Iftop étrange chez free [trouvé : port 135, 445 etc attaqué] - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 24-04-2007 à 08:58:32
si ton serveur ssh est configuré sur le port 22.
ce sont des robots présents sur la toile qui testent tes mot de passe.
tu pourras vérifier ça avec le log de ssh
et préparer une parade efficace par exemple.
Marsh Posté le 24-04-2007 à 11:02:11
Non, j'ai vérifié mon auth.log en grépant sur Failed ou meme plus large, j'en ai que tres rarement (iptables agressif qui ban l'ip pour 5 min si plus de 3 tentatives).
Là c'est incroyable comme ça tourne : jamais plus de 3 ou 4 a la fois, mais ça change toute les 2 secondes
J'ai aussi dns2.proxad.net qui est toujours là. (ça me parait plus normal déjà).
Marsh Posté le 24-04-2007 à 11:14:23
J'ai Nmapé une IP qui est venu me voir :
PORT STATE SERVICE
139/tcp open netbios-ssn
1025/tcp open NFS-or-IIS
5000/tcp open UPnP
Marsh Posté le 24-04-2007 à 14:32:46
T'as un serveur UPnP sur ta machine ?
Marsh Posté le 24-04-2007 à 14:41:16
non.. pas du tout !
edit : enfin ça m'étonnerai beaucoup sur une ubuntu server sur laquelle ya pas grand chose
Marsh Posté le 26-04-2007 à 11:20:22
Apres analyse plus poussée : (merci iptraf !)
C'est le port 135 que ces freebox essaient de contacter ! Mais j'ai juste l'en-tete (10b) donc ça ne passe pas (merci iptable).
C'est le port en général choisi par les attaques de bot et autre trojen/virus visiblement. Toujours est-il que c'est impressionnant le nombre, et ça vient toujours du réseau free..
MAJ : aussi 445 ! c'est bien des attaques !
Marsh Posté le 26-04-2007 à 12:03:08
Petite question. Avec mon iptable, je fais du nat.
Ma regle par défaut c'est bien DROP, mais quand je nmap de l'exterieur mon port 445, il n'est pas "closed" mais filtered (il arrive nulle part).
J'ai essayé pas mal de regles différentes, mais il semble qu'il arrive quand meme dans PREROUTING, alors que je voudrai le DROP avant
edit : je me répond :
*
open : Le port est ouvert et un service écoute le port.
*
closed : Le port est ouvert mais il n'y a aucun service qui écoute le port.
*
filtered : Le port est fermé.
Marsh Posté le 23-04-2007 à 22:48:54
Voilà, je m'emmerdai un peu au boulot, alors je me suis mis en ssh sur mon routeur@home (ubuntu server). Il est relié directement à ma freebox (qui est uniquement en mode modem) sur eth0.
Par curiosité, j'ai lancé un iftop sur ce eth0.
Mais là chose étrange,
vor38-1-xx-xxx-xxx-xx.fbx.proxad.net => fla93-6-88-xxx-xxx-xxx.fbx.proxad.net 0b 0b 0b
<= 0b 0b 26b
vor38-1-88-xxx-xxx-xx.fbx.proxad.net => pla93-4-88-xx-xxx-xx.fbx.proxad.net 0b 0b 0b
<= 0b 0b 13b
vor38-1-88-xxx-xxx-xx.fbx.proxad.net => set25-1-88-xxx-xxx-xxx.fbx.proxad.net 0b 0b 0b
<=
edit : vor38 c'est moi
etc etc.J'ai plein d'ip venant de NRA dans toute la france qui s'affichent.
(mai59, ris91, lab75, car06, alf94 etc.)
Jamais plus de 3 en même temps,mais tous des ip différéntes chez free.
Je comprend pas d'où celà vient, la raison est peut etre simple, mais je suis curieux de savoir
Message édité par Plam le 26-04-2007 à 11:25:12