Serveur pop qui scanne ?

Salut,

Sep 2 05:08:15 goun kernel: ABORTED IN=eth1 OUT= SRC!2.27.48.3
DST‚.227.203.184 LEN@ TOS=0x00 PREC=0x00 TTL$6 ID=0 PROTO=TCP
SPT0 DPTE37 SEQ%37307165 ACK=0 WINDOW=0 RES=0x00 RST URGP=0

Ce paquet a le drapeau RST et uniquement celui là; c'est donc pas un
scan pour voir si tu as des ports ouverts (il aurait le drapeau SYN en
signe de demande d'etablissement de connection); on dirait plutot une
réponse à quelquechose de bizarre qui vient visiblement de ton adresse
IP (de ta connection ou pas (spoof)).

Met donc une regle qui loggue tous les paquets envoyés par ton PC à
destination de ce serveur POP, et vérifie deja que ton PC ne lui envoie
rien sur son port 110 qui provoque cette réaction.

J'ai écrit deux plaintes à l'abuse de Proxad mais j'hésite depuis que
je me suis rendu compte que ce n'est pas un de leurs clients qui me
scanne mais un serveur pop.

Ils ne vont pas te manger :)
Même si je suis tombé sur un gars un peu "bougon" une fois.

@+
Bertrand

Bonjour,

Bonjour,
Un peu d'aide me ferait du bien car je ne comprends pas bien ce que
m'indiquent mes logs : depuis quelques jours, une machine scanne un
grand nombre de mes ports régulièrement.
Or, je constate que c'est le serveur pop de Free !
Ce qui m'a mis la puce à l'oreille, c'est que toutes les requêtes
viennent du port distant 110. Voici un exemple :
Sep 2 05:08:15 goun kernel: ABORTED IN=eth1 OUT= SRC!2.27.48.3
DST‚.227.203.184 LEN@ TOS=0x00 PREC=0x00 TTL$6 ID=0 PROTO=TCP
SPT0 DPTE37 SEQ%37307165 ACK=0 WINDOW=0 RES=0x00 RST URGP=0

[...]

J'ai écrit deux plaintes à l'abuse de Proxad mais j'hésite depuis que
je me suis rendu compte que ce n'est pas un de leurs clients qui me
scanne mais un serveur pop.

Si je ne dis pas de bêtises, je vois deux solutions :

- L' IP source est forgée par un gros zacker
- Tu as un compte pop quelque part qui interroge Free, mais ça bloque à
un certain niveau (firewall peut-être) et le serveur de Free envoie un
reset.

D'après les logs iptables :

- la requête cliente vient de chez toi (ports > 1024)
- Le serveur POP Free répond à une de tes requêtes (port 110).

Le fait qu'il y ait beaucoup de ports vient du fait que ton client pop
initialise beaucoup de nouvelles requêtes vers le port 110 de Free.

Samuel.

Bertrand égrapsen en <431a243b$0$22401$626a14ce@news.free.fr> :

Déjà, merci pour les indications données.

Sep 2 05:08:15 goun kernel: ABORTED IN=eth1 OUT= SRC!2.27.48.3
DST‚.227.203.184 LEN@ TOS=0x00 PREC=0x00 TTL$6 ID=0 PROTO=TCP
SPT0 DPTE37 SEQ%37307165 ACK=0 WINDOW=0 RES=0x00 RST URGP=0

Ce paquet a le drapeau RST et uniquement celui là;

Je n'avais même pas regardé cela...

c'est donc pas un
scan pour voir si tu as des ports ouverts (il aurait le drapeau SYN
en signe de demande d'etablissement de connection); on dirait plutot
une réponse à quelquechose de bizarre qui vient visiblement de ton
adresse IP (de ta connection ou pas (spoof)).
Met donc une regle qui loggue tous les paquets envoyés par ton PC à
destination de ce serveur POP, et vérifie deja que ton PC ne lui
envoie rien sur son port 110 qui provoque cette réaction.

Je viens de regarder le trafic avec ethereal. Il me manque pas mal de
théorie des réseaux pour comprendre le fonctionnement global de la
chose, mais je pense avoir trouvé là où était le problème. Vu mes
lacunes, je commente ce que j'interprète, de manière à pouvoir être
corrigé le cas échéant.

Toutes les transactions avec le serveur pop de Free se soldent au
final par un tel paquet reset du serveur auquel ma machine ne veut
pas répondre, l'accès au port venant d'être refermé. Voici un
exemple :

moi -> pop.free.fr : 1623 > 110 (SYN)
pop.free.fr -> moi : 110 > 1623 (SYN ACK)
moi -> pop.free.fr : 1623 > 110 (ACK)
[Tout cela compose une poignée de mains correcte]

Suit la transaction pop de récupération des mails correcte.

C'est à la fin qu'une chose étrange se passe :
moi -> pop.free.fr : POP (Request : QUIT)
pop.free.fr -> moi : POP (Response : +OK)
[Fin de la transaction pop ; retour à la
transaction TCP pour la conclure]

moi -> pop.free.fr : 1623 > 110 (FIN ACK)
pop.free.fr -> moi : 110 > 1623 (FIN ACK)
moi -> pop.free.fr : 1623 > 110 (ACK)
pop.free.fr -> moi : 110 > 1623 (ACK)
[Fin de la transaction TCT correcte]

Et arrive un dernier paquet :
pop.free.fr -> moi : 110 > 1623 (RST)

C'est ce dernier paquet qui est bloqué, puisque le firewall a refermé
le port 1623(*) qui avait servi à ma machine pour la transaction.

Plusieurs questions, donc :
* est-ce normal que pop.free.fr m'envoie un paquet RST ?
* Est-ce normal que je n'y réponde pas ?

Dans tous les cas, il me semble que c'est moi qui ai mal configuré
quelque chose. Le problème, c'est que je ne sais pas de quelle
application est partie la transaction pop. Il faudrait que je ferme
tout et lance une à une les applications qui y accèdent pour
vérifier.

Merci de ton aide.

============ Note :
Ce port varie de transaction en transaction.

--
apt-get moo

Le 02/09/2005, Vincent Ramos a supposé :

Bonjour,

Un peu d'aide me ferait du bien car je ne comprends pas bien ce que
m'indiquent mes logs : depuis quelques jours, une machine scanne un
grand nombre de mes ports régulièrement.

Or, je constate que c'est le serveur pop de Free !

Ce qui m'a mis la puce à l'oreille, c'est que toutes les requêtes
viennent du port distant 110. Voici un exemple :

Sep 2 05:08:15 goun kernel: ABORTED IN=eth1 OUT= SRC!2.27.48.3
DST‚.227.203.184 LEN@ TOS=0x00 PREC=0x00 TTL$6 ID=0 PROTO=TCP
SPT0 DPTE37 SEQ%37307165 ACK=0 WINDOW=0 RES=0x00 RST URGP=0

J'ai plus de trois cents entrées comme cela, les ports scannés
s'étendant de 2000 et des poussières à plus de 5800 (certains ports
semblent sautés).

Bref, cela me semble très étrange qu'un serveur pop fasse cela. Comme
je fais tourner sur ma machine un serveur de mail (seul smtp est
accessible, IMAP n'étant autorisé qu'en local par une passerelle web)
et un serveur web, je me dis que j'ai raté quelque chose dans ma
configuration et que cette machine tente peut-être de se connecter de
manière normale à la mienne (mais franchement, pourquoi tous ces
ports ?).

Ou alors le serveur pop de Free a été piraté par une armée de
terroristes juvéniles acnéiques warezophiles ?, ou encore la machine
s'est rebellée contre l'humain et veut lui faire payer des années de
servilité plus ou moins docile ?

J'ai écrit deux plaintes à l'abuse de Proxad mais j'hésite depuis que
je me suis rendu compte que ce n'est pas un de leurs clients qui me
scanne mais un serveur pop.

tu peux peut-etre avoir des infos sur le newsgroup
proxad.free.services.messagerie ...

--
@+
ERIC
http://ericzworkz.free.fr
Spam protected, click here to answer :
http://cerbermail.com/?tVjLN6N0wM

Vincent Ramos <siva_sans_spam@kailaasa.net.invalid> writes:

Bonjour,

Un peu d'aide me ferait du bien car je ne comprends pas bien ce que
m'indiquent mes logs : depuis quelques jours, une machine scanne un
grand nombre de mes ports régulièrement.

Or, je constate que c'est le serveur pop de Free !

Ce qui m'a mis la puce à l'oreille, c'est que toutes les requêtes
viennent du port distant 110. Voici un exemple :

Sep 2 05:08:15 goun kernel: ABORTED IN=eth1 OUT= SRC!2.27.48.3
DST‚.227.203.184 LEN@ TOS=0x00 PREC=0x00 TTL$6 ID=0 PROTO=TCP
SPT0 DPTE37 SEQ%37307165 ACK=0 WINDOW=0 RES=0x00 RST URGP=0

J'ai plus de trois cents entrées comme cela, les ports scannés
s'étendant de 2000 et des poussières à plus de 5800 (certains ports
semblent sautés).
[...]

Ne se pourrait-il pas qu'un client pop essaie de se connecter depuis votre LAN
et que cette trame soit une réponse négative de la part du pop de free ?

Vous devriez sniffez tout ce qui sort de chez vous pour être sûr de ne pas être
à l'origine de la connexion.

Après il reste possible que se soit un scan par rebond comme expliqué dans le
README de hping2 (mais en utilisant un serveur chargé je ne connais pas).

Cordialement,
FM

Vincent Ramos n'était pas loin de dire :

moi -> pop.free.fr : 1623 > 110 (FIN ACK)

Euh... C'est moi qui ait la tête à l'envers, ou il ne devrait y avoir
que le FIN à ce niveau là ?

pop.free.fr -> moi : 110 > 1623 (FIN ACK)
moi -> pop.free.fr : 1623 > 110 (ACK)
pop.free.fr -> moi : 110 > 1623 (ACK)
[Fin de la transaction TCT correcte]

Plusieurs questions, donc :
* est-ce normal que pop.free.fr m'envoie un paquet RST ?

Sauf si j'ai la tête à l'envers, oui. La séquence de cloture de la
connexion n'étant pas valide, tu finis par te faire tout simplement
jeter par le serveur.

* Est-ce normal que je n'y réponde pas ?

La part contre il n'y a aucun doute à avoir, la réponse est "oui",
puisqu'il est bloqué par le filtre IP et n'arrive donc jamais jusqu'au
client.

Vincent Ramos égrapsen en <431ab592$0$30712$626a14ce@news.free.fr> :

Dans tous les cas, il me semble que c'est moi qui ai mal configuré
quelque chose. Le problème, c'est que je ne sais pas de quelle
application est partie la transaction pop. Il faudrait que je ferme
tout et lance une à une les applications qui y accèdent pour
vérifier.

J'ai trouvé : c'est fetchmail qui coince ; il se déconnecte avant
d'avoir reçu le paquet RST. Je passe sur <fr.comp.mail.serveurs>.

Merci à tous de vos conseils.