Tentatives de connexion sur port 10769 [résolu] - Sécurité - Windows & Software
Marsh Posté le 26-12-2007 à 02:50:41
UP! SVP, répondez au moins qqch même si vous ne savez pas...
Marsh Posté le 29-12-2007 à 08:25:27
Salut,
Utilises tu une plateforme de fomation sur le net???
Marsh Posté le 29-12-2007 à 20:15:20
Tu voulait dire port 10769 et pas 10739.
http://www.frameip.com/liste-des-ports-tcp-udp/
De 1024 à 49151 les "Registered" ports utilisables par les programmes utilisateurs.
Commence par créer une règle entrant/sortant bloqué sur ce port pour commencer on ne c'est jamais sur ton firewall.
En suite change d'IP local.
La requête traverse déjà ton routeur Nat (normalement il aurait pas dû passé) et est bloqué par le dernier rempart ton firewall soft et ainsi peut-être exploité une faille non à jour de ton system ou d'un logiciel.
TCP Flags S "flag SYN" sert à initier une nouvelle connexion qui veut dire que la machine par exemple 76.69.125.158 fait toc-toc sur le port 10769 de ta machine pour voir si un service y répond.
Tu peut toujours utilisé le logiciel Ethereal pour voir les trames entrant en filtrant sur ce port.
Tu utilise un proxy ?
Peut-être suite à l'utilisation du p2p comme kazaa, Emule, ... ce qui pourrait expliquer que les destinataires essaient encore de te joindre sur cette ip.
Marsh Posté le 30-12-2007 à 11:08:09
Merci pour vos réponses.
Citation : arnaud1206: |
Non, je n'utilise pas de plateforme de formation.
Citation : mmc: |
En effet, 10769. Cela dit, j'avais regardé "frame ip". Il n'est pas recensé.
Citation : Commence par créer une règle entrant/sortant bloqué sur ce port pour commencer on ne c'est jamais sur ton firewall. |
Je viens de créer la règle au cas où.
Citation : En suite change d'IP local. |
Changer d'IP locale, ça c'est pas bête tiens. je vais faire ça aussi, mais seulement après avoir trouver ce que c'est car si ça s'arrête, je ne saurais jamais.
Citation : Tu peut toujours utilisé le logiciel Ethereal pour voir les trames entrant en filtrant sur ce port. |
Je vais lancer wireshark (ethereal) et je vais regarder ça de plus près. J'aurais dû penser à ça. Merci
Citation : Tu utilise un proxy ? |
Je n'utilise pas de proxy.
Citation : Peut-être suite à l'utilisation du p2p comme kazaa, Emule, ... ce qui pourrait expliquer que les destinataires essaient encore de te joindre sur cette ip. |
Il y a eu une brève utilisation de P2P, mais ça faisais 3 jours et le client n'est pas installé. et sur un autre disque.
Le problème, c'est que ça s'est arrêté le lendemain midi. Je vais surveiller ce port et je vous remercie pour vos contributions car je saurai quoi faire si ça réarrive.
Marsh Posté le 30-12-2007 à 14:33:15
Après avoir fermé un logiciel de P2P, j'ai remarqué un grand nombre de tentative de connexion et je pense que c'est normal. Même si je fais pas de P2P pendant plusieurs jour et que mon IP a changé, j'ai quand meme des intrusions plusieurs fois par heure. Ca dépend peut-être de ce qu'à fais l'ancien utilisateur de l'IP qui m'est attribué.
Il change chez toi ?
FWIN,2007/12/25,18:24:20 +1:00 GMT,83.78.128.244:6346,62.203.xx.xx:34779,UDP
FWIN,2007/12/25,18:26:40 +1:00 GMT,62.201.110.123:2252,62.203.xx.xx:135,TCP (flags:S)
FWIN,2007/12/25,18:41:58 +1:00 GMT,9.199.176.208:30770,62.203.xx.xx:1026,UDP
FWIN,2007/12/25,18:44:24 +1:00 GMT,121.14.136.101:6000,62.203.xx.xx:135,TCP (flags:S)
FWIN,2007/12/25,18:53:06 +1:00 GMT,61.136.60.77:37734,62.203.xx.xx:22,TCP (flags:S)
FWIN,2007/12/25,18:56:48 +1:00 GMT,61.66.197.151:30770,62.203.xx.xx:1026,UDP
FWIN,2007/12/25,18:58:40 +1:00 GMT,62.201.110.186:1138,62.203.xx.xx:135,TCP (flags:S)
FWIN,2007/12/25,19:00:34 +1:00 GMT,64.141.5.39:33579,62.203.xx.xx:10000,TCP (flags:S)
FWIN,2007/12/25,19:03:28 +1:00 GMT,202.115.205.195:30770,62.203.xx.xx:1026,UDP
FWIN,2007/12/25,19:06:52 +1:00 GMT,153.29.135.178:30770,62.203.xx.xx:1026,UDP
FWIN,2007/12/25,19:24:56 +1:00 GMT,62.141.78.54:3853,62.203.xx.xx:135,TCP (flags:S)
FWIN,2007/12/25,19:27:34 +1:00 GMT,136.1.80.119:30770,62.203.xx.xx:1026,UDP
FWIN,2007/12/25,19:31:48 +1:00 GMT,128.203.160.169:30770,62.203.xx.xx:1026,UDP
FWIN,2007/12/25,19:33:04 +1:00 GMT,205.211.233.84:45669,62.203.xx.xx:34779,UDP
FWIN,2007/12/25,19:41:38 +1:00 GMT,62.141.78.54:3466,62.203.xx.xx:135,TCP (flags:S)
FWIN,2007/12/25,19:51:38 +1:00 GMT,80.135.42.94:21679,62.203.xx.xx:34779,UDP
FWIN,2007/12/25,19:58:18 +1:00 GMT,62.90.78.79:2306,62.203.xx.xx:135,TCP (flags:S)
FWIN,2007/12/25,20:10:12 +1:00 GMT,89.0.141.113:33623,62.203.xx.xx:40305,TCP (flags:S)
FWIN,2007/12/25,20:10:56 +1:00 GMT,58.20.228.52:3767,62.203.xx.xx:1434,UDP
FWIN,2007/12/25,20:13:08 +1:00 GMT,141.231.227.90:30770,62.203.xx.xx:1026,UDP
FWIN,2007/12/25,20:28:24 +1:00 GMT,187.89.127.221:30770,62.203.xx.xx:1026,UDP
FWIN,2007/12/25,20:31:58 +1:00 GMT,62.20.143.239:3495,62.203.xx.xx:445,TCP (flags:S)
FWIN,2007/12/25,20:37:10 +1:00 GMT,54.70.119.37:30770,62.203.xx.xx:1026,UDP
FWIN,2007/12/25,20:38:58 +1:00 GMT,62.201.110.143:43413,62.203.xx.xx:135,TCP (flags:S)
FWIN,2007/12/25,20:43:30 +1:00 GMT,80.121.58.149:35704,62.203.xx.xx:34779,UDP
FWIN,2007/12/25,20:58:44 +1:00 GMT,7.127.127.83:30770,62.203.xx.xx:1026,UDP
FWIN,2007/12/25,21:01:58 +1:00 GMT,221.209.110.8:40938,62.203.xx.xx:1027,UDP
FWIN,2007/12/25,21:12:50 +1:00 GMT,89.0.141.113:37902,62.203.xx.xx:40305,TCP (flags:S)
FWIN,2007/12/25,21:13:36 +1:00 GMT,80.121.58.149:61735,62.203.xx.xx:34779,TCP (flags:S)
FWIN,2007/12/25,21:24:58 +1:00 GMT,202.97.238.195:42562,62.203.xx.xx:1026,UDP
FWIN,2007/12/25,21:28:38 +1:00 GMT,191.74.201.88:30770,62.203.xx.xx:1026,UDP
FWIN,2007/12/25,21:38:16 +1:00 GMT,202.97.238.202:58475,62.203.xx.xx:1026,UDP
FWIN,2007/12/25,21:38:16 +1:00 GMT,202.97.238.202:58475,62.203.xx.xx:1027,UDP
FWIN,2007/12/25,21:43:58 +1:00 GMT,62.20.143.239:3139,62.203.xx.xx:445,TCP (flags:S)
FWIN,2007/12/25,21:44:18 +1:00 GMT,148.6.251.86:30770,62.203.xx.xx:1026,UDP
FWIN,2007/12/25,21:51:22 +1:00 GMT,202.97.238.199:43185,62.203.xx.xx:1027,UDP
FWIN,2007/12/25,21:58:38 +1:00 GMT,205.211.233.84:45669,62.203.xx.xx:34779,UDP
Le 1026 et 1027 est souvent utilisé. J'ai regardé un peu sur le net, cela semble etre du spam messenger ? Le 34779, je ne vois pas ce que c'est. Bref moi je laisse faire mon firewall et ça m'inquiète pas plus que ça.
Marsh Posté le 30-12-2007 à 17:13:07
Ca ne m'inquiète pas plus que ça non plus...
En fait, c'est plus pas curiosité et incompréhension.
Oui, moi aussi, mon ip change.
Tu dois avoir raison. Ce doit être des réponses destinées à l'ancien possesseur de l'ip...
Bon, je crois que le sujet va pouvoir être clôt. Je ne sais pas si je dois le clore manuellement en éditant le titre et mettre un [résolu] devant. Ou si je le laisse lentement s'éloigner...
Marsh Posté le 30-12-2007 à 17:15:05
Finalement, ça a été [résolu]... le temps de me rappeler qu'il fallait éditer le 1er message...
Marsh Posté le 30-12-2007 à 18:06:16
fpyfpy33 a écrit : |
Je ne crois pas non. Sauf si tu as pas un IP fixe.
fpyfpy33 a écrit : |
Les serveurs p2p gardent dans leurs caches temporairement pendant 1 à 2 semaines, ... (dépend des serveurs) ton adresse IP pour les autres utilisateurs qui cherchent ce que tu partage.
Prenons un exemple: "Quelqu'un se connecte sur le p2p et demande aux serveurs est-ce que vous connaissaient quelqu'un qui partage tel fichier ?"
Le serveur p2p lui répond : Tiens j'ai cette IP récemment là, va voir chez lui il partage ce que tu demande. Et même si ton pc est pas connecté sur Internet (PC éteint ou plus de Emule, Kazaa,...) les utilisateurs feront toc-toc à ta porte de ton PC pour te réclamer le fameux fichier que tu partageait.
En gros les serveurs p2p gardent ton adresse IP pendant plusieurs semaines au cas ou.
Lorsque tu n'utilise plus de p2p pendant quelques semaines les serveurs p2p t'oublient et effacent ton IP de leurs caches (Mise à jour des serveurs). Et ensuite les flags S bloqués diminuent sur les log de ton firewall pour ensuite s'estomper... vu que les autres utilisateurs de p2p n'ont plus désormais ton IP, ils font moins Toc-Toc chez toi.
Mais une fois que tu réutilise le p2p quelques semaines après, tous recommence et ainsi de suite... .
D'où l'explication de tes Flags S bloqué vu que tu ne partage pas ou plus avec ce fameux port 10769 (port choisie aléatoirement par ton logiciel p2p) qui était ouvert au moment où tu partageait. Ce fameux port 10769 qui était ouvert au monde entier du p2p...
Si tu aime pas que des gens sonnent à la porte de chez toi sans arrêt, il faut plus utiliser le p2p ou sinon faut utilisé un proxy mais là tu sera en "low ID".
Marsh Posté le 31-12-2007 à 00:45:21
Merci bien pour ces explications très bien faites.
Ce doit être un autre utilisateur car mon IP change chaque jour (livebox en semi-dégroupé il me semble).
Ce n'est pas que je "n'aime pas" qu'on frappe à ma porte, c'est juste que je souhaite connaitre la personne ou le but de ce "tapage", par curiosité, et aussi pour comprendre qu'est-ce qui, sur mon PC, a pu initier la première connexion qui a engendré les flags S.
En fait, mon post est plus, au départ, dans un but d'information, de compréhension et de curiosité, que de "panique" ou inquiétude .
Merci à tous. C'est un bon forum car il y a de bons intervenants !
(je ne lèche pas de bottes ! )
Marsh Posté le 31-12-2007 à 10:41:01
Pas de problème moi aussi je regarde qui frappe à ma porte de mon PC parfois. Et je peux te dire qui y a pas que des gentils frappeur de porte innocents.
Prenons quelques exemples:
- Des SPAM qui scannent tes ports pour essayer d'envoyer un beau message publicitaire. (certains scan de ports sont légitimes et ne font rien, exemple lorsqu'on a surfé sur un site de son FAI).
- Des SPAM sur le port MSN ou exploité une faille sur MSN non à jour.
- Le virus Sasser qui circule toujours dans le réseau mondial cherchant
un pc non à jour à infecter.
- Un virus (je me rappel plus son nom) qui fait toc-toc à la porte des
de tous les PC mondiaux et si tu as un serveur Mysql installé non à
jour sur le port par défaut 3306 ---> infection suite à l'exploitation d'une faille.
Ensuite prise de contrôle de ton PC à distance ---> PC Zombie.
Et encore bien d'autres ...
Et oui, Internet est aussi une "Poubelle" de virus circulant sur le net et de plus en plus maintenant puisque de plus en plus de gens dans le monde entier se connectent sur le réseau mondial en faisant tous et n'importe quoi.
Les PC infectés essaient d'en infecter d'autres et ainsi de suite... . Le seul "freinage" à tous ça est d'avoir une bonne protection, un OS à jour, un bon comportement sur le net (éviter les sites de cul et cracks logiciels y a plein de virus, malware, spyware,...) pour ne pas à son tour infecter son voisin sans le savoir.
Marsh Posté le 25-12-2007 à 00:03:42
Bonjour,
il y a eu quelque sujets postés de ce genre, mais j'ai cherché partout (du moins je le pense) avant de poster.
Voilà 2 jours que ZoneAlarm m'indique des tentatives d'accès bloquées. Toutes sont à destination du port
1073910769 que je n'ai pas trouvé sur Google.Ma "config" réseau : Internet -> LiveBox ->ip locale en 192.168.x1.x2 -> un routeur Linksys WRT54GC -> ip locale2 en 192.168.x3.x4
Mon pc est sous xp pro réinstallé il y a une ou deux semaines.
Pour exemple, voici quelques alertes :
Date Heure (format 24) Minutes Secondes avec indicateur heure/GMT IP Source Port Source IP cible locale (moi) Port cible
24/12/2007 4 47 20 +1 189.140.151.93 2923 192.168.30.102 10769 TCP (flags S)
24/12/2007 8 8 06 +1 151.33.41.227 62635 192.168.30.102 10769 TCP (flags S)
24/12/2007 4 32 06 +1 77.249.44.62 3852 192.168.30.102 10769 TCP (flags S)
24/12/2007 4 23 28 +1 76.69.125.158 3804 192.168.30.102 10769 TCP (flags S)
24/12/2007 5 3 50 +1 76.69.125.158 4051 192.168.30.102 10769 TCP (flags S)
24/12/2007 6 4 10 +1 76.69.125.158 4503 192.168.30.102 10769 TCP (flags S)
24/12/2007 7 4 32 +1 76.69.125.158 1038 192.168.30.102 10769 TCP (flags S)
24/12/2007 8 4 52 +1 76.69.125.158 1444 192.168.30.102 10769 TCP (flags S)
24/12/2007 9 5 14 +1 76.69.125.158 1831 192.168.30.102 10769 TCP (flags S)
24/12/2007 10 5 34 +1 76.69.125.158 2161 192.168.30.102 10769 TCP (flags S)
24/12/2007 11 5 56 +1 76.69.125.158 2449 192.168.30.102 10769 TCP (flags S)
Le plus marrant, c'est la redondance de certaines adresses.
Mais un whois me dit que ça provient de divers endroits qui ne veulent rien dire : Canada, Londres, Brésil...
Quelqu'un comprend ? Peut-on me dire à quoi sert le port
1073910769 ?J'ai 813 alertes comme celles-là depuis 2 jours, et je ne vois pas ce que j'ai pu installé qui aurait déclenché ça...
A part ça, bon Noël !!! Je dois être le seul c... devant mon pc à cette heure-ci un soir de Noël, et d'ailleurs je vais bouger, mais si vous aviez une réponse d'ici demain, ça serait sympa.
Message édité par fpyfpy33 le 30-12-2007 à 17:17:33