Mon firewall Kerio a détecté une tentative de connexion sur ma machine. J'aimerais que quelqu'un me la décrive. Voici les informations données par Kerio:
 
"
Incoming Connection Alert
18/09/03 22h42
Remote: f12m-2-160.d1.club-internet.fr [212.195.65.***] port 2559 - UDP
 
Détail: [212.195.65.***], port 2559 wants to send UDP datagram to port 135 owned by 'Generic Host Process for Win32 Services' on your computer.
 
Détails about application: c:\windows\system32\svchost.exe
"
 
S'agit-il d'une tentative d'intrusion ou je me fais des films?

Create appropriate filter rule... + deny

 
oui, ça c'est fait... mais je voulais juste savoir s'il s'agit s'une tentative d'intrusion ou pas...

On dirait bien.
Quand ça s'agite sans raison ou sans que tu aie demandé quoi que ce soit, ben des fois il vaut mieux faire gaffe.  
Tu crois pas? En plus, c'est le port 135, c'est svchost.exe, ça fait quelques raisons, non?

 
s'il s'agit effectivement d'une tentative d'intrusion, et histoire de rigoler un peu, ça vaudrait le coup d'envoyer un petit mail à club-internet avec l'adresse IP?

Pffff... msblast ne te dit rien ?

 
bah je ne vois pas le rapport... d'autant plus que normalement, avec mon anti-virus (kasperky), j'ai fait le ménage... msblast permet les tentatives d'intrusions?

 
le port 135? qu'est-ce qu'il a de spécial ce port?

 
Juste pour information et rappel :
SVCHOST est un processus générique, qui sert à lancer des services contenus dans des DLL. Au démarrage, SVCHOST scrute le contenu de la clef : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost  
 
Des entrées de type REG_MULTI_SZ contiennent une énumération de services à lancer. Il est donc normal d'en avoir plusieurs.

 
Si je te dis que DCOM RPC écoute sur le port 135, jusque la tu suis ?
 
http://securityresponse.symantec.c [...] .worm.html
 
Ensuite si je te dis que certaine personnes ignorent toujours qu'elles sont infectées et ces personnes n'ont pas d'AV à jour, tu comprends pourquoi ton FW te donne des alertes ?
 
MSBlast va entre autre essayer de manière automatique d'utiliser la faille DCOM RPC sur le port 135 de la machine. Svchost est juste un redirecteur pour les services réseaux :
 
http://www.jsiinc.com/SUBJ/tip4600/rh4660.htm

p'tain heureusement qu'il y avait requin sur ce topic, c'est quand même affolant ce que l'on peut lire comme conneries!

Personellement c'est cet esprit WarlordZ : "s'il s'agit effectivement d'une tentative d'intrusion, et histoire de rigoler un peu, ça vaudrait le coup d'envoyer un petit mail à club-internet avec l'adresse IP?" qui m'énerve... le type il installe un firewall il a une tentative de connexion dont il ignore la source probable et immédiatement cet esprit revenchard
 
A la limite je préfère le FW d'XP qui a le mérite d'être discret mais néanmoins efficace que des FW plus complexes dont l'utilisateur ne comprend généralement pas les tenants et aboutissants.

 

 
Ca me rappelle une fortune de Sam:

 
Je pense que les utilisateurs doivent prendre le temps de lire les messages.... Et non pas de répondre rapidement, juste pour dire de répondre !
 
En conclusion peterpaf écoute Requin

 
bah les fw personnels comme ZA suscitent cet paranoïa et cet esprit fight da world.
C'est là le problème c'est pour ça que jamais je ne les recommenderais

 
le problème c'est que sur ce forum il y a 1% de professionnels et 99% d'amateurs et ce sont ces 99% les plus écoutés parce qu'ils postent partout, sur tout et sans rien connaître...

Nous vivons en communauté. Néanmoins, je pense que les utilisateurs peuvent faire un effort.

dans le même genre que peterpaf, j'ai bcp de connexions bloqués par Kerio (j'ai copié les règles "Block High Trojan Ports"
et "Block Low Trojan Ports" qui bloquent tout sauf le port 80 et qui me previennet lorsqu'elles sont validées)
 
Extraits:
19/Sep/2003 10:42:30   Block High Trojan Ports TCP UDP (Notify)    blocked; In TCP; nat1.trisaia.enea.it [192.107.96.252:53652]->localhost:6348; Owner: no owner
19/Sep/2003 10:42:46   Block High Trojan Ports TCP UDP (Notify)    blocked; In UDP; ALille-208-1-23-239.w81-50.abo.wanadoo.fr [81.50.19.239:1031]->localhost:5141; Owner: no owner
...
19/Sep/2003 11:13:35   Block High Trojan Ports TCP UDP (Notify)    blocked; In TCP; pD90536EE.dip.t-dialin.net [217.5.54.238:50514]->localhost:6348; Owner: no owner
...
 
J'en ai 600 comme ça sur une heure. c'est monstrueux !!
Et pourtant, j'ai rien d'ouvert (à part myIE2). Pas de P2P par ex.
 
J'ai aussi quelques blocages comme celui ci:
19/Sep/2003 11:49:02   Block Low Trojan Ports TCP UDP  
(Notify)    blocked; In UDP; 0.0.0.0:68->localhost:67; Owner: C:\WINDOWS\SYSTEM32\SVCHOST.EXE
 
ça correspond à quoi l'IP 0.0.0.0 ?
 

mais si ça vous emmerde que je pose une question, dites-le carément et je poste ailleurs !!
 
je ne pollue pas le forum, que ce soit sur mandrake, sur kerio, sur des anti-virus ou encore sur svchost ou msblast, je vais une recherche complete sur le forum et sur google avant de poster ma question !!
 
j'ai simplement demandé si mon problème était grave ou si je me faisais du soucis pour rien, c'est tout !!

Non, moi ça m'emmerde pas.    
Tu bloques ce processus pour le moins suspect et même très potentiellement dangereux comme cela a été expliqué et plus de souci à se faire.
Quant à envoyer l'adresse IP à ton FAI, je ne sais pas si c'est une bonne idée car il s'agit peut-être de quelqu'un dont l'ordinateur a été infecté et qui envoie à son insu ce genre de requête.

 
Je pense qu'il ne faut pas prendre le message mots à mots. Je pense qu?il y a incompréhension. Il faut relativiser. Je crois savoir que personne ne dispose de la science infuse. Tout le monde a déjà posé une question.  
 
Mea culpa

 
je ne m'addressais pas à toi mais à ceux qui te font des réponses idiotes et qui te confortent dans une idée fausse

 
La même chose pour moi !

bref... on va dire que c'est un mal entendu et que j'ai pris certaines réflexions pour moi...
 
moi, j'ai posté mon message simplement parce que c'est quasiment ma première "tentative d'intrusion" depuis que je suis sur du haut-débit, soit quasiment 6 ans (le bon vieux temps du béta-testeur sur cybercable...).
 
D'autant plus que je pensais que blaster se limitait au problème de fermeture intempestive et imparable de XP sous 60 secondes... Or, il semblerait que ça ne se limite pas à cela... Je vais donc retourner lire les 74 pages de messages que comporte le topic sur BLASTER / SVCHOST...

 
Excuse-moi Krapaud, rien de personnel, mais il y a encore peu de temps, tu etais toi-meme un amateur. Je cherchais un topic sur SNMP, et quand j'au vu ta reponse ... toi aussi tu postais sans connaitre.
 
 

Peterpaf -> Bah on a fait un peu une "private discussion" entre admins sur le bien fondé des firewalls personnels, celà ne s'adressais pas entièrement à toi, pour l'esprit revenchard tu n'es pas le 1er à avoir installé un firewall reçu une alerte et se dire que le "hacker" à l'autre bout va s'en prendre plein la gueule... pour au final faire pffffiout sur un pauvre type qui comprend encore moins que toi à l'informatique et c'est choppé une saleté et va venir raler ici que son fournisseur lui bloque son accès au net (tout rapprochement avec des faits s'étant déroulés sur le forum HFR ne seraient que fortuits )
 
Ce que je voulais dire c'est que généralement les "intrusions" sont souvent l'oeuvre de programmes automatisés et qu'elle ne sont pas rares. De vraies attaques en bonne et due forme pour te piquer des données elles par contre sont plutot rares, voire inexistantes pour un particulier.
 
Actuellement MSBlast / Welchia & Co ont particulièrement agité les FW sur le port 135 ces derniers temps, mais il serait tout à fait possible si je ne m'abuse de taper \\tonadresseIP\ dans un explorateur Windows et de créer une alerte similaire sur le port 135.

des idées pour mes alertes de ce matin (depuis, ça s'est bien calmé d'ailleurs)

Port 6348 -> Gnutella (logiciel de P2P)
Port 5141 -> Rien de concluant
Port 67 -> Rien de concluant
 
http://www.doshelp.com/trojanports.htm
 
Tu as du probablement changer d'IP et récupérer celle de qqn qui lui faisait du P2P.

merci pour ta réponse (et le lien).
Bon, comme je me déconnecte puis reconnecte souvent, j'aurais toujours une adresse IP différente, donc je crois que je vais enlever l'option 'display alert box'. On va laisser Kerio bloquer tout ça en silence sans que cela ne me dérange...
PS/Edit: pour le 67, ça vient du DHCP. Je l'ai autorisé.

En effet le port 67 c'est le DHCP, je pensais que c'était plus fréquent que celà dans tes logs et que ca avait au moins l'air d'une attaque

 
je ne connais pas snmp, je ne crois pas avoir prétendu l'inverse.