Ubuntu-fr

berserk

[résolu] est-ce risqué ?

bonjour

j'ai fait un scan de sports sur shieldsup, les ports 22 et 80 sont ouverts, je peux être attaqué comme ça ?
ce sont les ports de ma freebox

Dernière modification par berserk (Le 15/10/2014, à 10:39)

tiramiseb

Re : [résolu] est-ce risqué ?

Salut,

Tu as fait des redirections de ports sur ta box ?

---

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

berserk

Re : [résolu] est-ce risqué ?

oui, enfin pas moi mais mon frere pour avoir accès à son raspberry pi depuis l'extérieur

tiramiseb

Re : [résolu] est-ce risqué ?

oui, enfin pas moi mais mon frere pour avoir accès à son raspberry pi depuis l'extérieur

S'il a redirigé le port 22 et le port 80 vers son RPi, alors ce que ton scan voit c'est le RPi.
C'est donc parfaitement normal...

Reste à être sûr que le RPi est bien sécurisé et non une passoire...

---

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

berserk

Re : [résolu] est-ce risqué ?

S'il a redirigé le port 22 et le port 80 vers son RPi, alors ce que ton scan voit c'est le RPi.
C'est donc parfaitement normal...

OK, je croyais que c'était la freebox, mais oui c'est bien ce qu'il a fait : une redirrection vers l'adresse IP locale du raspberry

Dernière modification par berserk (Le 10/10/2014, à 11:50)

berserk

Re : [résolu] est-ce risqué ?

re
comment savoir si son raspberry est bien sécurisé ?
il le met à jour régulièrement, je sais pas si c'est suffisant ; il y a un serveur web dessus

tiramiseb

Re : [résolu] est-ce risqué ?

Il y a deux choses impératives :
- mises à jour dès que disponibles (non seulement du système mais aussi de la technologie utilisée pour le site, par exemple s'il a mis Wordpress sans utiliser le paquet des sources officielles d'Ubuntu il faut qu'il le maintienne à jour manuellement)
- mots de passe sûrs

---

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

berserk

Re : [résolu] est-ce risqué ?

merci

berserk

Re : [résolu] est-ce risqué ?

je constate qu'il y a des tentatives d'intrusion sur mon PC :

Oct 14 14:52:11 debian kernel: [ 2394.021597] [UFW BLOCK] IN=eth0 OUT= MAC=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx SRC=82.229.106.37 DST=192.168.0.10 LEN=60 TOS=0x00 PREC=0x00 TTL=55 ID=15273 DF PROTO=TCP SPT=46058 DPT=37850 WINDOW=7300 RES=0x00 SYN URGP=0 
Oct 14 14:52:13 debian kernel: [ 2396.013296] [UFW BLOCK] IN=eth0 OUT= MAC=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx SRC=82.229.106.37 DST=192.168.0.10 LEN=60 TOS=0x00 PREC=0x00 TTL=55 ID=15274 DF PROTO=TCP SPT=46058 DPT=37850 WINDOW=7300 RES=0x00 SYN URGP=0 
Oct 14 14:52:17 debian kernel: [ 2400.024710] [UFW BLOCK] IN=eth0 OUT= MAC=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx SRC=82.229.106.37 DST=192.168.0.10 LEN=60 TOS=0x00 PREC=0x00 TTL=55 ID=15275 DF PROTO=TCP SPT=46058 DPT=37850 WINDOW=7300 RES=0x00 SYN URGP=0 
Oct 14 14:52:25 debian kernel: [ 2408.115594] [UFW BLOCK] IN=eth0 OUT= MAC=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx SRC=82.229.106.37 DST=192.168.0.10 LEN=60 TOS=0x00 PREC=0x00 TTL=55 ID=15276 DF PROTO=TCP SPT=46058 DPT=37850 WINDOW=7300 RES=0x00 SYN URGP=0 
Oct 14 14:55:25 debian kernel: [ 2587.755163] [UFW BLOCK] IN=eth0 OUT= MAC=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx SRC=80.219.100.83 DST=192.168.0.10 LEN=60 TOS=0x00 PREC=0x00 TTL=47 ID=5699 DF PROTO=TCP SPT=58187 DPT=37850 WINDOW=5840 RES=0x00 SYN URGP=0 
Oct 14 14:55:28 debian kernel: [ 2590.753204] [UFW BLOCK] IN=eth0 OUT= MAC=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx SRC=80.219.100.83 DST=192.168.0.10 LEN=60 TOS=0x00 PREC=0x00 TTL=47 ID=5700 DF PROTO=TCP SPT=58187 DPT=37850 WINDOW=5840 RES=0x00 SYN URGP=0 
Oct 14 14:55:34 debian kernel: [ 2596.757428] [UFW BLOCK] IN=eth0 OUT= MAC=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx SRC=80.219.100.83 DST=192.168.0.10 LEN=60 TOS=0x00 PREC=0x00 TTL=47 ID=5701 DF PROTO=TCP SPT=58187 DPT=37850 WINDOW=5840 RES=0x00 SYN URGP=0 
Oct 14 15:00:05 debian kernel: [ 2867.775729] [UFW BLOCK] IN=eth0 OUT= MAC=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx SRC=80.219.100.83 DST=192.168.0.10 LEN=60 TOS=0x00 PREC=0x00 TTL=47 ID=43536 DF PROTO=TCP SPT=36306 DPT=37850 WINDOW=5840 RES=0x00 SYN URGP=0 
Oct 14 15:00:08 debian kernel: [ 2870.770646] [UFW BLOCK] IN=eth0 OUT= MAC=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx SRC=80.219.100.83 DST=192.168.0.10 LEN=60 TOS=0x00 PREC=0x00 TTL=47 ID=43537 DF PROTO=TCP SPT=36306 DPT=37850 WINDOW=5840 RES=0x00 SYN URGP=0 
Oct 14 15:00:14 debian kernel: [ 2876.768725] [UFW BLOCK] IN=eth0 OUT= MAC=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx SRC=80.219.100.83 DST=192.168.0.10 LEN=60 TOS=0x00 PREC=0x00 TTL=47 ID=43538 DF PROTO=TCP SPT=36306 DPT=37850 WINDOW=5840 RES=0x00 SYN URGP=0 
Oct 14 15:01:30 debian kernel: [ 2952.780709] [UFW BLOCK] IN=eth0 OUT= MAC=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx SRC=62.197.78.102 DST=192.168.0.10 LEN=64 TOS=0x00 PREC=0x00 TTL=49 ID=38443 DF PROTO=TCP SPT=65002 DPT=37850 WINDOW=8192 RES=0x00 SYN URGP=0 
Oct 14 15:01:30 debian kernel: [ 2953.281004] [UFW BLOCK] IN=eth0 OUT= MAC=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx SRC=62.197.78.102 DST=192.168.0.10 LEN=64 TOS=0x00 PREC=0x00 TTL=49 ID=42336 DF PROTO=TCP SPT=65006 DPT=37850 WINDOW=8192 RES=0x00 SYN URGP=0 
Oct 14 15:03:47 debian kernel: [ 3089.541880] [UFW BLOCK] IN=eth0 OUT= MAC=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx SRC=151.31.7.168 DST=192.168.0.10 LEN=95 TOS=0x00 PREC=0x00 TTL=116 ID=55127 PROTO=UDP SPT=58915 DPT=37850 LEN=75  

dois je m'inquiéter ?
je n'ai que firefox d'ouvert, pas de prog P2P ou quoi que ce soit

tiramiseb

Re : [résolu] est-ce risqué ?

Si tu devais t'alarmer à chaque truc du genre, tu deviendrais fou.
Déjà, si tu n'as rien en écoute sur le port TCP 37850, il n'y a absolument aucun risque. Et même si tu n'avais pas activé UFW, il n'y aurait aucun risque.

Analyse un peu plus fine de ce que tu montres...

Tu as des tentatives de connexion toujours sur le même port, à partir d'adresses différentes. Cela signifie qu'il ne s'agit pas d'un bot qui scanne (sinon, tu verrais des tentatives sur différents ports à partir de la même adresse).
Cela veut dire que ton adresse IP est référencée quelque part, avec ce port.

Il suffit alors de chercher sur Google, avec ce numéro de port, pour se rendre compte que c'est le port que TU avais choisi pour BitTorrent : c'est ce que tu explique dans ce post de juillet 2012 : http://forum.ubuntu-fr.org/viewtopic.ph … 1#p9982471 .

La conclusion est facile à faire : tu avais un BitTorrent qui tournait sur ce port, ta machine a donc été référencée à gauche à droite comme un peer BitTorrent, donc des machines essaient de s'y connecter. C'est donc toi qui as provoqué, il y a 2 ans, ces tentatives de connexion.

Mais, encore une fois, pare-feu ou pas, le port est fermé donc les tentatives n'arriveront nulle part.
Et même si BitTorrent fonctionnait, ça ne serait pas risqué : les connexions seraient légitimes, non ? Il faut juste maintenir les logiciels à jour.

---

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

Pator75

Re : [résolu] est-ce risqué ?

Et 82.229.106.37 on dirait que c'est Free.

"alors ce que ton scan voit c'est le RPi"

Tira salut, pour ma culture personnelle, RPi c'est quoi stp?

Dernière modification par Pator75 (Le 15/10/2014, à 08:21)

tiramiseb

Re : [résolu] est-ce risqué ?

Et 82.229.106.37 on dirait que c'est Free.

Il y a plusieurs adresses IP source, toujours de connexions personnelles, dont :
- Proxad (réseau de Free, France)
- Hispeed (Suisse)
- Teledis (Belgique)
- Libero (Italie)

pour ma culture personnelle, RPi c'est quoi stp?

Raspberry Pi.

---

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

berserk

Re : [résolu] est-ce risqué ?

merci pour les précisions, je mets en résolu

Pator75

Re : [résolu] est-ce risqué ?

"Raspberry Pi."

Merci