Comment éviter les INTRUSIONSFermé

Question

(ce message est un peu la suite de "je me fais attaquer par emule")

Bonjour,
Et merci de vous interesser à mon cas. Ni Ad-aware, ni norton n'ont rien trouvé d'anormal (ils sont tous-deux mis à jour). Emule est désinstallé depuis longtemps, mais ça continue toujours : j'ai plein de tentatives d'intrusion par les ports d'emule et par d'autres ports.

J'ai filtré (par un autre firewall) les occurences des attaques par les ports TCP 4662 et UDP 4662 (ceux d'emule).

Je vous donne un petit apperçu de ce qui se passe chez moi sur 1 minute... :

16/06/2003 01:40:01 Connection request 64.14.81.141 TCP(1062)
16/06/2003 01:39:59 Connection request 213.11.241.110 TCP(2069)
16/06/2003 01:39:49 Connection request 24.245.65.150 TCP(1214)
16/06/2003 01:39:48 Connection request 194.2.159.103 TCP(1058)
16/06/2003 01:39:48 Connection request 194.2.159.100 TCP(1055)
16/06/2003 01:39:47 Connection request 213.228.61.7 TCP(1054)
16/06/2003 01:39:47 Connection request 24.90.18.11 TCP(1214)
16/06/2003 01:39:47 Connection request 64.14.81.141 TCP(1052)
16/06/2003 01:39:47 Connection request 192.168.0.77 TCP(4822)
16/06/2003 01:39:43 Connection request 213.193.13.9 TCP(1044)
16/06/2003 01:39:40 Connection request 216.235.80.145 TCP(2284)
16/06/2003 01:39:40 Connection request 216.235.80.145 TCP(2285)
16/06/2003 01:39:38 Connection request 12.229.125.41 TCP(1214)
16/06/2003 01:39:38 Connection request 216.235.80.174 TCP(1041)
16/06/2003 01:39:37 Connection request 216.235.80.174 TCP(1040)
16/06/2003 01:39:36 Connection request 216.235.80.145 TCP(1039)
16/06/2003 01:39:21 Connection request 213.193.13.127 TCP(2449)
16/06/2003 01:39:10 Connection request 68.153.90.19 TCP(1214)
16/06/2003 01:39:09 Connection request 216.235.80.145 TCP(1035)
16/06/2003 01:39:09 Connection request 67.125.0.25 TCP(1214)
16/06/2003 01:39:09 Connection request 216.235.80.145 TCP(1034)
16/06/2003 01:39:07 Connection request 213.228.61.7 TCP(2372)
16/06/2003 01:39:05 Connection request 216.235.80.174 TCP(2273)
16/06/2003 01:39:05 Connection request 216.235.80.174 TCP(2271)
16/06/2003 01:39:04 Connection request 213.11.241.110 TCP(2069)
16/06/2003 01:39:03 Connection request 217.225.61.154 TCP(1214)
16/06/2003 01:39:03 Connection request 212.27.32.176 UDP(2464)
16/06/2003 01:39:03 Connection request 212.27.32.177 UDP(2464)
16/06/2003 01:39:02 Connection request 192.168.0.77 TCP(4822)
16/06/2003 01:39:02 Connection request 213.228.61.7 TCP(2115)

Là, c'est encore assez calme. D'habitude, j'ai plus de monde !

Mon adresse IP change pourtant à chaque reconnection. Comment se fait-il qu'il y ait autant de monde qui cherche à se connecter chez moi? En est-il de même chez vous? Cette foule me fait paniquer: est-ce que ça veut dire que si j'oublie de mettre mon firewall, toutes ces personnes rentrent chez moi?

Je voudrais savoir comment fuir tout ce monde

S@M · Answer

Salut, en effet tu es limite harcelé, mais le plus interessant c 'est de remonter à la source de ces tentatives d' intrusions :
216.235.80.145 : site de radio live
216.235.80.174 : excellent celui la Why are you looking here ?
Tu devrais configurer Norton car il t indique toutes les "attaques"
ou plutot request ouvre norton (click sur la map monde) ensuite personnal firewall puis configurer (en bas a droite) la tu mets la tu mets moyen et ensuite regarde controle des programmes et bloque ceux qui te paraissent "suspect" j' entends par la des .exe qui essaye d' acceder a internet ( exemple pour la radio live tu dois avoir telecharger un programme.)
Ca devrait te permette de retrouver un peu de calme sur l activité de ton firewall.Même si les "attaques" ou scan port ne sont plus indiqués sans cesse par norton elles sont bloquées.
En esperant t avoir aidé un peu.

@+

MrClay · Answer

Merci pour tes remarques pertinentes.
Je n'avais pas remarqué que certaines de ces @IP correspondaient à des sites...

J'utilise outpost FireWall et sygate personnal FireWall. Il me semble que pour aucun de ces 2 FW, il n'y ait d'option "moyen" ou "faible". Sur outpost, il y a juste "allow most" et "disable mode" (je crois que ces 2 seront à éviter...).

En fait, ces "attaques" sont juste enregistrées, mais ne sont pas affichées à chaque fois (heureusement...). Quelqu'un saurait-il pourquoi je suis autant visité? Comment peut-on faire pour qu'ils ne passent plus chez moi?

En fait, ce qui m'inquiète encore plus, ce sont les tentatives de conection à partir des ports d'emule. Ca fait plus d'un mois que je ne l'utilise plus, complètement désinstallé... Mais j'ai toujours des tentatives de connection pour ces ports.

Voici une copie du log de sygate pres. FW (sur 1 minute)
06/15/2003 11:02:59 217.128.163.44 1387 82.64.68.83 4662 Incoming Blocked
06/15/2003 11:02:59 213.245.13.203 3371 82.64.68.83 4662 Incoming Blocked
06/15/2003 11:02:58 81.50.153.241 2110 82.64.68.83 4662 Incoming Blocked
06/15/2003 11:02:58 82.65.125.124 1929 82.64.68.83 4662 Incoming Blocked
06/15/2003 11:02:58 80.11.247.201 3862 82.64.68.83 4662 Incoming Blocked
06/15/2003 11:02:56 213.245.13.203 3371 82.64.68.83 4662 Incoming Blocked
06/15/2003 11:02:55 81.50.153.241 2110 82.64.68.83 4662 Incoming Blocked
06/15/2003 11:02:53 217.128.163.44 1387 82.64.68.83 4662 Incoming Blocked
06/15/2003 11:02:50 217.128.163.44 1387 82.64.68.83 4662 Incoming Blocked
06/15/2003 11:02:46 213.96.33.250 3032 82.64.68.83 4662 Incoming Blocked
06/15/2003 11:02:42 212.194.157.173 4673 82.64.68.83 4662 Incoming Blocked
06/15/2003 11:02:40 213.96.33.250 3032 82.64.68.83 4662 Incoming Blocked
06/15/2003 11:02:38 81.50.4.221 3166 82.64.68.83 4662 Incoming Blocked
06/15/2003 11:02:37 213.96.33.250 3032 82.64.68.83 4662 Incoming Blocked
06/15/2003 11:02:36 212.194.157.173 4673 82.64.68.83 4662 Incoming Blocked
06/15/2003 11:02:36 217.128.45.249 3664 82.64.68.83 4662 Incoming Blocked
06/15/2003 11:02:34 213.41.182.158 4244 82.64.68.83 4662 Incoming Blocked
06/15/2003 11:02:32 212.194.157.173 4673 82.64.68.83 4662 Incoming Blocked
06/15/2003 11:02:28 213.41.182.158 4244 82.64.68.83 4662 Incoming Blocked
06/15/2003 11:02:27 217.128.45.249 3664 82.64.68.83 4662 Incoming Blocked
06/15/2003 11:02:26 80.11.247.201 3750 82.64.68.83 4662 Incoming Blocked
06/15/2003 11:02:25 213.41.182.158 4244 82.64.68.83 4662 Incoming Blocked
06/15/2003 11:02:24 82.65.125.124 1789 82.64.68.83 4662 Incoming Blocked
06/15/2003 11:02:21 213.245.13.203 3272 82.64.68.83 4662 Incoming Blocked
06/15/2003 11:02:20 80.11.247.201 3750 82.64.68.83 4662 Incoming Blocked
06/15/2003 11:02:18 82.65.125.124 1789 82.64.68.83 4662 Incoming Blocked
06/15/2003 11:02:17 80.11.247.201 3750 82.64.68.83 4662 Incoming Blocked
06/15/2003 11:02:15 217.128.163.44 1230 82.64.68.83 4662 Incoming Blocked
06/15/2003 11:02:15 213.245.13.203 3272 82.64.68.83 4662 Incoming Blocked
06/15/2003 11:02:15 82.65.125.124 1789 82.64.68.83 4662 Incoming Blocked
06/15/2003 11:02:14 80.14.182.131 1879 82.64.68.83 4662 Incoming Blocked
06/15/2003 11:02:12 213.245.13.203 3272 82.64.68.83 4662 Incoming Blocked
06/15/2003 11:02:09 217.128.163.44 1230 82.64.68.83 4662 Incoming Blocked
06/15/2003 11:02:08 80.14.182.131 1879 82.64.68.83 4662 Incoming Blocked
06/15/2003 11:02:06 217.128.163.44 1230 82.64.68.83 4662 Incoming Blocked
06/15/2003 11:02:06 213.96.33.250 2842 82.64.68.83 4662 Incoming Blocked
06/15/2003 11:02:05 80.14.182.131 1879 82.64.68.83 4662 Incoming Blocked
06/15/2003 11:02:00 213.96.33.250 2842 82.64.68.83 4662 Incoming Blocked

On m'avait dit, dans de précédents posts que "c'est normal". Moi, je pense qu'il y en a quand même trop.
Mon IP change tout le temps, mais ils me trouvent toujours !

On m'a expliqué que les adresses que mon fournisseur d'ADSL me donnaient pouvaient aussi avoir été utilisé par des utilisateurs d'emule, et que donc j'hérite aussi des tentatives de connections qu'ils auraient dû avoir.
Mais y en a-t-il un parmi vous qui ait autant de tentatives de connections?
Comment puis-je éviter qu'autant de monde passe par chez moi?

s@m · Answer

Je doute sincèrement qu' un logciel de p2p comme émule se base uniquement sur l' ip, pour se connecter, il faudrait plutôt regarder dans programme files si il ne te reste pas un "résidut" de émule ou de e-donkey. Essaye aussi de regarder dans regedit===edition=== rechercher===émule, si il ne te reste pas des clès avec se nom.

@+

MrClay · Answer

J'ai vérifié dans la BDR. rien ne fait appel à emule.exe, ni même ne contient "emule".
J'ai déjà supprimé le dosier ayant contenu emule: je pensais qu'il n'en restait plus rien...
Mais je viens d'explorer le dossier "System Volume Information".
Il CONTIENT un fichier executable ayant l'icone d'emule (c'est une copie de emule.exe, renommée "A0009171.exe"

J'ai bien vérifié partout : ce fichier n'est jamais executé.
Pensez-vous que l'existence de ce fichier ait un lien avec tout ce monde?
comment puis-je me débarasser de manière "propre" de ce fichier, et de ceux qui vont avec?

MrClay · Answer

Bonjour,j'envoie ce post pour relancer mon cas...  ^_^J'attends votre aide

wAx · Answer

Comment eviter les intrusions ?? ben débranche le cable....Treve de plaisanterie, tu as un firewall qui tourne en permanence ?? ou tu l'as juste lancé pour avoir les logs que tu nous donnes ?

wAx · Answer

Comment eviter les intrusions ?? ben débranche le cable....Treve de plaisanterie, tu as un firewall qui tourne en permanence ?? ou tu l'as juste lancé pour avoir les logs que tu nous donnes ?

wAx · Answer

Comment eviter les intrusions ?? ben débranche le cable....Treve de plaisanterie, tu as un firewall qui tourne en permanence ?? ou tu l'as juste lancé pour avoir les logs que tu nous donnes ?

Terdef · Answer

Bonsoir MrClay

Plusieurs remarques :

1/ Ne jamais utiliser 2 firewall l'un sur l'autre.

2/ Je remarque que tes demandes de connexions sortantes (ton premier post) sont bien bloquées donc ton firewall fait son boulot : reste calme.

En remontant dans le temps

213.228.61.7 = Akamai le plus grand réseau de serveurs du monde - utilisé pour du streaming, de la pub, des images etc. ...
The requested URL "/", is invalid.

192.168.0.77 = IANA - Internet Assigned Numbers Authority
Pas de connexion - time out

212.27.32.177 = Proxad - backbone de Proxad qui héberge Akamai
Connexion refusée

212.27.32.176 = Proxad également
Connexion refusée

217.225.61.154 = DTAG-DIAL15 Deutsche Telekom AG
Connexion refusée

213.11.241.110 = DREAM NET
Connexion refusée

216.235.80.174 = LIVE365, Inc. en Californie
Why are you looking here?

213.228.61.7 = encore Akamai
The requested URL "/", is invalid.

216.235.80.145 = LIVE365, Inc. en Californie
http://216.235.80.145/index.live
Live365 - The World's Largest Internet Radio Network

Etc. ... on arrive à rien comme ça.

Il faut se demander pourquoi il y a des tentatives de connexions depuis l'ordinateur vers l'extérieur et chercher dans ce qui se lance automatiquement dès le démarrage de Windows. Tout est là :

Anti-liste de démarrage
http://terroirs.denfrance.free.fr/p/internet/contre-mesure/anti_liste_de_demarrage.html
et, une fois que tu aurras trouvé, dis nous qui que quoi.

Une méthode pour savoir qui tente de sortir serait de supprimer toutes les règles du firewall et de rebooter. Le firewall devrait alors dire : tel programme tente de se connecter et je ne le connais pas - est-ce que je l'y autorise ? Donc on sait ainsi qui tente de sortir.

Enfin, seconde liste : il s'agit bien de tentatives de connexions depuis l'extérieur vers ton ordinateur, vers l'adresse IP de ton ordinateur. Il faut savoir que les FAI (Fournisseurs d'Accès Internet) se voient "remettre" des intervalles d'adresses IP, par exemple 128.128.128.000 à 128.128.128.256 et à charge pour eux de les attribuer de manière fixe ou dynamique. C'est donc très certainement que tu récupère, de temps en temps, l'adresse IP d'un utilisateur de eDonkey ou eMule qui c'est déconnecté peu avant que toi tu te connecte. Je dirais qu'il n'y a rien à faire, c'est normal et, là encore, ton firewall fait bien son boulot donc ne reste pas les yeux rivés sur le log et fais ce que tu as à faire.

Cordialement

Terdef

MrClay · Answer

Bonjour,

Je te remercie de ton explication. Pour la première liste de logs, je pense que la plupart d'entre eux proviennent de mon surf. (donc pas de programme au démarrage, ...)

Pour la deuxième liste, tu affirmes que c'est parce que je viens d'hériter de l'adresse IP de quelqu'un qui vient de se déconnecter d'emule.

Cela veut donc dire que depuis maintenant plus d'un mois (puisque j'ai toujours beaucoup de monde sur le port TCP:4662) je n'arrête pas d'hériter d'adresse IP provenant d'utilisateurs d'emule?

Ca me semble invraisemblable.

Y aurait-il d'autres possibilités quant à l'origine, la raison d'autant de connections?

PS: depuis quelques temps, sans que je n'aie RIEN fait, rien installé, rien lancé sans une execution antivirale préalable, je recois de nombreuses demandes de connections sur un autre port: celui utilisé, la plupart du temps, par Kazaa (TCP 1214)
Quelqu'un aurait-il une explication pour ces deux phénomènes?

Terdef · Answer

Re bonjour,

Tu sais, je crois qu'il y en a un très bien placé pour te répondre, c'est ton FAI lui-même. Consulte le.

Est-tu sûr de changer d'adresse IP à chaque reconnexion ? Mais même... un mois ça me paraît long.

Regarde si tu n'a pas un BHO ou un hijack dans ton navigateur :

Anti-BHOs
http://terroirs.denfrance.free.fr/p/internet/contre-mesure/anti_bho.html

Anti-Hijack
http://terroirs.denfrance.free.fr/p/internet/contre-mesure/anti_hijack.html

Essaye de surfer avec un autre navigateur pour voir ce qui se passe - teste Mozilla par exemple

Mozilla
http://www.mozilla.org/

Cordialement

Terdef

Terdef · Answer

Re bonjour,

Je m'interroge sur certaines pratiques des Majors et me demande si ces tentatives d'accès répétées sur les ports bien connu d'un client p2p bien connu également ne sont pas de l'intox destinée à faire peur.

Il se trouve que j'ai commencé mes tests de clients p2p et outils multimédia vendredi dernier - je n'ai pas beaucoup de temps et, en plus, j'y vais avec des pincettes donc je ne pense pas en faire plus d'un par semaine. Et je remarque aussi, dans le log de mon firewall, des tonnes de tentatives d'accès sur les ports eMule que je viens de tester ainsi qu'une attaque en règle sur mes 2 boîtes publiques (200 attaques virales en 48 heures).

Est-ce une coincidence ?

Est-ce un scan systématique des ports eMule sur toutes les adresses IP françaises ? Il y a des petits rigolos qui se prennent actuellement pour des redresseurs de tords et s'amusent à faire peur aux utilisateurs de clients p2p ainsi qu'aux Webmasters de sites consacrés aux p2p.

test WinAmp
http://terroirs.denfrance.free.fr/p/p2p/WinAmp/spywares.html

test eMule
http://terroirs.denfrance.free.fr/p/p2p/emule/spywares.html

Terdef

Terdef · Answer

Ce post  est un testTerdef

Terdef · Answer

Le port précédent vient d'être ajouté sans erreur - la case à cocher "Recevoir les réponses par mail" été décochée.Je recommence en cochant la caseTerdef

Terdef · Answer

Résultat:

Le post est bien ajouté mais j'ai

Warning: Cannot add header information - headers already sent by (output started at /var/www/forum/auth.php3:48) in /var/www/forum/ajout.php3 on line 224

Je fais un rapport sur le post http://www.commentcamarche.com/forum/affich-329404?full>
que j'ai ouvert pour ça.

Terdef

MrClay · Answer

Rebonjour,

Je confirme, mon adresse IP change à chaque reconnection.
Un scan avec ad-aware (que terdef déteste, apparemment... Pourquoi..?) m'a informé de l'absence de tout fichier suspect (à part 5 cookies).
Mon dernier scan anti-virus (il y a 2 jours) n'a rien détecté.

Je vais essayer de changer de navigateur, pour voir si ça peut changer quelque chose (netscape, que j'ai déjà installé convient-il?)

Je vous informerai de tout changement, après quelques jours de surf sans internet explorer...
Mais si vous avez des idées sur la cause de ces connections sur les ports tcp:4662(emule) et tcp:1214(kazaa), n'hésitez pas à m'en faire part. Je continue à participer aux forums, et si vous avez encore des questions, j'y répondrai le plus rapidement possible...

Merci

Terdef · Answer

Bonjour MrClay

Où en es tu ?
Oui, Netscape, ça va.
As tu regardé tes listes de démarrage ?

Une piste, en vrac, sans savoir de quoi je parle :
Avait tu installé des Mods dans ton eMule ? Je n'ai jamais regardé comment fonctionnaient ces mods mais est-ce qu'il n'y en a pas qui s'installent indépendemment de la mule et qui aurraient encore une vie après la mort ?

Terdef

wAx · Answer

Ce que tu pourrais faire, c'est mettre un analyseur de trames reseau.

Tu demarres l'analyseur avant de te connecter et tu regardes qui de la poule ou l'oeuf etait là avant

à savoir est ce un programme de chez toi qui diffuse ton ip et qui fait que tt le monde essaye de se connecter

ou ces sites essayent ils de se connecter aléatoirement sans que rien ne sorte de chez toi. Dans ce cas, inutile de chercher dans ton ordi pour savoir s'il reste des traces.......

MrClay · Answer

bonjour,

Depuis hier, je n'utilise plus que netscape. Mais ça n'a pas changé: j'ai toujours autant de tentatives de connections.
Pour les programmes au démarrage, j'ai vérifié, aucun des programmes ne me semble suspect. Je connais la plupart d'entre eux (et je vais faire une petite recherche sur ceux que je ne connais pas: rsvp.exe, MsPMSPSv.exe, nopdb.exe)
Pour les mods, je n'en ai pas installé.

Tu me proposes d'utiliser analyseur de trames reseau. Où pourrais-je en télécharger un?
Je crois qu'il me reste une petite trace de emule dans mon disque. Il se trouve dans "System Information" (je reconnais l'icône d'emule). Puis-je le supprimer sans aucune crainte?
Ce programme n'étant pas lancé, il ne devrait avoir aucune incidence sur le trafic. Mais je voudrais quand même savoir si je peux supprimer ce fichier.

wAx · Answer

pour l'analyseur de trames, je te conseille Ethereal, disponible sur telecharger.comPour le fichier emule, je ne prends pas le risque de te dire de le supprimer...

Comment éviter les INTRUSIONS

24 réponses

Discussions similaires

Newsletters