Iftop étrange chez free [trouvé : port 135, 445 etc attaqué]

Iftop étrange chez free [trouvé : port 135, 445 etc attaqué] - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 23-04-2007 à 22:48:54    

Voilà, je m'emmerdai un peu au boulot, alors je me suis mis en ssh sur mon routeur@home (ubuntu server). Il est relié directement à ma freebox (qui est uniquement en mode modem) sur eth0.
 
Par curiosité, j'ai lancé un iftop sur ce eth0.  
Mais là chose étrange,  
 
vor38-1-xx-xxx-xxx-xx.fbx.proxad.net                                                      => fla93-6-88-xxx-xxx-xxx.fbx.proxad.net                                                         0b      0b      0b
                                                                                          <=                                                                                               0b      0b     26b
vor38-1-88-xxx-xxx-xx.fbx.proxad.net                                                      => pla93-4-88-xx-xxx-xx.fbx.proxad.net                                                          0b      0b      0b
                                                                                          <=                                                                                               0b      0b     13b
vor38-1-88-xxx-xxx-xx.fbx.proxad.net                                                      => set25-1-88-xxx-xxx-xxx.fbx.proxad.net                                                         0b      0b      0b
                                                                                          <=            
 
edit : vor38 c'est moi :o
etc etc.J'ai plein d'ip venant de NRA dans toute la france qui s'affichent.  
(mai59, ris91, lab75, car06, alf94 etc.)
Jamais plus de 3 en même temps,mais tous des ip différéntes chez free.
 
Je comprend pas d'où celà vient, la raison est peut etre simple, mais je suis curieux de savoir :)


Message édité par Plam le 26-04-2007 à 11:25:12
Reply

Marsh Posté le 23-04-2007 à 22:48:54   

Reply

Marsh Posté le 24-04-2007 à 08:58:32    

si ton serveur ssh est configuré sur le port 22.
ce sont des robots présents sur la toile qui testent tes mot de passe.
tu pourras vérifier ça avec le log de ssh ;)  
et préparer une parade efficace par exemple.

Reply

Marsh Posté le 24-04-2007 à 11:02:11    

Non, j'ai vérifié mon auth.log en grépant sur Failed ou meme plus large, j'en ai que tres rarement (iptables agressif qui ban l'ip pour 5 min si plus de 3 tentatives).

 

Là c'est incroyable comme ça tourne : jamais plus de 3 ou 4 a la fois, mais ça change toute les 2 secondes [:le kneu]

 

J'ai aussi dns2.proxad.net qui est toujours là. (ça me parait plus normal déjà).


Message édité par Plam le 24-04-2007 à 11:04:30
Reply

Marsh Posté le 24-04-2007 à 11:04:38    

ça peut pas etre du broadcast samba ?

Reply

Marsh Posté le 24-04-2007 à 11:14:23    

J'ai Nmapé une IP qui est venu me voir  :
 
PORT     STATE SERVICE
139/tcp  open  netbios-ssn
1025/tcp open  NFS-or-IIS
5000/tcp open  UPnP

Reply

Marsh Posté le 24-04-2007 à 14:21:16    

Personne :??:

Reply

Marsh Posté le 24-04-2007 à 14:32:46    

T'as un serveur UPnP sur ta machine ?


---------------
Be the one with the flames.
Reply

Marsh Posté le 24-04-2007 à 14:41:16    

non.. pas du tout !

 

edit : enfin ça m'étonnerai beaucoup sur une ubuntu server sur laquelle ya pas grand chose :o


Message édité par Plam le 24-04-2007 à 14:41:44
Reply

Marsh Posté le 26-04-2007 à 11:05:28    

Up, j'ai toujours ça

Reply

Marsh Posté le 26-04-2007 à 11:20:22    

Apres analyse plus poussée : (merci iptraf !)

 

C'est le port 135 que ces freebox essaient de contacter ! Mais j'ai juste l'en-tete (10b) donc ça ne passe pas (merci iptable).
C'est le port en général choisi par les attaques de bot et autre trojen/virus visiblement. Toujours est-il que c'est impressionnant le nombre, et ça vient toujours du réseau free..

 

MAJ : aussi 445 ! c'est bien des attaques !


Message édité par Plam le 26-04-2007 à 11:25:02
Reply

Marsh Posté le 26-04-2007 à 11:20:22   

Reply

Marsh Posté le 26-04-2007 à 12:03:08    

Petite question. Avec mon iptable, je fais du nat.
Ma regle par défaut c'est bien DROP, mais quand je nmap de l'exterieur mon port 445, il n'est pas "closed" mais filtered (il arrive nulle part).

 

J'ai essayé pas mal de regles différentes, mais il semble qu'il arrive quand meme dans PREROUTING, alors que je voudrai le DROP avant

 

edit : je me répond :

 

   *
      open : Le port est ouvert et un service écoute le port.
    *
      closed : Le port est ouvert mais il n'y a aucun service qui écoute le port.
    *
      filtered : Le port est fermé.


Message édité par Plam le 26-04-2007 à 12:10:00
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed