Log firewall : free m'envoie des requetes ICMP et netbios à la pelle

Log firewall : free m'envoie des requetes ICMP et netbios à la pelle - Sécurité - Windows & Software

Marsh Posté le 24-11-2003 à 13:02:01    

Voici le log de mon fw de 12h à 13 h (c comme ca en permanence):
 
Date/Time            Source IP       Host name                                SPort  DPort
2003/11/24 12:56:32  81.38.120.129   129.Red-81-38-120.pooles.rima-tde.net    1992   135    
2003/11/24 12:56:25  81.56.98.52     vandoeuvre-2-81-56-98-52.fbx.proxad.net  4332   135    
2003/11/24 12:56:03  213.30.85.112                                            45194  139    
2003/11/24 12:55:00  81.38.120.129   129.Red-81-38-120.pooles.rima-tde.net    2657   135    
2003/11/24 12:54:35  81.49.154.175   AAmiens-106-1-15-175.w81-49.abo.wanadoo.fr 1408   135    
2003/11/24 12:53:38  81.38.120.129   129.Red-81-38-120.pooles.rima-tde.net    3813   135    
2003/11/24 12:52:36  81.56.210.18    lns-p19-28f-81-56-210-18.adsl.proxad.net 1313   135    
2003/11/24 12:52:08  200.103.97.222  COMP04                                   3861   139    
2003/11/24 12:51:52  81.34.218.148   148.Red-81-34-218.pooles.rima-tde.net    2998   135    
2003/11/24 12:51:36  81.56.1.102     stgeorges-1-81-56-1-102.fbx.proxad.net   1677   445    
2003/11/24 12:50:03  81.56.221.248   lns-th2-4f-81-56-221-248.adsl.proxad.net 1279   135    
2003/11/24 12:48:52  81.57.236.38    brune-2-81-57-236-38.fbx.proxad.net      0      0      
2003/11/24 12:48:32  81.56.246.54    lns-th2-4f-81-56-246-54.adsl.proxad.net  4404   135    
2003/11/24 12:47:58  81.57.224.186   marcadet-3-81-57-224-186.fbx.proxad.net  0      0      
2003/11/24 12:47:56  210.145.89.242  TOKYO                                    4879   80    
2003/11/24 12:47:26  81.59.155.90    dslam90-155-59-81.dyndsl.zonnet.nl       0      0      
2003/11/24 12:28:50  81.57.70.71     trudaine-1-81-57-70-71.fbx.proxad.net    0      0      
2003/11/24 12:28:46  217.126.119.234 234.Red-217-126-119.pooles.rima-tde.net  3061   139    
2003/11/24 12:28:36  81.57.226.178   massena-3-81-57-226-178.fbx.proxad.net   0      0      
2003/11/24 12:28:06  219.153.151.131                                          1997   139    
2003/11/24 12:27:48  81.58.16.98     unlabelled-98-16-58-81.versatel.net      0      0      
2003/11/24 12:27:39  81.57.142.136   berny-1-81-57-142-136.fbx.proxad.net     0      0      
2003/11/24 12:27:18  213.25.220.94   pa94.gliwice.sdi.tpnet.pl                4252   139    
2003/11/24 12:27:13  81.56.23.79     edel-1-81-56-23-79.fbx.proxad.net        0      0      
2003/11/24 12:25:52  81.35.85.143    143.Red-81-35-85.pooles.rima-tde.net     4829   135    
2003/11/24 12:25:40  81.56.192.142   lns-th2-3f-81-56-192-142.adsl.proxad.net 0      0      
2003/11/24 12:25:18  220.159.62.175  t562175.ipgw.phs.yoyogi.mopera.ne.jp     1867   139    
2003/11/24 12:25:14  62.121.121.98   98-goc-6.acn.waw.pl                      2683   139    
2003/11/24 12:24:34  82.64.181.159   lns-th2-12-82-64-181-159.adsl.proxad.net 4307   445    
2003/11/24 12:24:27  81.34.246.7     7.Red-81-34-246.pooles.rima-tde.net      3844   135    
2003/11/24 12:20:45  81.56.221.29    lns-th2-4f-81-56-221-29.adsl.proxad.net  3850   135    
2003/11/24 12:20:27  81.59.167.86    dslam86-167-59-81.dyndsl.zonnet.nl       0      0      
2003/11/24 12:19:30  220.107.148.202 p5202-ipad04morioka.iwate.ocn.ne.jp      2548   139    
2003/11/24 12:17:59  82.64.181.159   lns-th2-12-82-64-181-159.adsl.proxad.net 3359   445    
2003/11/24 12:17:01  81.57.253.184   voltaire-4-81-57-253-184.fbx.proxad.net  0      0      
2003/11/24 12:16:55  81.38.84.135    135.Red-81-38-84.pooles.rima-tde.net     3823   135    
2003/11/24 12:16:54  81.56.202.35    lns-p19-24f-81-56-202-35.adsl.proxad.net 2077   135    
2003/11/24 12:16:08  81.56.38.45                                              4775   445    
2003/11/24 12:14:47  81.44.35.128    128.Red-81-44-35.pooles.rima-tde.net     2336   135    
2003/11/24 12:12:50  81.56.130.177                                            1386   135    
2003/11/24 12:11:37  66.138.255.209  adsl-66-138-255-209.dsl.hrlntx.swbell.net 2639   17300  
2003/11/24 12:10:23  82.64.181.159   lns-th2-12-82-64-181-159.adsl.proxad.net 4017   445    
2003/11/24 12:09:57  81.56.130.177                                            1119   135    
2003/11/24 12:09:11  81.35.178.177   177.Red-81-35-178.pooles.rima-tde.net    4052   135    
2003/11/24 12:07:59  217.227.82.114  pD9E35272.dip.t-dialin.net               1870   135    
2003/11/24 12:05:18  81.56.129.23    BACENETTI                                2292   135    
2003/11/24 12:00:04  81.56.196.96    lns-th2-3f-81-56-196-96.adsl.proxad.net  4310   445    
 
Vous avez vu le nombre de requete ICMP et netbios de machine proxad.net (free) ???
 
+ le nombre de requete sur 135 et 139 (blaster?)
 
G aussi des scan identifiés en tant que "Sub7 trojan scan" toutes les 2/3 heures :fou:  
 
edit : plus kuang 2 the virus toutes les 2/3 heures  
 
C pareil chez vous :??:


Message édité par netbios le 24-11-2003 à 13:05:16
Reply

Marsh Posté le 24-11-2003 à 13:02:01   

Reply

Marsh Posté le 24-11-2003 à 13:23:51    

NetBIOS a écrit :


Vous avez vu le nombre de requete ICMP et netbios de machine proxad.net (free) ???


A quoi on reconnait une requete ICMP dans tes logs ? Port = 0 ?


Message édité par charly007 le 24-11-2003 à 13:24:31
Reply

Marsh Posté le 24-11-2003 à 13:25:41    

ping  = port 0

Reply

Marsh Posté le 07-12-2003 à 10:31:11    

ce ne sont pas des machines proxad qui t'envoie ses requetes mais des simples abonnés adsl de free...


---------------
Intermittent du GNU
Reply

Marsh Posté le 07-12-2003 à 10:49:46    

Mikala a écrit :

ce ne sont pas des machines proxad qui t'envoie ses requetes mais des simples abonnés adsl de free...


 
+1 ,free n'a rien à voir avec ca  :heink:  
Pour ce ki est des attaques, c'est normal... y'en a de + en + sur le net...

Reply

Marsh Posté le 07-12-2003 à 11:02:44    

ta pas un logieciel de P2P?

Reply

Marsh Posté le 07-12-2003 à 11:53:20    

Rien d'exeptionnel la dedans....


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
Reply

Marsh Posté le 07-12-2003 à 12:07:19    

install pas de firewall comme ça t pas au courant :D

Reply

Marsh Posté le 07-12-2003 à 12:16:45    

bah y a aussi du blaster je pense (port 135) donc vaut mieux l'avoir le firewall, non?

Reply

Marsh Posté le 07-12-2003 à 18:04:42    

si ta le patch tu crains plus rien ^^

Reply

Marsh Posté le 07-12-2003 à 18:04:42   

Reply

Marsh Posté le 07-12-2003 à 18:20:16    

et tu vas patcher chaque cheval de troies un mois après qu'il se soit répandu sur le réseau?

Reply

Marsh Posté le 07-12-2003 à 18:23:33    

c'est effectivement du délire, j'ai une freebox depuis 3 jours sans firewall et mon pc est attaqué en permanence, faut que je me récupère un bon vieux routeur/firewall avec tous les ports fermés.

Reply

Marsh Posté le 07-12-2003 à 18:58:40    

minipouss a écrit :

et tu vas patcher chaque cheval de troies un mois après qu'il se soit répandu sur le réseau?


 
ça c'est tres rare et la plupart des firewall n avaient pas le port 135 bloké d origine ...
 
suffit de lire le post de slyde sur l utilité d un firewall il resume tres bien la situation je trouve


Message édité par Aesthetics le 07-12-2003 à 18:59:31
Reply

Marsh Posté le 07-12-2003 à 20:25:05    

et c'est quoi le lien du post car si je recherche 'firewal' dans les titres postés par slyde il n'y a rien et si c'est dans le corps des messages il y en a plein et j'ai pas envie de les regarder tous

Reply

Marsh Posté le 07-12-2003 à 20:50:48    

Reply

Marsh Posté le 07-12-2003 à 21:07:15    


 
voila ce que dit Slyde
 
tentatives de hack => faut arrêter d'écouter les commerciaux de symantec and co et se mettre à windows update.
 
spyware, trojan => arrêter les sites de cul et les systèmes de P2P moisis, ça diminue drastiquement le nombre de spyware et de trojans
 
contrôler ce que font les programmes : rien à battre, ça va suffire à les faire déconner. Un programme m'enregistre sur une mail listing ? vive les règles de messagerie dans outlook.
 
Et surtout principalement parce que les gens s'en servent comme des pieds et s'étonnent que plus rien ne marche après, quand ils ont involontairement verrouillé tout le trafic.
 
1°/ arreter la parano.
 
2°/ Investir dans un modem-routeur-firewall, installer Ad-aware et arreter la mule.

 
 
j'adore slyde sur les discussions techniques en vidéo mais là je suis plus d'accord avec cette réponse dans le post
 
Quand les gens comme toi se choppent un blaster, un mass-mailer ou autre ils pourrissent la vie des autres en bouffant de la bande passante et en inondant la terre entière de mails. Parce que le problème c'est que quand tu choisis de pas mettre de capote c'est d'abord aux autres que tu fais prendre un risque, mais ça, ça te dépasse certainement.
 
faut pas être parano ok, mais j'ai pas envie que mon pc puisse servir à mon insu pour transiter certaines données ou pour envoyer des mails et des virus c'est tout. le firewall n'est qu'une règle élémentaire pour toute personne qui a un pc. c'est tout ça ne protège pas de tout mais comme toujours, une alarme n'empêche pas tous les voleurs, seulement elle dérange énormément les petits bras et ralentit un petit peu les gros voleurs. ce n'est pas la panacée mais ça peut aider quand même dans certains cas.

Reply

Marsh Posté le 07-12-2003 à 21:12:05    

ouais c sur
 
mais bon generalement si tu fais attention a ce ke tu dl etc.. y a pas vraiment de probleme

Reply

Marsh Posté le 07-12-2003 à 21:13:24    

c'est clair je ne fais pas non plus de p2p, je mets à jour l'antivirus (Norton mais bon personne n'est parfait ;) ) et les sites de cul je fais gaffe :D

Reply

Marsh Posté le 11-01-2005 à 10:23:08    

Et bin meme chose pour moi.
Avec le meme firewall, j'ai une connexion Nerim : pas de logs, enfin des fois un ptit scan de port.
Meme config de firewall, derriere une freebox : mon log se rempli en 5 min de tentative sur les ports netbios et AUTH (113).

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed