Attaque via internet

Bonsoir à tous,

Depuis quelques temps Kaspersky m'envoie ce message, c'est le troisième en une semaine :

"votre ordinateur a été attaqué via internet.
L'attaque de réseau Scan.generic.udp depuis l'adresse
172.16.6.233 a été repoussée"

L'adresse IP de mon FAI commence par 172.16.

Qu'est ce que c'est exactement, comment savoir d'où ça vient ?

Merci pour votre aide.



Maggy

salut maribo,
Qe ton firewall t'écrive ce message démontre qu'il est efficace par rapport à cette tentative d'intrusion-là puisqu'il l'a bloquée.
Cela prouve que la signature (les caractéristiques) de cette tentative d'intrusion sont dans la base de signatures de ton firewall.
Qui ? un hacker quelconque avec un robot de balayage ou un candidat intrus te visant personnellement...
Concernant l'IP concerné, il faudrait savoir si c'est toujours le même, ce qui signifierait que c'est quelqu'un ayant un IP fixe et alors à toi de te rapprocher du FAI (surtout si tu penses que vous avez le même..). Avec un IP dynamique, tu n'es pas non plus démunie.. il suffit de le noter avec l'heure qu'il était au moment de la tentative..
Tiens-nous au courant
Très cordialement

Merci Hourrrah,

Je vais mener mon enquête et noter les moindres détails lors de prochaines attaques s'il y a, et je reviendrai pour le résultat.

Merci et bon dimanche

si ca peut aider !!
http://network-tools.com/default.asp?host=195.93.96.153
ca viens du forum
c'est un site qui recherche les ip
il me semble qu'il donne le fai mais ch'ui pas sur
jai utilisé qu'une fois pour voir ce site
mais qui ne tente rien a rien

Bonsoir Toff22.....

J'ai reçu la meme attaque dimanche à 21:33 avec la meme IP 172.16.6.233
J'ai testé votre lien voilà ce qu'il m'a donné:

Hop (ms) (ms) (ms) IP Address Host name
1 0 0 0 66.98.244.1 gphou-66-98-244-1.ev1.net

suivi d'une série de 4 "timed out" et comme conclusion "Trace aborted"
On dirait qu'il a fait choux blancs.

Je pense que ce doit etre un client de mon FAI puisque les 5 premiers numéros sont les memes.

A la prochaine je les contacte pour voir avec eux.

Merci Toff

Bonjour à tous

Tof, j'ai visité le site
dont tu fais état dans ton post et j'ai tenté l'expérience.
Voici ce que j'ai eu :

TraceRoute to 81.176.8.186 [dialup-81-176-8-186.ttn.ru]
Hop (ms) (ms) (ms) IP Address Host name
1 0 0 0 66.98.244.1 gphou-66-98-244-1.ev1.net
2 0 0 0 66.98.241.16 gphou-66-98-241-16.ev1.net
3 1 0 0 66.98.240.3 gphou-66-98-240-3.ev1.net
4 1 1 0 216.110.27.97 216-110-27-97.gen.twtelecom.net
5 1 1 1 66.192.246.122 dist-01-ge-1-3-1-505.hsto.twtelecom.net
6 5 5 5 66.192.246.0 core-02-so-4-1-0-0.dlfw.twtelecom.net
7 6 5 5 66.192.246.35 -
8 6 6 6 67.72.4.17 so-4-0-0.gar2.dallas1.level3.net
9 6 6 6 4.68.122.1 ae-1-51.bbr1.dallas1.level3.net
10 122 121 122 212.187.128.57 ae-1-0.bbr2.london1.level3.net
11 122 121 121 4.68.116.16 ae-12-51.car2.london1.level3.net
12 127 127 127 195.50.92.2 -
13 214 212 213 217.106.6.90 rnd-dsr0-po5-0.rt-comm.ru
14 205 204 204 217.106.16.174 -
15 213 214 213 80.254.111.101 cs1-rmts.donpac.ru
16 215 215 215 213.24.85.115 rt72-e2.ttn.ru
17 Timed out Timed out Timed out -
18 Timed out Timed out Timed out -
19 Timed out Timed out Timed out -
20 Timed out Timed out Timed out -
Trace aborted.

Peut-on, s'il vous plait, me dire ce que tout cela signifie ?
Merci !

Ami Kituysha,
C'est la "trace de la route" de la tentative d'intrusion...contre notre amie Maggy.
Internet, ce n'est pas une ligne droite. Ou il y a des chemins obligés par des proxys. Ou c'est au plus court, compte tenu des chemins et interconnexions disponibles.
Il y eu des détours par des proxys russes, apparemment. Et cela a échoué au 16e point de passage..
Avec l'outil disponible, on voit le point de départ.
A voir avec le FAI... Car si on l'identifie, c'est, en théorie, l'avertissement puis l'interruption, puis la mystérieuse black list des FAI français...
Amicalement

Salut ami Hourrrah.

Voyons si j'ai bien compris !
Toutes ces IP, avec le nom de l'hôte, sont des internautes qui ont tenté de "visiter" mon système, ou qui l'ont visité ?
Leur cible étant mon adresse IP qui figure en tête de la liste...
Apparemment il n'y a pas que des russes, puisque "Dallas", "London"..! Le dernier, le n° 16 : 215 215 215 213.24.85.115 rt72-e2.ttn.ru, correspondrait à un forum de Taganrog, la ville où je vis.
Après le 16, tentative non aboutie, « trace avortée » ?

re Ami Kituysha
La traceroute, dans sa présentation normalisée, ce sont les noms et adresses IP des routeurs successifs, précédés d'un numéro d'ordre et du temps de réponse minimum, moyen et maximum.
C'est la détermination de l'itinéraire vers une adresse IP donnée en fin de descriptif.
Le time out, c'est quand le temps de réponse maximum est dépassée.
Amicalement.
PS. Taganrog, c'est le point de passage, juste avant toi..

Re Hourrrah

J'avoue que j'ai du mal à comprendre l'itinéraire d'une adresse IP.
Internet n’est pas une ligne droite. Soit !
Ce qui veut dire que si l’IP X……X veut atteindre l’IP A……A, X doit passer par plusieurs routeurs qui sont d’autres adresses IP ?

Kituysha,
Exactly, my dear friend ..
Sorry...
Yours sincerely

Ладно Hourrrah
Спасибо

Amico Kituysha,
Allora, tutto va bene...
saluto amichevole

Re à tous



Je reviens sur le sujet car cela fait plusieurs fois que cette IP tente l'intrusion. Il s'agit de mon FAI, dialup-81-176-9-214.ttn.ru.
Que faire ?

re.. ami Kituysha,
Utilise ce outil de nettoyage supplémentaire: ewido
http://www.ewido.net/fr/download/
sinon, il y a qqch d'archi-spécifique..
Tiens-nous au courant.
Amicalement

Re Hourrrah

69 fichiers infectés trouvés par Ewido, dont trois à risque élevé. J’avais pourtant, il y a deux jours, effectué le ménage avec les utilitaires de nettoyage.
Tous sont placés en quarantaire. Faut-il les supprimer, et comment ?
Dommage que ce log soit un shareware.
Mais la question reste posée : pourquoi ces tentatives d'intrusion de la part de mon FAI ?
Merci Hourrrah !

Re.. ami Kituysha,
Ewido est un shareware en full version. C'est la version que tu as actuellement. Mais au bout de 14 jours, sans rien faire, tu n'auras plus que la free version qui est encore très très efficace.

Dcom , c'est encore une fantaisie des programmeurs de windows. Un "com" initial est devenu Dcom.. et maintenant, il y a quantités de programmes qui s'affolent à ce sujet comme tu peux le lire ci-dessous parce que certaines procédures valides utilisent le port 135. C'est une vraie histoire de fou :
http://www.grc.com/dcom/

D'où la nécessité quelquefois de faire apel au petit freeware DCOMbobulator...
Amicalement

hourrrah a écrit:

Dcom , c'est encore une fantaisie des programmeurs de windows. Un "com" initial est devenu Dcom.. et maintenant, il y a quantités de programmes qui s'affolent à ce sujet comme tu peux le lire ci-dessous parce que certaines procédures valides utilisent le port 135. C'est une vraie histoire de fou :
http://www.grc.com/dcom/

D'où la nécessité quelquefois de faire apel au petit freeware DCOMbobulator...
Amicalement

HughChef!
Je suis largué, à quoi correspond cet utilitaire et quel rapport avec les intrusions du FAI de Kituysha?...Merci d'avance. (je saisi pas cette histoire de Dcom)
WôA.

Hourrrah, WebFox,

A défaut de pouvoir lire le site que tu proposes, car en langue anglaise, j'ai visité le premier qui m'est tombé sous la main, http://cf.geocities.com/laberge_e/Eric.html .
En fait il y a toujours un port du genre « Olé » (135), genre faille infaillible permettant à quiconque malicieux de faire des siennes.
Soit !
Nous n’en sortirons jamais… !!!
Si je comprends bien….. !

Hugh!
J'ai chargé le programme.
Mais quand je fais Disable DCOM et que je reboot, il semble que ça n'agisse pas sur le port135 étant donné que quand je test avec Remote port voilà ce que ça dit:
Que signifie stealth?...J'avais testé avant de "disabler" et j'avais déja le port 135 noté stealth.
WôAQuiEnPensesQuoi?

re.. Kituysha et webfox,
Bon.. essayons d'expliquer l'inexplicable ...
Le port 135 est ouvert et il sert à pas mal de choses...
...entre autres à la procédure DCom (invention ô combien débile des programmeurs de Microsoft) qui permet de gérer, entre autres, les communications RPC
rappel: C'est à une faille RPC qu'on doit Sasser...
Car il y a utilisation de la procédure DCom de façon valide mais aussi de façon invalide.
Ce qui explique que certains utilitaires de sécurité crient au loup dès que la procédure DCom est utilisée en flux entrant alors qu'il n' y a pas toujours lieu. Mais comme les hackers connaissent la faille...!!

Le + simple serait qu'il ne soit plus recouru à DCom. C'est une tendance.. Mais comme la procédure existe bel et bien, elle est encore utilisée par des procédures de programmes ayant besoin de communiquer.

On peut la désactiver au niveau des services de windows XP (voir panneau de config.,outils d'administration, services..) mais cela peut gêner certains programmes. (MSN Messenger n'aime pas trop ça..)
A vous de voir..
Amicalement
NB: stealth signifie ruse.. renvoie à la notion de "furtif, à la dérobée.. "
Une ruse de Siouxxe, en quelque sorte !

hourrrah a écrit:

NB: stealth signifie ruse.. renvoie à la notion de "furtif, à la dérobée.. "
Une ruse de Siouxxe, en quelque sorte !

HughPatron!
Merci pour tes explications. C'est plus clair (même à cette heure-ci!)...
Par contre cette ruse de sioux est-elle une ruse qui tient la route?...Est-ce à dire que je n'ai plus à m'inquiéter pour le port 135?...C'est un statut qui n'est pas commun.
WôAvis?

re.. Webfox,
C'est une question de cartomancie...
C'est plus Dcom que le port 135 qui m'inquiète... Le port concerné est bien le 135 pour une DCom saine mais si elle traîne qq sacs d'ordures..., elle peut passer...sauf bloquage, presque systématique, à tort et à travers.. y compris, le cas échéant, du tout bon.
Histoire de fou, te dis-je. Vive Microsoft.
WôaLaLaLaLa

hourrrah a écrit:

On peut la désactiver au niveau des services de windows XP (voir panneau de config.,outils d'administration, services..) mais cela peut gêner certains programmes. (MSN Messenger n'aime pas trop ça..)

HughHourrrah!
Si on peut la désactiver au niveau des services de XP, alors à quoi sert le freeware DCOMbobulator?
Je ne comprend pas bien cette folle histoire...mais je m'accroche!
WôA!

re.. Webfox,
moi aussi, je m'accroche.. bien obligé.. microsoft.. souvent, c'est bien sinueux..
On désactive le service DCom dans Windows.. c'est clair et net.. quitte à le réactiver ponctuellement, si c'est nécessaire.. Moi, je l'ai mis en manuel..
On se sert du petit log et on a (peut-être) si on a le panneau d'affichage vert, une désactivation "intelligente"
Hypothèse...hypothèse..
Pas normal qu'on ait à se torturer l'esprit sur un truc pareil..
Peut-être que Vista nous évitera d'avoir de tels états d'âme.
WôA_Zut_alors..WôAmi...