Bonjour à tous,
 
Avec une semaine de retard, je viens de lire ce mail de free qui m'a été addressé le 27 Mars dernier :  
-----------------------------------------------------------------------
Bonjour ,  
>  
> Hier votre machine a scané les ports 137 ,445 de
> nombreuses machines free ,dont
> nous avons enregistré les logs et nous vous prions
> de cesser ce genre de scan
> afin de verifier les ports ouverts sur les autres
> machines , dans le cas
> contraire nous serions contraints de suspendre votre
> compte pour abus.
>  
> Veuillez agréer Monsieur , l'expression de nos
> sinceres considerations.
-----------------------------------------------------------------------
 
 
Késako ?
   
Mon poste serait-il infecté ? (Suis au Taf là)
Qu'est ce que cela peut signifier ?
Quelles en sont les causes ?
 
PS : Je suis sous XP SP1

est ce que tu as un firewall ?
Si c pas le cas, tu devrais penser a en mettre un...

 
C ça :  
 
 --- hotline@free.fr a écrit : >  
>  
> Bonjour Mr FACHE ,  
>  
> Hier votre machine a scané les ports 137 ,445 de
> nombreuses machines free ,dont
> nous avons enregistré les logs et nous vous prions
> de cesser ce genre de scan
> afin de verifier les ports ouverts sur les autres
> machines , dans le cas
> contraire nous serions contraints de suspendre votre
> compte pour abus.
>  
> Veuillez agréer Monsieur , l'expression de nos
> sinceres considerations.
>  

137 c'est Netbios (partage de fichiers par exemple)
445 c'est le maintenant bien connu microsoft-ds
 
Donc il y a 99% de chances que tu possèdes un vers tentant de se répliquer via les partages Windows et la faille de lsass.exe

Ben pour commencer tu devrais faire un scan !!

Celui d'XP peu suffire ?
 
G l'adsl depuis 10 jours, et effectiverment j'ai retiré le firewall d'XP pour ne pas que le firewall soit source de problème et bien sur histoire de le remettre plus tard.
 

Je l'ai arrétté il y a 4 jours maintenant, mais j'ai utilisé "la mule" 2 jours d'affilé.
 
Est-ce que ce type de soft scan ainsi les ports des autres internautes ?

 
Nananana
le FW XP bloque le traffic entrant. AVANT d'être infecté.
Mais il ne bloque pas le traffic sortant. Donc APRES.
 
Quand à l'équidé, c'est le 4662 et 4672

Cela vient d'un compte yahoo, je vois pas trop comment avoir la vrai entête, me l'envoyer peut-être
 
Je vais essayer

Fais comme dis PoKK: donne la vrai entete du mail, ca permetra de savoir si on ne te fais pas une blague.

C'est peut etre son mail de contact, le mien est sur Netcourrier...

Effectivement, c pas une question de naiveté, c simplement le mail de contact pour l'enregistrement sur free..
 
A part eux, je vois pas trop qui posséde ce mail, c celui de ma femme, mes potes ne connaissent pas ce mail et ne save pas non plus que c le mail de contact que j'ai utilisé.

Comment l'obtenir ? (Suis au Taf avec Outlook 2000)

Si tu es sous Outlook (pas bien!), fais un clique droit sur la ligne représentant le mail et vas dans options, et tu copies/colles ici ce qu'il y a tout en bas, dans "en-tete". Pense a effacer les infos confidentiels comme l'adresse de ton mail.

C vide....  
Le mail vient de yahoo, je l'ai transféré en piéce jointe

Via yahoo on peut la récupérer :
 
 
X-Apparently-To: c_xxxxxxxx@yahoo.fr via 66.218.78.39; Tue, 27 Apr 2004 22:33:14 -0700  
X-YahooFilteredBulk: 213.228.0.177  
Return-Path: <hotline@free.fr>  
Received: from 213.228.0.177 (EHLO deadmail1-2.free.fr) (213.228.0.177) by mta268.mail.scd.yahoo.com with SMTP; Tue, 27 Apr 2004 22:33:13 -0700  
Received: from smtp1-a.online.net (smtp1-a.online.net [212.27.35.82]) by deadmail1-2.free.fr (Postfix) with ESMTP id 480DEC079 for <c_xxxxxx@yahoo.fr>; Wed, 28 Apr 2004 07:33:13 +0200 (CEST)  
Received: from imp2-1.online.net (imp2-1.online.net [212.27.37.65]) by smtp1-a.online.net (Postfix) with ESMTP id 33BD69BE8C for <c_xxxxxx@yahoo.fr>; Wed, 28 Apr 2004 07:33:13 +0200 (CEST)  
Received: by imp2-1.online.net (Postfix, from userid 33) id 2A98A1107A; Wed, 28 Apr 2004 07:33:13 +0200 (MEST)  
Received: from palpatine.proxad.net (palpatine.proxad.net [212.27.36.1]) by imp.online.net (IMP) with HTTP for <conseiller241@centrapel.com@imap.pro.proxad.net>; Wed, 28 Apr 2004 07:33:13 +0200  
Message-ID: <1083130393.408f421918533@imp.online.net>  
Date: Wed, 28 Apr 2004 07:33:13 +0200  
De: hotline@free.fr  Ajouter au carnet d'adresses  
À: c_xxxxxx@yahoo.fr  
Objet: Scan port 137....  
MIME-Version: 1.0  
Content-Type: text/plain; charset=ISO-8859-1  
Content-Transfer-Encoding: 8bit  
User-Agent: Internet Messaging Program (IMP) 3.2.1  
Content-Length: 398  
 
 
 

Qu'est ce qui te permet de dire cela ?
 
Je sens rien d'ici...

Un truc qui est sur c'est que ca vient effectivement d'un server de free, mais pour savoir si ca ne vient pas d'un petit malin qui est sous free faut comparer avec l'en-tete d'un mail venant d'un compte free standard.
 
En fait l'en-tete montre les serveurs que le mail a parcouru depuis son envois. Et visiblement il vient bien de free car il passe par des serveurs proxad.

Désolé d'être relou, mais peux tu m'expliquer le "for" ?
 

Le gars a utilisé un Webmail (IMP est un client IMAP4 réalisé en PHP) pour envoyer ce message... à part celà le message provient a priori d'un webmail situé chez Free.

 
C'est la balise [code] qui met en évidence certains mots clefs usuels des langages de programmation...

dites moi ?Dans l absolue, d apres la loi , RIEN N INTERDIT DE SCANNER DES PORTS .. est ce que je me trompe ?  

donc c est bien stipuler sur un documents contractuel ..lequel ?

 
Je n'ai eu aucun symptome de vers ou quelquonques virus sur mon PC depuis une semaine.
 
Le mail de free date du 27 au matin, parlant de scann fait à priori la veille.
J'ai effectivement utilisé la freebox ce jour là, mais rien de transendant...
 
Un peu expeditif le mail de free....ils pourraient pas être un peu plus soft dans leur discours et donner des solutions plutôt que de taper avant ?

ARTICLE 4 - REGLES D'USAGE DE L'INTERNET
 
L'Usager déclare connaître et accepter les spécificités et les limites d'Internet et en particulier reconnaît :
· que la communauté des Usagers d'Internet a développé un code de bonne conduite que l'Usager déclare bien connaître, et qui est consultable notamment sur le site Internet http://netiquette.afa-france.com, et dont la transgression peut avoir pour effet d'exclure le contrevenant de l'accès à Internet, sans que Free ne puisse être tenue responsable de ce fait ;
· que les données circulant sur Internet ne doivent pas contrevenir aux lois, réglementations, chartes d'usages ou déontologies, nationales et internationales en vigueur ;
· que l'Usager, par son comportement et par les informations qu'il diffuse, fera en sorte de ne pas porter atteinte aux droits des tiers, notamment par :
- la diffusion de matériel protégé par un droit de propriété intellectuelle, littéraire, artistique. Les données circulant sur Internet pouvant être réglementées en terme d'usage ou protégées par un droit de propriété, l'Usager est donc l'unique responsable de l'utilisation des données qu'il consulte, stocke et transporte sur Internet ;
- la propagation de propos, d'images ou de sons pouvant constituer une diffamation, une injure, un dénigrement ou portant atteinte à la vie privée, aux bonnes moeurs ou à l'ordre public ; que les données circulant sur le réseau Internet sont susceptibles d'être détournées : la communication par l'Usager de données confidentielles est faite à ses risques et périls.
 
 
j ai verifie , dans ce document , il n est nullement question de "balayge de ports" , ou "scan de ports" ou meme scan tout court...
Donc, litteralement, legalement , ce n est pas interdit .
 
 
IL est stipulé aussi dans le contrat general de vente de free:
"Free se verrait notifier par des Usagers d'Internet, que l'Usager ne respecte pas le code de bonne conduite Internet mentionné à l’article 4 des présentes ou fait un usage d'Internet de nature à porter préjudice aux droits des tiers , qui serait contraire aux bonnes mœurs ou à l'ordre public"
excusez du peu, d un point de vue juridique, c est nul .

Tu dois avoir une clause du genre "Ou tout autre pratique visant a penetrer dans un systeme..."

le scan de ports, N EST PAS UNE PRATIQUE VISANT a penetrer un systeme informatique, implicitement oui, mais pas directement .
le proces d intention N EXISTE PAS en france

 
et pour finir  
" Free constaterait des actes de piratage ou de tentative d'utilisation illicite des informations circulant sur le réseau ayant pour cause ou origine la connexion avec l'Usager, y compris si Free constate sur un même login des connexions simultanées "
 
le scan de ports n est pas du piratage.

J'ai dis "visant a penetrer" mais si c'est un message du genre "Ou tout autre pratique visant a obtenir des informations sur un systeme..." ?