Tentative d'intrusion ??!!! [Dlink DI 604] - Windows & Software
Marsh Posté le 12-11-2003 à 18:25:28
Bon j'ai envoyé un mail a abuse@free.fr car la pluspart de ces IP sont des ip free.. donc meme si c'est de la denonciation, j'en suis desolé, mais c'est pas gentil de surcharger mon routeur...
Au passage je me suis renseigné sur google dans les forum US, les intrusion detectées en tant que 127.0.0.1 sont en fait du IP spoofing (le mechant hacker fait croire a mon routeur que c'est lui meme qui demande l'acces a un port dans l'espoir que celui ci lui laisse l'acces sans broncher).. manque de bol, je bloque tous les portsd que j'utilise pas...
Donc bien que mon log soit pas trop propre a priori rien ne passe..
J'aimerai qd meme que qqn me disent comment faire le menage...
Marsh Posté le 12-11-2003 à 18:35:28
J'en profite pour poser une question au sujet de ce routeur que je possède aussi
As-tu réussi à configurer le firewall intégré comme tu le souhaitais ??
Perso j'ai pas réussi à le faire bloquer tous les ports sauf ceux que j'utilise
HELP !
Marsh Posté le 12-11-2003 à 18:39:51
les "attaques" sur le port 135 et 445 : cela sent le worn a plein nez. A mon avis je pense que c'est une (ou plusieur) becanne infectée par un vers.
Marsh Posté le 12-11-2003 à 18:41:26
ba en fait il faut te servir du vitual server (qui sert au NAT)
Tu redirige acces venant d'internet vers les ports que tu souhaite des machines de ton Reseau local.
A partir de la le routeur ne redirigeant pas les ports non decrits dans le virtual server, ils sont comme qui dirait "bloqué" vu qu'il ne sont pas retransmis.
Sinon pour ce qui est des filtres, tu peux aussi choisir la methode forte avec l'IP ou le MAC filter dans l'onglet FILTER
Si ta pas le meme firmwxare que moi tu risque de pas tout comprendre a ce que je dis : Current Firmware Version: 1.81
Si tu la veut demande moi je te l'uploaderai
Marsh Posté le 12-11-2003 à 18:41:53
vrobaina a écrit : les "attaques" sur le port 135 et 445 : cela sent le worn a plein nez. A mon avis je pense que c'est une (ou plusieur) becanne infectée par un vers. |
De mon reseau local?!!
Marsh Posté le 12-11-2003 à 18:46:57
vrobaina a écrit : non: vers ton reseau local ! |
Oué... ba dans ce cas.. je pense pas que je puisse les faire stopper leur tentatives..
En faisant quelques Ping -a, j'obtient a 90% des adresse de free qui sont freeboxé... C vraiment pas intellignets de la part des gens qui ont une IP fixe de scanné en direct sur des machines du meme FAI et egalkement du meme pays qu'eux.. quant au vers .. ce pourrait 'il que ca soit blaster? ou teekids? il est a la mode en ce moment celui la
Marsh Posté le 12-11-2003 à 18:50:11
DaFarmer a écrit : ba en fait il faut te servir du vitual server (qui sert au NAT) |
Je me suis mal expliqué
En fait je veux pas fermer les ports dans le sens "entrant", c'est fait par défaut, j'ai juste redirigé les ports qui m'intéressent vers la machine concernée ...
Ce que j'aimerais faire, c'est bloquer les ports dans le sens "sortant" !
Pour être sûr qu'aucun prog sur un de mes pc ne se connecte quelque part sur le net sans que je le sache. Or par défaut, le routeur ouvre les ports lorsque la demande vient du réseau local
J'ai essayé avec le firewall, en bloquant tout ce qui sort, et en ouvrant juste les ports 80, 20, 21 par ex, mais alors plus rien n'accède au net, donc doit y avoir un problème !
Si quelqu'un sait le faire sur ce routeur je suis preneur
Marsh Posté le 12-11-2003 à 18:52:37
Advanced-> filter-> outbound IP filter
Utilise le Filtre 'Outbound IP Filters' to allow/deny LAN IP addresses access to the Internet. Je pense que c'est ce que tu recherche
Marsh Posté le 12-11-2003 à 18:55:00
C'est ce que j'ai fait, mais alors à ce moment là, même si je précise les règles pour laisser quelques ports ouverts, ben ils sont quand même tous fermés !!
Marsh Posté le 12-11-2003 à 18:55:52
DaFarmer a écrit : Bon j'ai envoyé un mail a abuse@free.fr car la pluspart de ces IP sont des ip free.. donc meme si c'est de la denonciation, j'en suis desolé, mais c'est pas gentil de surcharger mon routeur... |
Pfffffffffff ,n importe quoi,pour mailer abuse faut avoir une bonne raison,genre un vrai hack,et non un log d ip renvoyé par ton firewall...........
Tu crois qu on va les mettre en prison tous les proprios de ces ips
Sarkozy fait du bon boulot, mais on n en est pas encore arrivé a ce point
Edit: le port 135 ca peut etre un gars qui est infecté par blaster et dont la machine essaie d infecter d autres pc, a son insu
Marsh Posté le 12-11-2003 à 19:02:44
franck75 a écrit : |
Marsh Posté le 12-11-2003 à 19:11:30
Ca fait 1 heure que je surfe et j ai deja 50 logs bloqués par le firewall,c est pas pour ca que je vais envoyer des mails aux abuse des FAI
Marsh Posté le 12-11-2003 à 20:58:34
Je cherche une solution pour ne plus avoir ces merdes sur mon routeur.. Je ne fait pas parti des gens qui aime se faire ****** par des pti con qui scann betement des IP...
franck75, je ne te demande pas ton avis sur la facon dont je traite le probleme, mais plutot une solution concrete... tu n'en a pas.. donc ne poste pas sur ce topic .. Merci
Marsh Posté le 12-11-2003 à 21:02:15
DaFarmer a écrit : Je cherche une solution pour ne plus avoir ces merdes sur mon routeur.. Je ne fait pas parti des gens qui aime se faire ****** par des pti con qui scann betement des IP... |
Mais c est toi qui va passer pour un noob en leur envoyant un mail a chaque log sur ton firewall
Marsh Posté le 12-11-2003 à 21:05:45
franck75 a écrit : |
Ba ouais mais dans ce cas comment faire pour que ces mecs arretent leurs conneries?
J'ai une ligne dans mon routeur toutes les seconde.. et ca ne sarrenetent pas.. ya meme des fois ou ca me flood tellement le routeur que linterface web est inaccessible
Marsh Posté le 12-11-2003 à 21:09:43
DaFarmer a écrit : |
J ai pas de routeur,mais y a surement une fontion "protection silencieuse,sans rapports de tentatives d intrusion",comme dans les firewall logiciels
Mais serieusement,le port 135 ca ressemble a un pc infecté par blaster qui essaie d infecter un autre pc
Marsh Posté le 12-11-2003 à 21:10:43
ok merci du renseignement
C kler que si c blaster ya pas moyen de contrer ca...
bon je v cherché une fonction de ce style... YOUPI c parti!
Marsh Posté le 12-11-2003 à 21:13:15
DaFarmer a écrit : ok merci du renseignement |
Par contre si c est tjrs la meme ip, tu peux effectivement contacter FREE pour qu ils contactent le gars en vue d un nettoyage de son pcay......ca peut etre intentionnel aussi de laisser un virus en action pour qu il se propage
Marsh Posté le 12-11-2003 à 21:16:05
a bon ?
Personelement je sais pas ce que t'en penses, mais je trouve que les FAI font pas enormement contre Blaster .. qq un propose le patch, mais la majorité (Club Internet pour ne pas citer de nom) ont carrément des server a eux infecté, mais malgrès les mails envoyés a leurs services, mes potes on toujours des tentaives par blaster.. le seul truc qu'il renvoi alors comme mail, c'est :
Pour les problemes d'intrusions du ver Blaster veuillez telecharger ce patch.. etc
Marsh Posté le 12-11-2003 à 22:13:52
DaFarmer a écrit : a bon ? |
Bah ouais,c est du service minimum ,c est pour ca que je ne me prends pas la tete a contacter les FAI ,le jour ou j ai chopé blaster j ai pas cherché a savoir ki me l avait envoyé, jai juste lancé l antivurus pour qu il s en occupe
Marsh Posté le 20-11-2003 à 09:38:02
moi jte propose douvrir ton port 135 dafounet damour , comme ca plu de log
je suis tres tres loin
pos : coucou daf c proto
Marsh Posté le 12-11-2003 à 17:03:33
J'ai Free degroupé en Freebox. La Freebox est relié au Dlink 604 qui gere la connexion a la perfection...
Cependant, depuis que j'ai une ip fixe, un gros probleme se pose.
Les attaques se multiplient de maniere exponentielle.
11-12-2003 16:55:56 Local7.Debug 192.168.0.1 Unrecognized access from 127.0.0.1:80 to TCP port 1879
11-12-2003 16:55:55 Local7.Debug 192.168.0.1 Unrecognized access from 81.56.26.18:3605 to TCP port 135
11-12-2003 16:55:54 Local7.Debug 192.168.0.1 Unrecognized access from 81.56.26.18:3597 to TCP port 445
11-12-2003 16:55:52 Local7.Debug 192.168.0.1 Unrecognized access from 81.56.26.18:3605 to TCP port 135
11-12-2003 16:55:52 Local7.Debug 192.168.0.1 Unrecognized access from 81.56.26.18:3593 to TCP port 135
11-12-2003 16:55:51 Local7.Debug 192.168.0.1 Unrecognized access from 81.56.26.18:3597 to TCP port 445
11-12-2003 16:55:49 Local7.Debug 192.168.0.1 Unrecognized access from 81.56.26.18:3593 to TCP port 135
11-12-2003 16:55:42 Local7.Debug 192.168.0.1 Unrecognized access from 127.0.0.1:80 to TCP port 1724
11-12-2003 16:55:40 Local7.Debug 192.168.0.1 Unrecognized access from 127.0.0.1:80 to TCP port 1919
11-12-2003 16:55:39 Local7.Debug 192.168.0.1 Unrecognized access from 81.56.26.18:3541 to TCP port 135
11-12-2003 16:55:37 Local7.Debug 192.168.0.1 Unrecognized access from 81.56.31.72:1425 to TCP port 135
11-12-2003 16:55:33 Local7.Debug 192.168.0.1 Unrecognized access from 81.56.26.18:3541 to TCP port 135
11-12-2003 16:55:32 Local7.Debug 192.168.0.1 Unrecognized access from 81.56.31.72:1402 to TCP port 135
11-12-2003 16:55:30 Local7.Debug 192.168.0.1 Unrecognized access from 81.56.26.18:3541 to TCP port 135
11-12-2003 16:55:07 Local7.Debug 192.168.0.1 Unrecognized access from 82.65.131.252:2613 to TCP port 1899
11-12-2003 16:54:57 Local7.Debug 192.168.0.1 Unrecognized access from 81.56.11.87:2236 to TCP port 445
11-12-2003 16:54:55 Local7.Debug 192.168.0.1 Unrecognized access from 127.0.0.1:80 to TCP port 1725
11-12-2003 16:54:54 Local7.Debug 192.168.0.1 Unrecognized access from 81.56.11.87:2236 to TCP port 445
11-12-2003 16:54:31 Local7.Debug 192.168.0.1 Unrecognized access from 127.0.0.1:80 to TCP port 1919
11-12-2003 16:54:25 Local7.Debug 192.168.0.1 Unrecognized access from 81.56.36.190:3991 to TCP port 445
11-12-2003 16:54:22 Local7.Debug 192.168.0.1 Unrecognized access from 81.56.36.190:3991 to TCP port 445
11-12-2003 16:54:09 Local7.Debug 192.168.0.1 Unrecognized access from 82.64.25.28:2419 to TCP port 1334
11-12-2003 16:53:58 Local7.Debug 192.168.0.1 Unrecognized access from 81.56.14.102:4385 to TCP port 135
Je cherche donc un moyen de bloquer toutes les ip qui essai de se connecter a des ports qui ne sont pas redirigé par le NAT vers les machines de mon reseau.
Vous remarquerez que dans ce log, on peut voir l'adresse 127.0.0.1 qui correspond a l'adresse du routeur qui essai de se connecter a lui-meme.. le con (et qui en plus de ca se bloque lui-meme tout seul)
HELP!!!!