Ubuntu-fr

αjet

Suis-je victime d'une attaque ?

Bonjour,

j'ai installé il y a quelques jours firestarter sur mon pc et tout allais bien. Mais depuis quelques minutes, firestarter m'indique des entrées suspectes (30 en 12 minutes), voici le rapport de firestarter pour quelques unes :

Time: Jul 11 22:30:48 Source: 72.14.207.104 Destination: 192.168.1.100 In IF: eth1 Out IF:  Port: 33128 Length: 44 ToS: 0x00 Protocol: TCP Service: Inconnu

Time: Jul 11 22:35:54 Source: 72.14.207.99 Destination: 192.168.1.100 In IF: eth1 Out IF:  Port: 33139 Length: 40 ToS: 0x00 Protocol: TCP Service: Inconnu

Je remaque qu'il s'agit toujours des ports 331xx qui sont visés, et il y a une tentative à chaque fois que je tente d'accéder à la page google.

Est-ce serieux ? Que puis-je faire ? Merci d'avance pour votre aide.

---

αjet: ça se prononce alfajet, bordel ! | GMT+1 | Viens poueter avec moi, bordel ! | Mes photos | Shaarli | Fluidbuntu-fr

αjet

Re : Suis-je victime d'une attaque ?

Desole de faire du "up"  mais je ne sais pas si ce probleme est grave. Si quelqun peut m'aider un peu ou m'aiguiller vers un site web approprie, je le remarcie.

---

αjet: ça se prononce alfajet, bordel ! | GMT+1 | Viens poueter avec moi, bordel ! | Mes photos | Shaarli | Fluidbuntu-fr

sksbir

Re : Suis-je victime d'une attaque ?

Cherchez Adresse IP:     72.14.207.104
Cherchez Nom de l'hôte:    
Cherchez Fournisseur d'accès Internet (FAI):     GOOGLE (or possibly Google Inc)
Cherchez L'adresse IP appartient à (Entreprise):     GOOGLE (or possibly Google Inc)

amha, le serveur de google essaye sans doute d'ouvrir une connexion (surement avec  la barre d'outils google, il parait que c'est la grande mode).
Evidemment, 1/ t'as pas la barre google, 2/ t'as un firewall qui bloque les acces entrants, donc pas de panique...

ceci dit, je les trouve de plus en plus envahissants, google...:rolleyes:

Dernière modification par sksbir (Le 12/07/2005, à 14:07)

---

Les quadrirotors

sbrunner

Re : Suis-je victime d'une attaque ?

Apparemment ce n'est pas des accès entrant c'est des réponse à des requêtes provenant de ton ordinateur.

CU
Stéph

αjet

Re : Suis-je victime d'une attaque ?

ok, merci sksbir. Je verifirai quand je rentrerai ce soir.

---

αjet: ça se prononce alfajet, bordel ! | GMT+1 | Viens poueter avec moi, bordel ! | Mes photos | Shaarli | Fluidbuntu-fr

αjet

Re : Suis-je victime d'une attaque ?

Apparemment ce n'est pas des accès entrant c'est des réponse à des requêtes provenant de ton ordinateur.

Merci sbrunner, mais a quoi vois-tu ca ?

---

αjet: ça se prononce alfajet, bordel ! | GMT+1 | Viens poueter avec moi, bordel ! | Mes photos | Shaarli | Fluidbuntu-fr

Echo

Re : Suis-je victime d'une attaque ?

De toute façon se faire scanner les ports c'est inévitable. Il y a une quantité monstrueuse de petits malins (les scripts kiddies) qui scanne les IP au hasard. (des apps font ça automatiquement). Tout le monde aura des ports connus scanné un jour ou l'autre c'est juste une question de temps. Une fois qu'il ont trouvé des ports ouverts...ba ils rentrent...

Donc il faut: avoir un routeur si possible, avoir un parefeu absolument, meme sous linux.

αjet

Re : Suis-je victime d'une attaque ?

bon je viens de rentrer. J'ai redémarré mon modem (pour changer d'ip) puis j'ai ouvert une page google, et là rien.
Donc effectivement, peut etre un petit malin qui tentait de visiter mes ports...
Je me demande s'il pouvait entrer ou non...

Quand on détecte ce genre de tentative d'intrusion, que peut-on faire ? Je ne me posais pas ce genre de questions avant car j'étais sur un réseau protégé par mon école.

---

αjet: ça se prononce alfajet, bordel ! | GMT+1 | Viens poueter avec moi, bordel ! | Mes photos | Shaarli | Fluidbuntu-fr

The_eye

Re : Suis-je victime d'une attaque ?

Quand on detecte ce genre de tentative d'intrusion, on peut pas faire grand chose a part sécuriser tout ses ports et prier pour que l'on n'en ai pas oublié un seul.
Parce que si il y en a encore un d'ouvert, si le vilain qui scan tes ports le trouve...tu vas avoir droit à un beau petit trojan (sous windows biensûr)...

Sous linux, j'en sais rien

---

Avoir le choix entre Linux et Windows
C'est faire un choix entre une tirelire à exploser et un hamac aux caraïbes à acheter...

sksbir

Re : Suis-je victime d'une attaque ?

il existe des tas de sites web qui se proposent de scanner tes ports à la recherche d'une faille :exemple de recherche google

Par ailleurs, dans ma reply précédente, j'ai indiqué que l'emetteur des tentatives d'intrusions était google lui-même: c'est donc pas un script kiddy ou autre.

Cela signifiait donc que google initialisait une tentative d'ouverture de connexion vers ton PC lorsque tu te pointais chez eux pour une recherche.
Je ne suis pas dans les petits papiers de google, mais voici l'hypothèse que j'ai échafaudé :  Il s'agit par exemple d'un mécanisme mis en place par google pour vérifier si tu n'aurais pas installé la barre d'outils google, barre d'outils qui serait présente sous la forme d'un programme résident sur ton PC , et à l'écoute sur les ports que google cherchait à atteindre dans cette tentative.

Ceci dit, à la relecture de ce sujet, l'hypothese de sbrunner me parait nettement plus crédible que la mienne : Il se pourrait bien par exemple que ton firewall "perde" le lien entre ton PC et le site de google : ce qui est normalement considéré comme un traffic à double sens (ton PC cause avec google, google répond, tout va bien), devient donc une tentative d'intrusion (ton PC cause avec google, mais "oublie" le lien, google répond, mais ton PC ne considere pas ça comme une réponse mais comme une tentative d'établir une nouvelle communication, et rejette la tentative)

C'est plus crédible, parce que je ne vois pas google tenter d'initialiser des connexions entrantes vers ta machine. (mais bon, avec les société commerciales, on n'est jamais sûr de rien... )

---

Les quadrirotors

The_eye

Re : Suis-je victime d'une attaque ?

Google est notre ami...enfin, je crois.

C bizarre ce dont tu parle, parce que ca m'est déjà arrivé, mais sous windows.
Bon, faut dire aussi qu'avec norton, je pouvais même pas communiquer avec mon autre ordi, donc un lien oublié entre un site tel que google et mon ordi, ca ne m'etonne pas.:rolleyes:

---

Avoir le choix entre Linux et Windows
C'est faire un choix entre une tirelire à exploser et un hamac aux caraïbes à acheter...

sbrunner

Re : Suis-je victime d'une attaque ?

Apparemment ce n'est pas des accès entrant c'est des réponse à des requêtes provenant de ton ordinateur.

Merci sbrunner, mais a quoi vois-tu ca ?

à 2 chose :
- La session est notée comme out (initialisée de l'intérieur)
Time: Jul 11 22:30:48 Source: 72.14.207.104 Destination: 192.168.1.100 In IF: eth1 Out IF:  Port: 33128 Length: 44 ToS: 0x00 Protocol: TCP Service: Inconnu
- les port en dessus de 32000 sont assignés dynamiquement justement pour répondre à une requête !

CU
Sté

dawar

Re : Suis-je victime d'une attaque ?

Parce que si il y en a encore un d'ouvert, si le vilain qui scan tes ports le trouve...tu vas avoir droit à un beau petit trojan (sous windows biensûr)...

Ca ne marche que si il y'a un service avec un faille derrière le port en question, que ca soit sous windows, linux, ou n'imorte quel OS. Un port ouvert, c'est pas forcément un pirate dans la babasse la seconde d'après.

Bon, il faut pas trop paniquer, je dirais même (au risque de me faire incendier) qu'un firewall n'est pas necessaire sous Linux. Si les services qui tournent sont bien configurés et limité en nombre, l'utilité d'un firewall se limite a "cacher" les informations sur la machine.

---

S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadoks)

The_eye

Re : Suis-je victime d'une attaque ?

Dawar, je n'ai pas dit que fatalement un port ouvert = un trojan envoyé par un pirate...
C'est juste une possibilité infime mais non négligeable.

Ceci dit, même si les pc zombie tournant sous linux existent...quel est le ratio par rapport a ceux tournant sous win ?

---

Avoir le choix entre Linux et Windows
C'est faire un choix entre une tirelire à exploser et un hamac aux caraïbes à acheter...

Gillaume

Re : Suis-je victime d'une attaque ?

http://scan.sygate.com/

je trouve tres bon, pour le scan de port !
gui

---

Guili Guili

αjet

Re : Suis-je victime d'une attaque ?

Merci a tous pour vos reponses et vos aides precieuses, ca va me faire un peu de lecture ce soir en rentrant du boulot.

skbir, sans vouloir remettre en cause ton analyse, ce qui me parrait etrange si ca vient de google, c'est que ce type "d'intrusion" ne ce soit menifeste que pendant un laps de temps determine...

Encore merci a tous !

---

αjet: ça se prononce alfajet, bordel ! | GMT+1 | Viens poueter avec moi, bordel ! | Mes photos | Shaarli | Fluidbuntu-fr