Je reçois des rafales de tentatives de connexion au port 1080 de ma
machine (471 sur les dernières 500 lignes de log de Kerio)
Elles proviennent de tout un tas de machines différentes et les ports de
départ sont extrêmement variés (par exemple 2216, 3209, 57096, 3875,
64594...)
Tout est bloqué mais ça m'intrigue.
Quelqu'un a-t-il une idée de ce qui peut se passer ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Frederic Rouchouze
Je reçois des rafales de tentatives de connexion au port 1080 de ma machine (471 sur les dernières 500 lignes de log de Kerio) Elles proviennent de tout un tas de machines différentes et les ports de départ sont extrêmement variés (par exemple 2216, 3209, 57096, 3875, 64594...)
Moi c'est pareil mais avec le port 2134. Il me semble que ça a commencé hier soir (24/09/2003).
Ca m'intrigue également... Qui a bien pu fournir ce numéro de port à toutes ces machines ??? Un virus qui m'aurait infecté ??? -- Frédéric Rouchouze mailto:
Je reçois des rafales de tentatives de connexion au port 1080 de ma
machine (471 sur les dernières 500 lignes de log de Kerio)
Elles proviennent de tout un tas de machines différentes et les ports de
départ sont extrêmement variés (par exemple 2216, 3209, 57096, 3875,
64594...)
Moi c'est pareil mais avec le port 2134. Il me semble que ça a commencé hier
soir (24/09/2003).
Ca m'intrigue également... Qui a bien pu fournir ce numéro de port à toutes
ces machines ??? Un virus qui m'aurait infecté ???
--
Frédéric Rouchouze
mailto:fredchou@nospam.free.fr
Je reçois des rafales de tentatives de connexion au port 1080 de ma machine (471 sur les dernières 500 lignes de log de Kerio) Elles proviennent de tout un tas de machines différentes et les ports de départ sont extrêmement variés (par exemple 2216, 3209, 57096, 3875, 64594...)
Moi c'est pareil mais avec le port 2134. Il me semble que ça a commencé hier soir (24/09/2003).
Ca m'intrigue également... Qui a bien pu fournir ce numéro de port à toutes ces machines ??? Un virus qui m'aurait infecté ??? -- Frédéric Rouchouze mailto:
Bertrand
Salut,
Un scan pour un proxy socks probablement. Ptet un virus qui cherche a se repandre de cette maniere.
C'est plutot des SK qui cherchent des proxies pour se "planquer". Sinon trouve des listes de proxies plein le net, et certaines sont meme vendues... et ces listes, il faut bien les fournir. Et pour les fournir, il faut trouver des proxies, et pour ca, il faut scanner !
@+ Bertrand
Salut,
Un scan pour un proxy socks probablement. Ptet un virus qui cherche a se
repandre de cette maniere.
C'est plutot des SK qui cherchent des proxies pour se "planquer".
Sinon trouve des listes de proxies plein le net, et certaines sont meme
vendues... et ces listes, il faut bien les fournir. Et pour les fournir,
il faut trouver des proxies, et pour ca, il faut scanner !
Un scan pour un proxy socks probablement. Ptet un virus qui cherche a se repandre de cette maniere.
C'est plutot des SK qui cherchent des proxies pour se "planquer". Sinon trouve des listes de proxies plein le net, et certaines sont meme vendues... et ces listes, il faut bien les fournir. Et pour les fournir, il faut trouver des proxies, et pour ca, il faut scanner !
@+ Bertrand
Jerome
"Frederic Rouchouze" a écrit dans le message de news:3f712b92$0$25996$
Je reçois des rafales de tentatives de connexion au port 1080 de ma machine (471 sur les dernières 500 lignes de log de Kerio) Elles proviennent de tout un tas de machines différentes et les ports de
départ sont extrêmement variés (par exemple 2216, 3209, 57096, 3875, 64594...)
Moi c'est pareil mais avec le port 2134. Il me semble que ça a commencé hier
soir (24/09/2003).
Ca m'intrigue également... Qui a bien pu fournir ce numéro de port à toutes
ces machines ??? Un virus qui m'aurait infecté ??? -- Frédéric Rouchouze mailto:
Si on en est aux ports "attaqués" inhabituels, moi, j'ai droit au 1914... pareil que pour vous deux : ça a débuté il y a 2-3 jours maxi et ça n'arrête pas... et moi aussi, j'aimerai bien savoir d'où ça provient : nouveau logiciel p2p ? virus récent qui tente de se propager ? autre ?
Jérôme
"Frederic Rouchouze" <fredchou@perso.free.fr> a écrit dans le message de
news:3f712b92$0$25996$626a54ce@news.free.fr...
Je reçois des rafales de tentatives de connexion au port 1080 de ma
machine (471 sur les dernières 500 lignes de log de Kerio)
Elles proviennent de tout un tas de machines différentes et les
ports de
départ sont extrêmement variés (par exemple 2216, 3209, 57096, 3875,
64594...)
Moi c'est pareil mais avec le port 2134. Il me semble que ça a
commencé hier
soir (24/09/2003).
Ca m'intrigue également... Qui a bien pu fournir ce numéro de port à
toutes
ces machines ??? Un virus qui m'aurait infecté ???
--
Frédéric Rouchouze
mailto:fredchou@nospam.free.fr
Si on en est aux ports "attaqués" inhabituels, moi, j'ai droit au
1914...
pareil que pour vous deux : ça a débuté il y a 2-3 jours maxi et ça
n'arrête pas...
et moi aussi, j'aimerai bien savoir d'où ça provient : nouveau logiciel
p2p ? virus récent qui tente de se propager ? autre ?
"Frederic Rouchouze" a écrit dans le message de news:3f712b92$0$25996$
Je reçois des rafales de tentatives de connexion au port 1080 de ma machine (471 sur les dernières 500 lignes de log de Kerio) Elles proviennent de tout un tas de machines différentes et les ports de
départ sont extrêmement variés (par exemple 2216, 3209, 57096, 3875, 64594...)
Moi c'est pareil mais avec le port 2134. Il me semble que ça a commencé hier
soir (24/09/2003).
Ca m'intrigue également... Qui a bien pu fournir ce numéro de port à toutes
ces machines ??? Un virus qui m'aurait infecté ??? -- Frédéric Rouchouze mailto:
Si on en est aux ports "attaqués" inhabituels, moi, j'ai droit au 1914... pareil que pour vous deux : ça a débuté il y a 2-3 jours maxi et ça n'arrête pas... et moi aussi, j'aimerai bien savoir d'où ça provient : nouveau logiciel p2p ? virus récent qui tente de se propager ? autre ?
Jérôme
Eric
Le 24 septembre 2003 à 12:21, Bertrand nous disait :
Un scan pour un proxy socks probablement. Ptet un virus qui cherche a se repandre de cette maniere.
C'est plutot des SK qui cherchent des proxies pour se "planquer". Sinon trouve des listes de proxies plein le net, et certaines sont meme vendues... et ces listes, il faut bien les fournir. Et pour les fournir, il faut trouver des proxies, et pour ca, il faut scanner !
Après des recherches plus poussées, je me suis aperçu que ces « attaques » sur le port 1080 avaient commencé lorsque s(est produite la déconnexion journalière de mon accès ADSL et que j'ai été reconnecté avec une IP différente. Au bout de 4 heures d'intense activité vers le port 1080, j'ai coupé ma connexion, attendu quelques minutes, et me suis reconnecté. J'avais changé d'IP et tout est redevenu calme. De plus, j'ai vu que le port 1080 était utilisé par les logiciels d'IRC. Je pense que c'est lié à ça car l'hypothèse de l'attaque ne tient pas trop en raison du nombre très élevé de machines différentes qui tentaient ces connexions. J'ai peut-être récupérer l'IP d'un chatteur. En revanche, je ne m'explique pas que ça ait duré aussi longtemps.
-- Cordialement
Le 24 septembre 2003 à 12:21, Bertrand nous disait :
Un scan pour un proxy socks probablement. Ptet un virus qui cherche a se
repandre de cette maniere.
C'est plutot des SK qui cherchent des proxies pour se "planquer".
Sinon trouve des listes de proxies plein le net, et certaines sont meme
vendues... et ces listes, il faut bien les fournir. Et pour les fournir,
il faut trouver des proxies, et pour ca, il faut scanner !
Après des recherches plus poussées, je me suis aperçu que ces « attaques
» sur le port 1080 avaient commencé lorsque s(est produite la
déconnexion journalière de mon accès ADSL et que j'ai été reconnecté
avec une IP différente. Au bout de 4 heures d'intense activité vers le
port 1080, j'ai coupé ma connexion, attendu quelques minutes, et me suis
reconnecté. J'avais changé d'IP et tout est redevenu calme.
De plus, j'ai vu que le port 1080 était utilisé par les logiciels d'IRC.
Je pense que c'est lié à ça car l'hypothèse de l'attaque ne tient pas
trop en raison du nombre très élevé de machines différentes qui
tentaient ces connexions.
J'ai peut-être récupérer l'IP d'un chatteur. En revanche, je ne
m'explique pas que ça ait duré aussi longtemps.
Le 24 septembre 2003 à 12:21, Bertrand nous disait :
Un scan pour un proxy socks probablement. Ptet un virus qui cherche a se repandre de cette maniere.
C'est plutot des SK qui cherchent des proxies pour se "planquer". Sinon trouve des listes de proxies plein le net, et certaines sont meme vendues... et ces listes, il faut bien les fournir. Et pour les fournir, il faut trouver des proxies, et pour ca, il faut scanner !
Après des recherches plus poussées, je me suis aperçu que ces « attaques » sur le port 1080 avaient commencé lorsque s(est produite la déconnexion journalière de mon accès ADSL et que j'ai été reconnecté avec une IP différente. Au bout de 4 heures d'intense activité vers le port 1080, j'ai coupé ma connexion, attendu quelques minutes, et me suis reconnecté. J'avais changé d'IP et tout est redevenu calme. De plus, j'ai vu que le port 1080 était utilisé par les logiciels d'IRC. Je pense que c'est lié à ça car l'hypothèse de l'attaque ne tient pas trop en raison du nombre très élevé de machines différentes qui tentaient ces connexions. J'ai peut-être récupérer l'IP d'un chatteur. En revanche, je ne m'explique pas que ça ait duré aussi longtemps.
-- Cordialement
Pierre LALET
Après des recherches plus poussées, je me suis aperçu que ces « attaques » sur le port 1080 avaient commencé lorsque s(est produite la déconnexion journalière de mon accès ADSL et que j'ai été reconnecté avec une IP différente. Au bout de 4 heures d'intense activité vers le port 1080, j'ai coupé ma connexion, attendu quelques minutes, et me suis reconnecté. J'avais changé d'IP et tout est redevenu calme.
Tu as simplement récupéré l'IP d'une machine qui avait (sans doute) été "piratée" et sur laquelle le "pirate" avait placé un socks ouvert (c'est-à-dire un programme relayant les communications, ce qui permet de faire ce que l'on veut sur internet, les flux provenant de la machine "piratée").
De plus, j'ai vu que le port 1080 était utilisé par les logiciels d'IRC.
En fait, les clients IRC, comme *beaucoup* (quasiment tous) les clients réseau, sont susceptibles de passer par un socks. Cela permet alors d'être anonyme (l'adresse vue est celle de la machine qui héberge, volontairement ou non, le socks).
Or sur IRC, certains jeunes boutonneux, pour devenir maitre d'un channel, n'hésitent pas à flooder ta connexion, pour que le serveur croit que tu ne réponds plus, et te déconnecte.
Passer par un socks positionné sur une bonne connexion permet de limiter les risques. En l'occurence, un socks placé sur une plage d'IPs pour ADSL, c'est pas vraiment top, donc il n'est pas sur que cela vienne de là.
Je pense que c'est lié à ça car l'hypothèse de l'attaque ne tient pas trop en raison du nombre très élevé de machines différentes qui tentaient ces connexions.
La machine qui possédait ton IP avant devait être open-relay.
J'ai peut-être récupérer l'IP d'un chatteur. En revanche, je ne m'explique pas que ça ait duré aussi longtemps.
Le temps que les gens se rendent compte que cela ne "marchait" plus, je suppose.
pierre
-- Pierre LALET -- http://www.enseirb.fr/~lalet Clé publique PGP : http://www.enseirb.fr/~lalet/pierre_lalet.asc Empreinte de la clé : B6B8 0F89 2220 DF8B 0F3B C0C0 773E 15E6 A878 FC7E
Après des recherches plus poussées, je me suis aperçu que ces « attaques
» sur le port 1080 avaient commencé lorsque s(est produite la
déconnexion journalière de mon accès ADSL et que j'ai été reconnecté
avec une IP différente. Au bout de 4 heures d'intense activité vers le
port 1080, j'ai coupé ma connexion, attendu quelques minutes, et me suis
reconnecté. J'avais changé d'IP et tout est redevenu calme.
Tu as simplement récupéré l'IP d'une machine qui avait (sans doute) été
"piratée" et sur laquelle le "pirate" avait placé un socks ouvert
(c'est-à-dire un programme relayant les communications, ce qui permet de
faire ce que l'on veut sur internet, les flux provenant de la machine
"piratée").
De plus, j'ai vu que le port 1080 était utilisé par les logiciels d'IRC.
En fait, les clients IRC, comme *beaucoup* (quasiment tous) les clients
réseau, sont susceptibles de passer par un socks. Cela permet alors
d'être anonyme (l'adresse vue est celle de la machine qui héberge,
volontairement ou non, le socks).
Or sur IRC, certains jeunes boutonneux, pour devenir maitre d'un
channel, n'hésitent pas à flooder ta connexion, pour que le serveur
croit que tu ne réponds plus, et te déconnecte.
Passer par un socks positionné sur une bonne connexion permet de limiter
les risques. En l'occurence, un socks placé sur une plage d'IPs pour
ADSL, c'est pas vraiment top, donc il n'est pas sur que cela vienne de là.
Je pense que c'est lié à ça car l'hypothèse de l'attaque ne tient pas
trop en raison du nombre très élevé de machines différentes qui
tentaient ces connexions.
La machine qui possédait ton IP avant devait être open-relay.
J'ai peut-être récupérer l'IP d'un chatteur. En revanche, je ne
m'explique pas que ça ait duré aussi longtemps.
Le temps que les gens se rendent compte que cela ne "marchait" plus, je
suppose.
pierre
--
Pierre LALET
lalet@enseirb.fr -- http://www.enseirb.fr/~lalet
Clé publique PGP : http://www.enseirb.fr/~lalet/pierre_lalet.asc
Empreinte de la clé : B6B8 0F89 2220 DF8B 0F3B C0C0 773E 15E6 A878 FC7E
Après des recherches plus poussées, je me suis aperçu que ces « attaques » sur le port 1080 avaient commencé lorsque s(est produite la déconnexion journalière de mon accès ADSL et que j'ai été reconnecté avec une IP différente. Au bout de 4 heures d'intense activité vers le port 1080, j'ai coupé ma connexion, attendu quelques minutes, et me suis reconnecté. J'avais changé d'IP et tout est redevenu calme.
Tu as simplement récupéré l'IP d'une machine qui avait (sans doute) été "piratée" et sur laquelle le "pirate" avait placé un socks ouvert (c'est-à-dire un programme relayant les communications, ce qui permet de faire ce que l'on veut sur internet, les flux provenant de la machine "piratée").
De plus, j'ai vu que le port 1080 était utilisé par les logiciels d'IRC.
En fait, les clients IRC, comme *beaucoup* (quasiment tous) les clients réseau, sont susceptibles de passer par un socks. Cela permet alors d'être anonyme (l'adresse vue est celle de la machine qui héberge, volontairement ou non, le socks).
Or sur IRC, certains jeunes boutonneux, pour devenir maitre d'un channel, n'hésitent pas à flooder ta connexion, pour que le serveur croit que tu ne réponds plus, et te déconnecte.
Passer par un socks positionné sur une bonne connexion permet de limiter les risques. En l'occurence, un socks placé sur une plage d'IPs pour ADSL, c'est pas vraiment top, donc il n'est pas sur que cela vienne de là.
Je pense que c'est lié à ça car l'hypothèse de l'attaque ne tient pas trop en raison du nombre très élevé de machines différentes qui tentaient ces connexions.
La machine qui possédait ton IP avant devait être open-relay.
J'ai peut-être récupérer l'IP d'un chatteur. En revanche, je ne m'explique pas que ça ait duré aussi longtemps.
Le temps que les gens se rendent compte que cela ne "marchait" plus, je suppose.
pierre
-- Pierre LALET -- http://www.enseirb.fr/~lalet Clé publique PGP : http://www.enseirb.fr/~lalet/pierre_lalet.asc Empreinte de la clé : B6B8 0F89 2220 DF8B 0F3B C0C0 773E 15E6 A878 FC7E
Eric
Le 25 septembre 2003 à 13:39, Pierre LALET nous disait :
[snip les excellentes explications]
Merci pour ces renseignements. Ils corroborent ce que je pensais en m'apportant les éléments qui me manquaient. Cette petite mésaventure démontre, s'il en était besoin, la nécessité d'un firewall bien configuré lorsqu'on a l'ADSL.
J'ai peut-être récupéré l'IP d'un chatteur. En revanche, je ne m'explique pas que ça ait duré aussi longtemps.
Le temps que les gens se rendent compte que cela ne "marchait" plus, je suppose.
Ça a quand même duré 4 heures et si je n'avais pas changé volontairement d'IP, je ne sais pas pendant combien de temps ça aurait continué !
-- Cordialement
Le 25 septembre 2003 à 13:39, Pierre LALET nous disait :
[snip les excellentes explications]
Merci pour ces renseignements. Ils corroborent ce que je pensais en
m'apportant les éléments qui me manquaient.
Cette petite mésaventure démontre, s'il en était besoin, la nécessité
d'un firewall bien configuré lorsqu'on a l'ADSL.
J'ai peut-être récupéré l'IP d'un chatteur. En revanche, je ne
m'explique pas que ça ait duré aussi longtemps.
Le temps que les gens se rendent compte que cela ne "marchait" plus, je
suppose.
Ça a quand même duré 4 heures et si je n'avais pas changé volontairement
d'IP, je ne sais pas pendant combien de temps ça aurait continué !
Le 25 septembre 2003 à 13:39, Pierre LALET nous disait :
[snip les excellentes explications]
Merci pour ces renseignements. Ils corroborent ce que je pensais en m'apportant les éléments qui me manquaient. Cette petite mésaventure démontre, s'il en était besoin, la nécessité d'un firewall bien configuré lorsqu'on a l'ADSL.
J'ai peut-être récupéré l'IP d'un chatteur. En revanche, je ne m'explique pas que ça ait duré aussi longtemps.
Le temps que les gens se rendent compte que cela ne "marchait" plus, je suppose.
Ça a quand même duré 4 heures et si je n'avais pas changé volontairement d'IP, je ne sais pas pendant combien de temps ça aurait continué !
-- Cordialement
Frederic Rouchouze
De plus, j'ai vu que le port 1080 était utilisé par les logiciels d'IRC. Je pense que c'est lié à ça car l'hypothèse de l'attaque ne tient pas trop en raison du nombre très élevé de machines différentes qui tentaient ces connexions. J'ai peut-être récupérer l'IP d'un chatteur. En revanche, je ne m'explique pas que ça ait duré aussi longtemps.
Je ne pensais pas à une attaque de "quelqu'un" mais à un virus qui se serait propagé sur plusieurs machines...
Sinon, je viens aussi d'observer un truc : si j'arrête eMule, je reçois plein de paquets UDP sur le port inactif n°4672. Lorsque je relance eMule, ça s'arrête. Je suppose donc que certains utilisateurs d'eMule continuent de m'envoyer des paquets alors que l'application n'est plus active sur mon poste. -- Frédéric Rouchouze mailto:
De plus, j'ai vu que le port 1080 était utilisé par les logiciels d'IRC.
Je pense que c'est lié à ça car l'hypothèse de l'attaque ne tient pas
trop en raison du nombre très élevé de machines différentes qui
tentaient ces connexions.
J'ai peut-être récupérer l'IP d'un chatteur. En revanche, je ne
m'explique pas que ça ait duré aussi longtemps.
Je ne pensais pas à une attaque de "quelqu'un" mais à un virus qui se serait
propagé sur plusieurs machines...
Sinon, je viens aussi d'observer un truc : si j'arrête eMule, je reçois
plein de paquets UDP sur le port inactif n°4672. Lorsque je relance eMule,
ça s'arrête. Je suppose donc que certains utilisateurs d'eMule continuent de
m'envoyer des paquets alors que l'application n'est plus active sur mon
poste.
--
Frédéric Rouchouze
mailto:fredchou@nospam.free.fr
De plus, j'ai vu que le port 1080 était utilisé par les logiciels d'IRC. Je pense que c'est lié à ça car l'hypothèse de l'attaque ne tient pas trop en raison du nombre très élevé de machines différentes qui tentaient ces connexions. J'ai peut-être récupérer l'IP d'un chatteur. En revanche, je ne m'explique pas que ça ait duré aussi longtemps.
Je ne pensais pas à une attaque de "quelqu'un" mais à un virus qui se serait propagé sur plusieurs machines...
Sinon, je viens aussi d'observer un truc : si j'arrête eMule, je reçois plein de paquets UDP sur le port inactif n°4672. Lorsque je relance eMule, ça s'arrête. Je suppose donc que certains utilisateurs d'eMule continuent de m'envoyer des paquets alors que l'application n'est plus active sur mon poste. -- Frédéric Rouchouze mailto:
noob
Moi c'est pareil mais avec le port 2134. Il me semble que ça a commencé hier
soir (24/09/2003).
Si on en est aux ports "attaqués" inhabituels, moi, j'ai droit au 1914...
moi c'est le port 1815...bizarre ç'est pas le virus Napoleon.. :o) ... mdr
pareil que pour vous trois : ça a débuté il y a 2-3 jours maxi et ça n'arrête pas... et moi aussi, j'aimerai bien savoir d'où ça provient : nouveau logiciel p2p ? virus récent qui tente de se propager ? autre ?
Nicoc (nicob c'est déjà pris, alors je suppose que nicoa est déjà pris aussi :o)
A+
Moi c'est pareil mais avec le port 2134. Il me semble que ça a
commencé hier
soir (24/09/2003).
Si on en est aux ports "attaqués" inhabituels, moi, j'ai droit au
1914...
moi c'est le port 1815...bizarre ç'est pas le virus Napoleon.. :o) ... mdr
pareil que pour vous trois : ça a débuté il y a 2-3 jours maxi et ça
n'arrête pas... et moi aussi, j'aimerai bien savoir d'où ça provient :
nouveau logiciel p2p ? virus récent qui tente de se propager ? autre ?
Nicoc (nicob c'est déjà pris, alors je suppose que nicoa est déjà pris aussi
:o)
Moi c'est pareil mais avec le port 2134. Il me semble que ça a commencé hier
soir (24/09/2003).
Si on en est aux ports "attaqués" inhabituels, moi, j'ai droit au 1914...
moi c'est le port 1815...bizarre ç'est pas le virus Napoleon.. :o) ... mdr
pareil que pour vous trois : ça a débuté il y a 2-3 jours maxi et ça n'arrête pas... et moi aussi, j'aimerai bien savoir d'où ça provient : nouveau logiciel p2p ? virus récent qui tente de se propager ? autre ?
Nicoc (nicob c'est déjà pris, alors je suppose que nicoa est déjà pris aussi :o)
