[Tibal]

Bonjour à tous.

Depuis mardi soir (date à laquelle j'ai du activer le firewall si je me rappelle bien), je trouve ce type de message dans le log de la CI.box :

2006-04-11 23:56:54 Kernel.Alert 192.168.1.1 kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=212.xxx.xxx.xxx DST=212.yyy.yyy.yyy LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=17387 PROTO=TCP SPT=14748 DPT=445 WINDOW=64240 RES=0x00 SYN URGP=0

Je veux juste être rassuré, cela signifie bien que le firewall bloque ces paquets ?

Autre chose qui m'intrigue, cela revient très très souvent (toutes les 10 minutes environ) et je retrouve régulièrement la même IP source pendant quelques temps. Un petit malin qui joue à l'apprenti hacker et qui prend des IP au hasard ?
Ah, je précise que les 2 premiers octets de l'IP source sont souvent les mêmes que les 2 premiers de mon IP.

Merci d'avance de vos réponses.

[Tibal]

Tiens, je suis en train de remarquer que les ports de destination sont souvent les mêmes : 139, 445...

Selon Zebulon, qui prouve en même temps que tous mes ports sont fermés et masqués (http://www.zebulon.fr/outils/scanports/results_qt.php?TCPo=&TCPc=&TCPi=21,22,23,25,79,80,110,113,119,135,139,143,389,443,445,1002,1024,1025,1026,1027,1028,1029,1030,1720,5000&tmp_exec=24.99#):
139 netbios-ssn Utilisé pour le partage de fichiers dans un réseau local
445 microsoft-ds Utilisé pour le partage des protocoles SMB. Son exploitation peut permettre d'obtenir vos mots de passe

[Dumboton]

C'est le parefeu de la box qui te signale qu'il a bloqué une demande de conn ection sur le port 139 ou 445. Il peut s'agir effectivement de scan pour détecter des partages windows ou de machine qui font simplement du broadcast.
_________________

CI c'était des hommes, un service et de la qualité

[RABOULDEK]

139, et 449
ce sont 2 ports typiques des virus Blaster et Sasser

on dirait que ces saloperies tournent encore pas mal sur le réseau...
_________________
http://www.tiffany-et-thomas.net
Don't hunt what you can't kill

[Hoggins!]