Logs des firewalls : ports 135, 139, 445, 1026-1027

Posez toutes les questions concernant internet en général et son utilisation, les comptes Email, le chat, les opérateurs téléphoniques et fournisseurs d'accès, FTP etc...

Modérateur: Modérateurs

Logs des firewalls : ports 135, 139, 445, 1026-1027

Messagepar Falkra » 07 Jan 2006 23:07

Bonsoir, j'ai une question pour vous, dont je n'ai pas trouvé la réponse clairement sur google, (qui est notre ami). :wink:

Dans les logs de mon firewall (Zone alarm pro), apparaissent bloqués (entre 2 et 9 fois par minute) des "tentatives d'accès" sur les ports 135, 139 (netbios), et 445 en TCP, 1026-1027 en UDP. Ce ne sont pas des attaques, et toutes proviennent de machines de mon FAI. J'ai observé la même chose chez d'autres personnes, de ce FAI ou pas : même constat. Avec mon ancien FAI, c'était pareil.

Le pc est over-sécurisé, les ports nécessaires, fermés. Les tests d'intrusion online me donnent tous les ports en "stealth". Ce PC n'est pas sur un réseau local. Le modem est ethernet. (pareil du temps de mon ancien modem usb)

Je me demande juste à quoi exactement correspondent ces accès (vérification du réseau FAI?), puisque le phénomène est bénin et répandu. J'ai vu ça avec modem usb ou ethernet, indifféremment. Si vous pouvez m'éclairer, vous lèverez une énigme sur laquelle je planche depuis un bout de temps. :-D
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25777
Inscription: 30 Jan 2005 14:44
Localisation: 127.0.0.1

Messagepar TheKind » 07 Jan 2006 23:49

Le port 445 comporte une faille sur des PCs windows non mis à jour, c'est pourquoi il doit être régulièrement sniffé (-> de ton FAI, peut-être un virus ou un méchant pirate)
Sinon pour les 1026 & 1027 c'est le service d'affichage de messages qui les utilise. Des spammeurs essaient surement d'accéder à ce port, donc le firewall le bloque.

C'est ce que j'ai trouvé avec notre ami google. Bonne soirée
TheKind
Libellulien
Libellulien
 
Messages: 62
Inscription: 19 Déc 2005 11:48

Messagepar TheKind » 07 Jan 2006 23:55

Au fait le 135 c'est des tentatives d'accès de Blaster
TheKind
Libellulien
Libellulien
 
Messages: 62
Inscription: 19 Déc 2005 11:48

Messagepar Falkra » 08 Jan 2006 09:40

Bonjour, merci pour ces réponses, pour le service d'affichage des messages, il est désactivé depuis longtemps, et blaster est patché.

Ce que je ne comprends pas c'est pourquoi ces accès ne viennent que de PC de mon fournisseur d'accès (tous différents) et pas d'autres plages d'IP.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25777
Inscription: 30 Jan 2005 14:44
Localisation: 127.0.0.1

Messagepar TheKind » 08 Jan 2006 11:07

Sa je n'en sais rien...
Pingue les IP et fait un traceroute...
TheKind
Libellulien
Libellulien
 
Messages: 62
Inscription: 19 Déc 2005 11:48

Messagepar lampil » 08 Jan 2006 11:27

Falkra a écrit:Bonjour, merci pour ces réponses, pour le service d'affichage des messages, il est désactivé depuis longtemps, et blaster est patché.

Ce que je ne comprends pas c'est pourquoi ces accès ne viennent que de PC de mon fournisseur d'accès (tous différents) et pas d'autres plages d'IP.


Hello,

ces adresses ip sont probablement les adresses d'autre client de ton FAI. (comme toi.)
Pour les acces, +1 pour thekind.

lampil
lampil
 

Messagepar Achille1er » 08 Jan 2006 12:15

Falkra a écrit:Ce que je ne comprends pas c'est pourquoi ces accès ne viennent que de PC de mon fournisseur d'accès (tous différents) et pas d'autres plages d'IP.


Parce que ces PC sont tous sur le même sous-réseau (netmask du provider) et les paquets de broadcast et udp y sont propagés. Ce sont probablement tous des PC infectés, sauf que l'ouverture du voisinnage réseau envoie aussi ce genre de paquets pour explorer l'environnement et afficher les machines connectées.
Quand on tient un marteau à la main, tous les problèmes ressemblent à des clous.
La théorie, c'est quand on sait tout et que rien ne fonctionne. La pratique, c'est quand tout fonctionne et que personne ne sait pourquoi.
Avatar de l’utilisateur
Achille1er
Super Libellulien
Super Libellulien
 
Messages: 2533
Inscription: 30 Mai 2005 08:46
Localisation: Zotrland

Messagepar Falkra » 08 Jan 2006 18:58

Merci Achille1er, je comprends mieux, pour le netmask, il s'agit de toute façon du réseau à échelle de FAI, de même que le modem au repos entretient le lien avec les serveurs par émission de quelques paquets, là on a l'inverse par lé réseau lui même, plus des infections. Pour des pcs infectés, ça en fait des tonnes, mais ça n'aurait rien d'étonnant.

Merci à tous pour ces précisions.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25777
Inscription: 30 Jan 2005 14:44
Localisation: 127.0.0.1


Retourner vers Internet

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 1 invité