Voilà ce qu'un log que j'analyse me donne :  
 
sse=syn, synack, establish
F=fin
 
tcp  @local1:1392 -> @internet1:6667  sSE  
1 sec plus tard
tcp  @internet1:41360 -> @local1:113   sSE
2 min plus tard
tcp  @local1:1392 -> @internet1.6667  sSEF
 
Ensuite plus rien durant 24h.
 
Ce que je vois c'est après qu'un des pc du réseau local ai établi une connexion sur un poste internet. Ce dernier ouvre une connexion sur le pc du réseau local et ensuite le pc du réseau local lui renvoi à priori des informations.
 
J'ai cherché un peu des applications qui utiliseraient le port 113 et je n'ai pas trouvé, le port 6667 à aussi l'air de jouer un rôle.
 
J'ai bien l'impression que qqn à essayé de penetrer sur ce PC ou que ce pc est habité par un trojan quel est votre avis ?
 
(je n'ai pas accès au pc en question problème de confidentialité pour cause d'une étude pour ma fac)

t'aurais pas fait de l'irc se jour là ?  

 
Comme je le dis j'analyse le traffic pour ma fac   .
 
Sinon ce serait de l'irc ? C'est possible d'expliquer les ouvertures de sessions ?

Je viens de voir que :  
pour se connecter sur un serveur irc typiquement le port 6667 est utilisé par un client.
pour se connecter sur un serveur de news tipiquement le port 113 est utilisé par les clients
 
Maintenant j'explique tjs pas l'enchainement.
 
Y aurai à priori qqn qui aurait lancé un serveur de news sur le réseau local ?

up

 
Ca c'est typiquement de l'IRC, j'ai ce genre de log lorsque je me logge sur IRC (irc.openprojects.net dans mon cas).
 
Le client se connecte sur le serveur, port 6667
Le serveur va vérifier le client en se connectant sur son port ident (113), afin de limiter les problèmes d'usurpations d'identitées.
 
Et là, deux minutes plus tard fermeture de la connexion.

Ok merci   .
 
Donc c'est un protocol piège encore et y a pas de blem.
 
Enfin bon ca aurait mieux si j'avais trouvé un pirate   .

 
j espere que t po admin car mem po capable de connaitre les protocole se serait vraimentdrole
 
si t admin donne l adresse de ta fac en connaisant plu que toi sans me anter meme la plus part je crois qu il nous embaucherons

 
Non je suis pas admin comme je l'ai laissé sous entendre je suis étudiant.
Et non je ne connaissais pas le protocol utilisé par irc. Même si je l'avais connu je ne pense pas que j'aurai su qu'il immisait une connexion sur le pc client sur le port 113 qui était le problème exact et que tu n'a pas l'air d'avoir vu.
 
Mais bon compétent comme t'es t'as pas besoin de bosser dans une fac faut que tu postule au ministère de la défense.

Attends si t'es si fort que dis moi si il faut s'inquiéter quand on voit dans un log une connexion immicée depuis internet vers un ordinateur de ton réseau local sur le port 20 ?

port 20:
 
 20     HMP         Host Monitoring                [RFC869,RH6]
 
 
au fait, si tu ne connais pas le nom de tous les ports, ya ca
http://www.cis.ohio-state.edu/hype [...] n/rfc.html
j'aime bien le port 666

Y a ca aussi :
http://www.iana.org/assignments/port-numbers
 
Mais c'est souvent insuffisant.
 
Quoi qu'il en soit c'était pas la réponse à la devinette, au suivant  .

merde

Bon aller je donne la réponse et dodo :  
Si tu isole dans un log une demande d'établissement de session sur le prot 20 immicée par une @internet sur une @ de ton réseau local.
Il a toutes les chances pour que ce soit une session ftp banale et pas de quoi s'inquiéter. Pour le savoir il faut que tu détermine si avant la requète syn sur le port 20 il y a eu un établissement de session depuis le pclocal sur l'@internet:21.
 
Si c'est le cas c'est un banal transfert ftp.
Par contre si ce n'est pas le cas   .

le port 6667 c'est pas celui de Backorifice ?

 
Ouais ouais tout a fait J'arrete de pas de hacker des serveur irc par ce port , mortel  

sorry c'est  le 5557 j'ai la mémoire qui flanche ......
 
la prochaine fois je tourne 7 fois ma tête autour de mes mains avec de frapper une connerie

 
Non mais c'est pas le problème dans mon cas puisque le port 6667 était le port de l'application internet.

merou91 a écrit a écrit : Bon aller je donne la réponse et dodo :   Si tu isole dans un log une demande d'établissement de session sur le prot 20 immicée par une @internet sur une @ de ton réseau local. Il a toutes les chances pour que ce soit une session ftp banale et pas de quoi s'inquiéter. Pour le savoir il faut que tu détermine si avant la requète syn sur le port 20 il y a eu un établissement de session depuis le pclocal sur l'@internet:21.   Si c'est le cas c'est un banal transfert ftp. Par contre si ce n'est pas le cas   .

 
plus precisement d aprs la relation n , n-1 qui s pplique pour le ftp ceci peut etre du que ton server soit utiliser comme fxp
ce qui est tres tres genant car sa peut bouffer toute ta bp

 
Tu peux expliquer en détail? J'ai pas tout compris...  

 
Non non c'est le mécanisme du protocol ftp mais en tant qu'étudiant modeste je me demande encore comment je sais ca.