J'ai un ordinateur parfaitement propre (jamais visité de site douteux,
jamais cliqué sur des pièces attachées suspectes, vérifications récentes par
AV et Spybot à jour), Windows XP, ADSL Wanadoo, et j'ai des connexions
inexplicables (pour moi) détectées avec netstat. Par exemple :
TCP mon_numéro-IP:1025 219.137.79.38:2220 ESTABLISHED
Surpris j'ai bloqué le port 1025 en entrée et sortie avec Zone Alarm Pro, et
pourtant j'ai encore ces connexions qui reviennent. Cela passe par où et de
quoi s'agit-il ?
En faisant un trace route on aboutit généralement sur une succession de
routeurs, puis une machine finale, sans nom. Avec Neotrace, cela semble
souvent partir vers la Chine (sauf hier une fois, vers la Suède, mais là les
machines étaient nommées).
Comment est-il possible d'identifier le programme que est responsable de ces
connexions, et que sont ces connexions ?
Pour savoir ce que c'est, il faudrait regarder ce qui passe dedans, et donc les sniffer :
http://www.ethereal.com/
-- Pour moi, une seule chose est claire. Avant d'effectuer toute modification des règles, il faut définir des règles de modification des règles. -+- TM in: Guide du Cabaliste Usenet - Usenet a-t-il ses règles ? -+-
Le Sun, 25 Jul 2004 13:50:27 +0000, J-P Louvet a écrit :
Comment est-il possible d'identifier le programme que est responsable de ces
connexions, et que sont ces connexions ?
Pour savoir ce que c'est, il faudrait regarder ce qui passe dedans, et
donc les sniffer :
http://www.ethereal.com/
--
Pour moi, une seule chose est claire. Avant d'effectuer toute
modification des règles, il faut définir des règles de modification
des règles.
-+- TM in: Guide du Cabaliste Usenet - Usenet a-t-il ses règles ? -+-
Pour savoir ce que c'est, il faudrait regarder ce qui passe dedans, et donc les sniffer :
http://www.ethereal.com/
-- Pour moi, une seule chose est claire. Avant d'effectuer toute modification des règles, il faut définir des règles de modification des règles. -+- TM in: Guide du Cabaliste Usenet - Usenet a-t-il ses règles ? -+-
TiChou
Dans le message <news:, *Cedric Blancher* tapota sur f.c.securite :
Comment est-il possible d'identifier le programme que est responsable de ces connexions, et que sont ces connexions ?
On peut aussi utiliser l'option '-o' de la commande 'netstat' disponible seulement sur les versions XP de Windows et qui permet d'afficher le PID du process lié à cette connexion.
-- TiChou
Dans le message <news:pan.2004.07.25.13.53.01.700997@cartel-securite.fr>,
*Cedric Blancher* tapota sur f.c.securite :
Comment est-il possible d'identifier le programme que est responsable de
ces connexions, et que sont ces connexions ?
On peut aussi utiliser l'option '-o' de la commande 'netstat' disponible
seulement sur les versions XP de Windows et qui permet d'afficher le PID du
process lié à cette connexion.
On peut aussi utiliser l'option '-o' de la commande 'netstat' disponible seulement sur les versions XP de Windows et qui permet d'afficher le PID du process lié à cette connexion.
-- TiChou
jean pierre bassot
On Sun, 25 Jul 2004 13:50:27 +0000, J-P Louvet wrote:
J'ai un ordinateur parfaitement propre (jamais visité de site douteux, jamais cliqué sur des pièces attachées suspectes, vérifications récentes par AV et Spybot à jour), Windows XP, ADSL Wanadoo, et j'ai des connexions inexplicables (pour moi) détectées avec netstat. Par exemple :
TCP mon_numéro-IP:1025 219.137.79.38:2220 ESTABLISHED
Surpris j'ai bloqué le port 1025 en entrée et sortie avec Zone Alarm Pro, et pourtant j'ai encore ces connexions qui reviennent. Cela passe par où et de quoi s'agit-il ? En faisant un trace route on aboutit généralement sur une succession de routeurs, puis une machine finale, sans nom. Avec Neotrace, cela semble souvent partir vers la Chine (sauf hier une fois, vers la Suède, mais là les machines étaient nommées). Comment est-il possible d'identifier le programme que est responsable de ces connexions, et que sont ces connexions ?
Merci à ceux qui pourront m'éclairer.
Ne serait-ce pas justement Zone alarm qui utiliserait ce port personnellement j'emploie Kerio et il utilise clairement les ports 44334, 1030 et 1083 -- J.P.B.
On Sun, 25 Jul 2004 13:50:27 +0000, J-P Louvet wrote:
J'ai un ordinateur parfaitement propre (jamais visité de site douteux,
jamais cliqué sur des pièces attachées suspectes, vérifications récentes par
AV et Spybot à jour), Windows XP, ADSL Wanadoo, et j'ai des connexions
inexplicables (pour moi) détectées avec netstat. Par exemple :
TCP mon_numéro-IP:1025 219.137.79.38:2220 ESTABLISHED
Surpris j'ai bloqué le port 1025 en entrée et sortie avec Zone Alarm Pro, et
pourtant j'ai encore ces connexions qui reviennent. Cela passe par où et de
quoi s'agit-il ?
En faisant un trace route on aboutit généralement sur une succession de
routeurs, puis une machine finale, sans nom. Avec Neotrace, cela semble
souvent partir vers la Chine (sauf hier une fois, vers la Suède, mais là les
machines étaient nommées).
Comment est-il possible d'identifier le programme que est responsable de ces
connexions, et que sont ces connexions ?
Merci à ceux qui pourront m'éclairer.
Ne serait-ce pas justement Zone alarm qui utiliserait ce port
personnellement j'emploie Kerio et il utilise clairement les ports
44334, 1030 et 1083
--
J.P.B.
On Sun, 25 Jul 2004 13:50:27 +0000, J-P Louvet wrote:
J'ai un ordinateur parfaitement propre (jamais visité de site douteux, jamais cliqué sur des pièces attachées suspectes, vérifications récentes par AV et Spybot à jour), Windows XP, ADSL Wanadoo, et j'ai des connexions inexplicables (pour moi) détectées avec netstat. Par exemple :
TCP mon_numéro-IP:1025 219.137.79.38:2220 ESTABLISHED
Surpris j'ai bloqué le port 1025 en entrée et sortie avec Zone Alarm Pro, et pourtant j'ai encore ces connexions qui reviennent. Cela passe par où et de quoi s'agit-il ? En faisant un trace route on aboutit généralement sur une succession de routeurs, puis une machine finale, sans nom. Avec Neotrace, cela semble souvent partir vers la Chine (sauf hier une fois, vers la Suède, mais là les machines étaient nommées). Comment est-il possible d'identifier le programme que est responsable de ces connexions, et que sont ces connexions ?
Merci à ceux qui pourront m'éclairer.
Ne serait-ce pas justement Zone alarm qui utiliserait ce port personnellement j'emploie Kerio et il utilise clairement les ports 44334, 1030 et 1083 -- J.P.B.
