Tentatives de connexion sur ports TCP 135 et 445 : simple pollution ou danger permanent ?
19 réponses
Stephane Faure
Bonjour,
Voici les tentatives de connexion (que j'appellerai indiféremment
paquets, pour faire simple) indésirables sur les ports 135, 137, 138,
139 ou 445 que mon firewall a logué durant ma *première minute* de
connexion cet après-midi :
====================================================================
1,[28/Dec/2004 15:31:28] Rule 'Entrantes sur NetBIOS': Blocked: In
UDP, (null) [219.128.6.222:1029]->localhost:137, Owner: no owner
1,[28/Dec/2004 15:31:30] Rule 'Entrantes sur 135 ou 445': Blocked: In
TCP, (null) [62.147.84.208:3783]->localhost:445, Owner: no owner
1,[28/Dec/2004 15:31:32] Rule 'Entrantes sur 135 ou 445': Blocked: In
TCP, (null) [62.147.9.136:3777]->localhost:135, Owner: no owner
1,[28/Dec/2004 15:31:34] Rule 'Entrantes sur 135 ou 445': Blocked: In
TCP, (null) [62.147.84.208:3783]->localhost:445, Owner: no owner
1,[28/Dec/2004 15:31:36] Rule 'Entrantes sur 135 ou 445': Blocked: In
TCP, (null) [62.147.9.136:3777]->localhost:135, Owner: no owner
1,[28/Dec/2004 15:31:46] Rule 'Entrantes sur 135 ou 445': Blocked: In
TCP, (null) [62.147.106.114:4827]->localhost:445, Owner: no owner
1,[28/Dec/2004 15:31:50] Rule 'Entrantes sur 135 ou 445': Blocked: In
TCP, (null) [62.147.44.139:4248]->localhost:445, Owner: no owner
1,[28/Dec/2004 15:31:54] Rule 'Entrantes sur NetBIOS': Blocked: In
TCP, (null) [62.147.93.38:2423]->localhost:139, Owner: no owner
1,[28/Dec/2004 15:31:58] Rule 'Entrantes sur 135 ou 445': Blocked: In
TCP, (null) [62.147.152.67:3208]->localhost:135, Owner: no owner
1,[28/Dec/2004 15:31:58] Rule 'Entrantes sur NetBIOS': Blocked: In
TCP, (null) [62.147.93.38:2423]->localhost:139, Owner: no owner
1,[28/Dec/2004 15:32:00] Rule 'Entrantes sur 135 ou 445': Blocked: In
TCP, (null) [62.147.106.178:2919]->localhost:445, Owner: no owner
1,[28/Dec/2004 15:32:00] Rule 'Entrantes sur 135 ou 445': Blocked: In
TCP, (null) [62.147.152.67:3208]->localhost:135, Owner: no owner
1,[28/Dec/2004 15:32:02] Rule 'Entrantes sur 135 ou 445': Blocked: In
TCP, (null) [62.147.106.178:2919]->localhost:445, Owner: no owner
1,[28/Dec/2004 15:32:06] Rule 'Entrantes sur 135 ou 445': Blocked: In
TCP, (null) [62.147.105.162:4926]->localhost:445, Owner: no owner
1,[28/Dec/2004 15:32:10] Rule 'Entrantes sur 135 ou 445': Blocked: In
TCP, (null) [62.147.105.162:4926]->localhost:445, Owner: no owner
1,[28/Dec/2004 15:32:16] Rule 'Entrantes sur 135 ou 445': Blocked: In
TCP, (null) [62.147.57.102:3223]->localhost:445, Owner: no owner
1,[28/Dec/2004 15:32:20] Rule 'Entrantes sur 135 ou 445': Blocked: In
TCP, (null) [62.147.57.102:3223]->localhost:445, Owner: no owner
1,[28/Dec/2004 15:32:24] Rule 'Entrantes sur 135 ou 445': Blocked: In
TCP, (null) [62.147.12.113:1391]->localhost:445, Owner: no owner
1,[28/Dec/2004 15:32:28] Rule 'Entrantes sur 135 ou 445': Blocked: In
TCP, (null) [62.147.73.5:3329]->localhost:135, Owner: no owner
====================================================================
Et c'est pareil quelle que soit l'heure de la journée.
Les IP appartiennent pour la plupat à mon FAI (Free), mais certaines
proviennent d'autres FAI français ou étrangers. Dans tous les cas que
j'ai testés, les noms DNS semblent indiquer qu'il s'agit de machines
d'abonnés.
Concernant les paquets sur les ports 135 et 445, de loin les plus
nombreux, sont-il nécessairement des attaques provenant de machines
infectées, ou, au moins en partie, de simples messages envoyés par des
postes Windows pour les services réseau Micosoft ? Comment mon adresse
est-elle trouvée aussi rapidement ? Tirage aléatoire ou broadcasts ?
S'il s'agit de broadcasts, comment les FAI peuvent-il tolérer une
telle pollution ? Comment se fait-il que la plupart de ces paquets,
mais pas la totalité, me proviennent de clients Free ? Quel intérêt
peut-il y avoir à utiliser ces ports sur Internet ? Pourquoi les FAI,
au moins ceux pour particuliers, ne les bloquent-ils pas ? J'ai déjà
lu quelques fils dans les archives de fr.comp.securite (sur lequel
j'ai d'ailleurs tenté en vain de publier cet article hier) sur cette
question, mais à part le fait que "ça ne rend pas un service full IP",
je n'ai rien vu qui m'ait vraiment convaincu.
[Suivi cette fois sur fr.comp.reseaux.ip]
--
Tout appel à la reflexion nous irrite, et nous avons horreur des
arguments non familiers, qui ne cadrent pas avec ce que nous voudrions
croire. (Schumpeter)
Claude LaFrenière, in <193m9qo4lh4jo$.faiej2ybnbg5$ :
Et alors ? Ton pare-feu les bloque et c'est ce qui compte. Ne t'alarme pas inutilement avec ces trucs : tout à fait normal avec la quantité de PC Zombies utilisés par des InterNUTS.
Je ne m'inquiète pas pour ma machine, mais pour la bande passante gaspillée et pour les infections à venir sur les PC tous neufs que neuneu a eu à son Noël.
Oh il n'a pas fallu attendre Noël pour voir ca, le lancement des différentes offres ADSL pour le « grand public » a suffit. Ca a offert un grand nombre de PC pas sécurisés (je dirai même totalement ouverts), faisant du P2P sur des logiciels comme Kazaa, connectés 24h/24 et avec une IP fixe pour combler le tout ! Pour ce qui est de la bande passante, j'ai pas fait de mesures mais ca parait pas non plus si gigantesque que ca.
[...]
Et vous, vous croyez donc qu'ils sont envoyés par Internet Explorer ? Ils sont dûs à des failles du système d'exploitation qui fait le thème du forum vers lequel vous voulez rediriger cette discussion.
Anthony -- Alan Turing thought about criteria to settle the question of whether machines can think, a question of which we now know that it is about as relevant as the question of whether submarines can swim. -- Dijkstra
Stephane Faure wrote:
Claude LaFrenière, in <193m9qo4lh4jo$.faiej2ybnbg5$.dlg@40tude.net> :
Et alors ? Ton pare-feu les bloque et c'est ce qui compte.
Ne t'alarme pas inutilement avec ces trucs : tout à fait normal
avec la quantité de PC Zombies utilisés par des InterNUTS.
Je ne m'inquiète pas pour ma machine, mais pour la bande passante
gaspillée et pour les infections à venir sur les PC tous neufs que
neuneu a eu à son Noël.
Oh il n'a pas fallu attendre Noël pour voir ca, le lancement des différentes
offres ADSL pour le « grand public » a suffit.
Ca a offert un grand nombre de PC pas sécurisés (je dirai même totalement
ouverts), faisant du P2P sur des logiciels comme Kazaa, connectés 24h/24 et
avec une IP fixe pour combler le tout !
Pour ce qui est de la bande passante, j'ai pas fait de mesures mais ca
parait pas non plus si gigantesque que ca.
[...]
Et vous, vous croyez donc qu'ils sont envoyés par Internet Explorer ?
Ils sont dûs à des failles du système d'exploitation qui fait le thème
du forum vers lequel vous voulez rediriger cette discussion.
Anthony
--
Alan Turing thought about criteria to settle the question of whether
machines can think, a question of which we now know that it is about as
relevant as the question of whether submarines can swim.
-- Dijkstra
Claude LaFrenière, in <193m9qo4lh4jo$.faiej2ybnbg5$ :
Et alors ? Ton pare-feu les bloque et c'est ce qui compte. Ne t'alarme pas inutilement avec ces trucs : tout à fait normal avec la quantité de PC Zombies utilisés par des InterNUTS.
Je ne m'inquiète pas pour ma machine, mais pour la bande passante gaspillée et pour les infections à venir sur les PC tous neufs que neuneu a eu à son Noël.
Oh il n'a pas fallu attendre Noël pour voir ca, le lancement des différentes offres ADSL pour le « grand public » a suffit. Ca a offert un grand nombre de PC pas sécurisés (je dirai même totalement ouverts), faisant du P2P sur des logiciels comme Kazaa, connectés 24h/24 et avec une IP fixe pour combler le tout ! Pour ce qui est de la bande passante, j'ai pas fait de mesures mais ca parait pas non plus si gigantesque que ca.
[...]
Et vous, vous croyez donc qu'ils sont envoyés par Internet Explorer ? Ils sont dûs à des failles du système d'exploitation qui fait le thème du forum vers lequel vous voulez rediriger cette discussion.
Anthony -- Alan Turing thought about criteria to settle the question of whether machines can think, a question of which we now know that it is about as relevant as the question of whether submarines can swim. -- Dijkstra
Stephane Faure
Anthony Fleury wrote:
Ca a offert un grand nombre de PC pas sécurisés (je dirai même totalement
ouverts), faisant du P2P sur des logiciels comme Kazaa,
Quel problème y a-t-il avec Kazaa, à par le risque de télécharger des virus, (comme n'importe quel autre fichier) ?
Pour ce qui est de la bande passante, j'ai pas fait de mesures mais ca
parait pas non plus si gigantesque que ca.
C'est vrai que ça n'a pas l'air de faire beaucoup rougir la lanterne de mon bon vieux modem.
Ca a offert un grand nombre de PC pas sécurisés (je dirai même totalement
ouverts), faisant du P2P sur des logiciels comme Kazaa,
Quel problème y a-t-il avec Kazaa, à par le risque de télécharger des virus, (comme n'importe quel autre fichier) ?
À ma connaissance, Kazaa est déjà bourré de spyware (enfin c'est ce que j'ai vu en passant ADAware sur le pc d'un utilisateur de ce logiciel), d'ici à ce qu'il contienne autre chose de peu catholique... Enfin c'était pour dire surtout que l'OS, quelqu'il soit, n'est pas résponsable de tout. Il y a les applications installées par l'utilisateur. On ne peut pas tout imputer à windows non plus !
C'était excessif et pour « plaisanter ». De toute facon, cette solution radicale aurait sûrement une conséquence : l'apparition de plus de virus sous linux (avec des gens naviguant et executant n'importe quoi en tant que root)
Anthony -- Alan Turing thought about criteria to settle the question of whether machines can think, a question of which we now know that it is about as relevant as the question of whether submarines can swim. -- Dijkstra
Stephane Faure wrote:
Anthony Fleury wrote:
Ca a offert un grand nombre de PC pas sécurisés (je dirai même
totalement
ouverts), faisant du P2P sur des logiciels comme Kazaa,
Quel problème y a-t-il avec Kazaa, à par le risque de télécharger
des virus, (comme n'importe quel autre fichier) ?
À ma connaissance, Kazaa est déjà bourré de spyware (enfin c'est ce que j'ai
vu en passant ADAware sur le pc d'un utilisateur de ce logiciel), d'ici à
ce qu'il contienne autre chose de peu catholique... Enfin c'était pour dire
surtout que l'OS, quelqu'il soit, n'est pas résponsable de tout. Il y a les
applications installées par l'utilisateur. On ne peut pas tout imputer à
windows non plus !
C'était excessif et pour « plaisanter ». De toute facon, cette solution
radicale aurait sûrement une conséquence : l'apparition de plus de virus
sous linux (avec des gens naviguant et executant n'importe quoi en tant que
root)
Anthony
--
Alan Turing thought about criteria to settle the question of whether
machines can think, a question of which we now know that it is about as
relevant as the question of whether submarines can swim.
-- Dijkstra
Ca a offert un grand nombre de PC pas sécurisés (je dirai même totalement
ouverts), faisant du P2P sur des logiciels comme Kazaa,
Quel problème y a-t-il avec Kazaa, à par le risque de télécharger des virus, (comme n'importe quel autre fichier) ?
À ma connaissance, Kazaa est déjà bourré de spyware (enfin c'est ce que j'ai vu en passant ADAware sur le pc d'un utilisateur de ce logiciel), d'ici à ce qu'il contienne autre chose de peu catholique... Enfin c'était pour dire surtout que l'OS, quelqu'il soit, n'est pas résponsable de tout. Il y a les applications installées par l'utilisateur. On ne peut pas tout imputer à windows non plus !
C'était excessif et pour « plaisanter ». De toute facon, cette solution radicale aurait sûrement une conséquence : l'apparition de plus de virus sous linux (avec des gens naviguant et executant n'importe quoi en tant que root)
Anthony -- Alan Turing thought about criteria to settle the question of whether machines can think, a question of which we now know that it is about as relevant as the question of whether submarines can swim. -- Dijkstra
Pascal
Quel problème y a-t-il avec Kazaa, à par le risque de télécharger des virus, (comme n'importe quel autre fichier) ?
À ma connaissance, Kazaa est déjà bourré de spyware
Sans compter ses failles de sécurité...
Quel problème y a-t-il avec Kazaa, à par le risque de télécharger
des virus, (comme n'importe quel autre fichier) ?
À ma connaissance, Kazaa est déjà bourré de spyware
Mmh, magnifique la version beta de Google Groups... Faut afficher les "options" pour pouvoir citer dans une réponse !
wrote:
À ma connaissance, Kazaa est déjà bourré de spyware
Sans compter ses failles de sécurité...
Je disais donc : pour les spywares, il y a des version "allégées". Pour les failles, j'aimerais en savoir plus.
Pascal
Mmh, magnifique la version beta de Google Groups... Faut afficher les "options" pour pouvoir citer dans une réponse !
On sait depuis longtemps que Google Groups pour poster dans les news, ça pue. Mauvais encodage, non respect du Followup-To et j'en passe...
À ma connaissance, Kazaa est déjà bourré de spyware
Sans compter ses failles de sécurité...
Je disais donc : pour les spywares, il y a des version "allégées". Pour les failles, j'aimerais en savoir plus.
Fais donc une recherche sur le web avec comme mots-clés "Kazaa" et au choix ensemble ou séparément "vulnérabilité", "critique", "faille", "sécurité" ou leurs équivalents en anglais. C'est ce que j'ai fait.
Mmh, magnifique la version beta de Google Groups... Faut afficher les
"options" pour pouvoir citer dans une réponse !
On sait depuis longtemps que Google Groups pour poster dans les news, ça
pue. Mauvais encodage, non respect du Followup-To et j'en passe...
À ma connaissance, Kazaa est déjà bourré de spyware
Sans compter ses failles de sécurité...
Je disais donc : pour les spywares, il y a des version "allégées".
Pour les failles, j'aimerais en savoir plus.
Fais donc une recherche sur le web avec comme mots-clés "Kazaa" et au
choix ensemble ou séparément "vulnérabilité", "critique", "faille",
"sécurité" ou leurs équivalents en anglais. C'est ce que j'ai fait.
Mmh, magnifique la version beta de Google Groups... Faut afficher les "options" pour pouvoir citer dans une réponse !
On sait depuis longtemps que Google Groups pour poster dans les news, ça pue. Mauvais encodage, non respect du Followup-To et j'en passe...
À ma connaissance, Kazaa est déjà bourré de spyware
Sans compter ses failles de sécurité...
Je disais donc : pour les spywares, il y a des version "allégées". Pour les failles, j'aimerais en savoir plus.
Fais donc une recherche sur le web avec comme mots-clés "Kazaa" et au choix ensemble ou séparément "vulnérabilité", "critique", "faille", "sécurité" ou leurs équivalents en anglais. C'est ce que j'ai fait.
memyself_
Bonjour,
Anthony Fleury wrote:
Stephane Faure wrote:
Claude LaFrenière, in <193m9qo4lh4jo$.faiej2ybnbg5$ :
Et alors ? Ton pare-feu les bloque et c'est ce qui compte. Ne t'alarme pas inutilement avec ces trucs : tout à fait normal avec la quantité de PC Zombies utilisés par des InterNUTS.
Je ne m'inquiète pas pour ma machine, mais pour la bande passante gaspillée et pour les infections à venir sur les PC tous neufs que neuneu a eu à son Noël.
Oh il n'a pas fallu attendre Noël pour voir ca, le lancement des différentes offres ADSL pour le « grand public » a suffit. Ca a offert un grand nombre de PC pas sécurisés (je dirai même totalement ouverts), faisant du P2P sur des logiciels comme Kazaa, connectés 24h/24 et avec une IP fixe pour combler le tout ! Pour ce qui est de la bande passante, j'ai pas fait de mesures mais ca parait pas non plus si gigantesque que ca.
[...]
Et vous, vous croyez donc qu'ils sont envoyés par Internet Explorer ? Ils sont dûs à des failles du système d'exploitation qui fait le thème du forum vers lequel vous voulez rediriger cette discussion.
Claude LaFrenière, in <193m9qo4lh4jo$.faiej2ybnbg5$.dlg@40tude.net> :
Et alors ? Ton pare-feu les bloque et c'est ce qui compte.
Ne t'alarme pas inutilement avec ces trucs : tout à fait normal
avec la quantité de PC Zombies utilisés par des InterNUTS.
Je ne m'inquiète pas pour ma machine, mais pour la bande passante
gaspillée et pour les infections à venir sur les PC tous neufs que
neuneu a eu à son Noël.
Oh il n'a pas fallu attendre Noël pour voir ca, le lancement des
différentes offres ADSL pour le « grand public » a suffit.
Ca a offert un grand nombre de PC pas sécurisés (je dirai même totalement
ouverts), faisant du P2P sur des logiciels comme Kazaa, connectés 24h/24
et avec une IP fixe pour combler le tout !
Pour ce qui est de la bande passante, j'ai pas fait de mesures mais ca
parait pas non plus si gigantesque que ca.
[...]
Et vous, vous croyez donc qu'ils sont envoyés par Internet Explorer ?
Ils sont dûs à des failles du système d'exploitation qui fait le thème
du forum vers lequel vous voulez rediriger cette discussion.
Claude LaFrenière, in <193m9qo4lh4jo$.faiej2ybnbg5$ :
Et alors ? Ton pare-feu les bloque et c'est ce qui compte. Ne t'alarme pas inutilement avec ces trucs : tout à fait normal avec la quantité de PC Zombies utilisés par des InterNUTS.
Je ne m'inquiète pas pour ma machine, mais pour la bande passante gaspillée et pour les infections à venir sur les PC tous neufs que neuneu a eu à son Noël.
Oh il n'a pas fallu attendre Noël pour voir ca, le lancement des différentes offres ADSL pour le « grand public » a suffit. Ca a offert un grand nombre de PC pas sécurisés (je dirai même totalement ouverts), faisant du P2P sur des logiciels comme Kazaa, connectés 24h/24 et avec une IP fixe pour combler le tout ! Pour ce qui est de la bande passante, j'ai pas fait de mesures mais ca parait pas non plus si gigantesque que ca.
[...]
Et vous, vous croyez donc qu'ils sont envoyés par Internet Explorer ? Ils sont dûs à des failles du système d'exploitation qui fait le thème du forum vers lequel vous voulez rediriger cette discussion.
On sait depuis longtemps que Google Groups pour poster dans les news, ça
pue. Mauvais encodage, non respect du Followup-To et j'en passe...
Mais tu as mal lu : c'est la version beta de Google Groups que j'utilise, et elle gère les followup-to (http://groups-beta.google.com/). Pour l'encodage, j'ai jamais rien vu de gênant dans les articles publiés (pour l'affichage des pages, c'est autre chose). Et je dois dire que lorsque je ne suis pas sur mon PC, et ne peux donc pas installer de client NNTP, c'est le meilleur webnews que j'ai trouvé à ce jour (voir les fils que j'ai initié en dédembre dernier sur fr.usenet.distribution.
Fais donc une recherche sur le web avec comme mots-clés "Kazaa" et au
choix ensemble ou séparément "vulnérabilité", "critique", "faille",
"sécurité" ou leurs équivalents en anglais. C'est ce que j'ai fait.
Et tu as fait pareil pour les autres p2p ? C'est ce que j'ai fait avec eMule, vu qu'il a bonne presse vu que c'est du libre. Evidemment, comme pour tout logiciel tournant autour d'un réseau, il y a des failles. Personnellement, quel que soit le p2p utilisé, j'autorise tous les ports en TCP et UDP à l'application, et je n'ai jamais observé de problème.
Pascal@plouf wrote:
On sait depuis longtemps que Google Groups pour poster dans les news,
ça
pue. Mauvais encodage, non respect du Followup-To et j'en passe...
Mais tu as mal lu : c'est la version beta de Google Groups que
j'utilise, et elle gère les followup-to
(http://groups-beta.google.com/). Pour l'encodage, j'ai jamais rien vu
de gênant dans les articles publiés (pour l'affichage des pages,
c'est autre chose).
Et je dois dire que lorsque je ne suis pas sur mon PC, et ne peux donc
pas installer de client NNTP, c'est le meilleur webnews que j'ai
trouvé à ce jour (voir les fils que j'ai initié en dédembre dernier
sur fr.usenet.distribution.
Fais donc une recherche sur le web avec comme mots-clés "Kazaa" et
au
choix ensemble ou séparément "vulnérabilité", "critique",
"faille",
"sécurité" ou leurs équivalents en anglais. C'est ce que j'ai
fait.
Et tu as fait pareil pour les autres p2p ? C'est ce que j'ai fait avec
eMule, vu qu'il a bonne presse vu que c'est du libre. Evidemment, comme
pour tout logiciel tournant autour d'un réseau, il y a des failles.
Personnellement, quel que soit le p2p utilisé, j'autorise tous les
ports en TCP et UDP à l'application, et je n'ai jamais observé de
problème.
On sait depuis longtemps que Google Groups pour poster dans les news, ça
pue. Mauvais encodage, non respect du Followup-To et j'en passe...
Mais tu as mal lu : c'est la version beta de Google Groups que j'utilise, et elle gère les followup-to (http://groups-beta.google.com/). Pour l'encodage, j'ai jamais rien vu de gênant dans les articles publiés (pour l'affichage des pages, c'est autre chose). Et je dois dire que lorsque je ne suis pas sur mon PC, et ne peux donc pas installer de client NNTP, c'est le meilleur webnews que j'ai trouvé à ce jour (voir les fils que j'ai initié en dédembre dernier sur fr.usenet.distribution.
Fais donc une recherche sur le web avec comme mots-clés "Kazaa" et au
choix ensemble ou séparément "vulnérabilité", "critique", "faille",
"sécurité" ou leurs équivalents en anglais. C'est ce que j'ai fait.
Et tu as fait pareil pour les autres p2p ? C'est ce que j'ai fait avec eMule, vu qu'il a bonne presse vu que c'est du libre. Evidemment, comme pour tout logiciel tournant autour d'un réseau, il y a des failles. Personnellement, quel que soit le p2p utilisé, j'autorise tous les ports en TCP et UDP à l'application, et je n'ai jamais observé de problème.
