et 138 mais
aussi sur les ports TCP 139 et 445.
Si le serveur ne supporte pas NetBios, il écoute uniquement sur le port TCP
445.
Enfin, si tu n'utilise pas les partages réseau, tu peux directement les
désactiver au niveau de la configuration de ta carte réseau en DESACTIVANT
les services "Clients pour les réseaux Microsoft" et "Partage de fichiers et
d'imprimantes pour les réseaux Microsoft". Je dis bien désactiver, car si tu
les supprime tu risque d'avoir de drôles (enfin pas si drôles) de surprises
que ça.
"Cedric Blancher" a écrit dans le message news: | > Depuis environ 20 jours, mon ordi est sujet à de multiples tentatives de | > scan qui émanent d'adresses différentes (jusqu'à 200 scans par jours). Je | > tiens à préciser que je n'utilise pas Kazaa ou tout autre logiciels peer to | > peer. Possédant Sygate Personal Firewall, ce problème ne m'inquiète pas | > trop. Néanmoins, ce phénomène est curieux. | | La situation actuelle est telle que les scans font partie du bruit de fond | d'Internet. Bref, c'est presque normal. | | Maintenant, ce qui est intéressant quand on parle de scan, ce n'est pas | tant de savoir combien on en a par jour, mais surtout ce qu'ils visent. | Le gros scan du moment, c'est Sasser qui vise 3 ports. Il y a aussi des | scans qui semblent moins automatisés vers le port 443 (HTTPS) pour | exploitation d'une faille sous IIS 5.0 (MS04-011). Tournent aussi pas mal | de scan pour une vieille faille Webdav sous IIS (déjà discuté ici). | | Bref, ce qui serait bien, pour qu'on puisse qualifier la nature et le but | de ces scans, ce serait de nous dire vers quel port ils vont (au moins).
Merci de votre réponse.
Si je comprends bien, je prends des balles perdue.
De fait, après analyse, ces scans visent principalement quatres port :
445 (SMB : Server Message Block - probablement Sasser - mais m'en fous, suis sous 98...) De fait, ce port est aussi utilisé part Lioten, Randon, WORM_DELODER.A, W32/Deloder.A, W32.HLLW.Deloder
2745 (Bagle sans doute)
1359 (UDP et TCP, FTSRV ) Kezako ?
0 (Nachi [aussi dénomé W32Welchia] qu'est-ce qui veut celui-là, j'ai pas appellé l'plombier )
Merci encore
Merangueur
ps : Concernant Sasser et le port 445, voici un texte glané sur internet :
////////////////////////////////////////////////
Une des nouvelles fonctionalités de W2K est la possibilité d'utiliser les partages de fichiers directement au dessus de TCP/IP sans utiliser la couche Netbios (port 137, 138(UDP) et 139 (TCP)).
Maintenant, lors d'une connexion à un partage de fichier, voilà ce qui se passe:
Si NetBios est activé sur le client, ce dernier esseaira toujours de se connecter au serveur en utilisant simultanément les ports 139 et 445. S'il y a une réponse sur le port 445, il envoie le drapeau TCP RESET au port 139, et continue sa cession SMB (Server Message Block) en utilisant uniquement le port 445. S'il n'y a pas de réponse sur le port 445, il continue sa cession SMB sur le port 139 si celui-ci répond. Si aucun des deux ports répond, la cession échoue totalement.
Si NetBios n'est pas activé sur le client, ce dernier essaierai toujours de se connecter uniquement sur le port 445. Si le serveur répond sur ce port, la cession s'établira et continuera sur ce port. S'il ne répond pas, la cession échoue. C'est le cas notament si le serveur tourne sous NT (qui ne supporte que le partage de fichier au dessus de la couche NetBios).
Si le serveur supporte NetBios, il écoute sur les ports UDP 137 et 138 mais aussi sur les ports TCP 139 et 445. Si le serveur ne supporte pas NetBios, il écoute uniquement sur le port TCP 445.
Enfin, si tu n'utilise pas les partages réseau, tu peux directement les désactiver au niveau de la configuration de ta carte réseau en DESACTIVANT les services "Clients pour les réseaux Microsoft" et "Partage de fichiers et d'imprimantes pour les réseaux Microsoft". Je dis bien désactiver, car si tu les supprime tu risque d'avoir de drôles (enfin pas si drôles) de surprises que ça.
Maintenant, ce qui est intéressant quand on parle de scan, ce n'est pas tant de savoir combien on en a par jour, mais surtout ce qu'ils visent.
Moi j'ai beaucoup de scans sur mon démon ssh ainsi que des tentatives pour voir si mon serveur de mail est open-relay...
-- Les propos tenus ici n'engagent que leur auteur qui s'exprime à titre personnel.
Cedric Blancher
Le Tue, 04 May 2004 09:17:03 +0000, Merangueur a écrit :
Si je comprends bien, je prends des balles perdue.
Fort possible.
Il y a eu une présentation basée sur la capture de vers pendant 3 semaines pour la JSSI hier (presentation 4B). Les slides devraient être en ligne bientôt. Cela permet de se faire une idée de ce que peut recevoir une machine inactive sur Internet.
-- BOFH excuse #303:
fractal radiation jamming the backbone
Le Tue, 04 May 2004 09:17:03 +0000, Merangueur a écrit :
Si je comprends bien, je prends des balles perdue.
Fort possible.
Il y a eu une présentation basée sur la capture de vers pendant 3
semaines pour la JSSI hier (presentation 4B). Les slides devraient
être en ligne bientôt. Cela permet de se faire une idée de ce que peut
recevoir une machine inactive sur Internet.
Le Tue, 04 May 2004 09:17:03 +0000, Merangueur a écrit :
Si je comprends bien, je prends des balles perdue.
Fort possible.
Il y a eu une présentation basée sur la capture de vers pendant 3 semaines pour la JSSI hier (presentation 4B). Les slides devraient être en ligne bientôt. Cela permet de se faire une idée de ce que peut recevoir une machine inactive sur Internet.