Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 25/10/2009, à 10:42

Kevyn

IP bizarre

Bonjour,
je m'amusais tranquilement avec wireshark quand je me suis rendu compte que mon pc "discutait" avec une adresse ip qui m'est inconnu: 80.95.157.7
J'ai un petit peu cherché sur google rien de concluant. Quand je vais sur cette adresse avec firefox il me dit bad request.

le traceroute:
**j'ai enlevé ma partie**
4  G3-27.core02-m.club-internet.fr (194.117.195.217)  71.639 ms  72.885 ms  73.254 ms
5  V280.TenGEC7-10G.core04-t2.club-internet.fr (62.34.0.237)  75.329 ms * *
6  V211.TenGEC3-20G.core02-t2.club-internet.fr (62.34.0.161)  79.264 ms  102.774 ms *
7  * lambdanet.panap.fr (62.35.254.30)  55.751 ms  56.041 ms
8  FRA-1-pos212.de.lambdanet.net (82.197.144.21)  66.864 ms  74.348 ms  74.390 ms
9  FRA-3-eth100.de.lambdanet.net (217.71.96.70)  74.455 ms  74.657 ms  76.674 ms
10  Link11-FRA.de.lambdanet.net (217.71.97.218)  76.698 ms  78.644 ms  78.696 ms
11  80.95.157.7 (80.95.157.7)  83.490 ms  86.285 ms  86.273 ms



Que faire ? Parce que ça me travaille un peu tout de même...
Merci
                Kevyn

Hors ligne

#2 Le 25/10/2009, à 10:50

zorganix

Re : IP bizarre

Bonjour,

Les dépôts contiennent pas mal de petits logiciels qui permettent d'analyser finement ce qui se passe au niveau du protocole TCP. Tu peux en installer certains pour pousser plus loin tes investigations.

Un petit "sudo aptitude search tcp" en ligne de commande ou via synaptic ...

Sinon un petit whois indique que cette IP est en Allemagne.
Tu peux toujours banir cette IP via ton iptables:

iptables -A INPUT -s adresse_ip -j DROP
(http://www.siteduzero.com/tutoriel-3-165981-securiser-son-serveur-linux.html)

Dernière modification par zorganix (Le 25/10/2009, à 11:12)

http://www.laquadrature.net/

Hors ligne

#3 Le 25/10/2009, à 11:01

gigiair

Re : IP bizarre

Tu peux faire un whois sur l'adresse inconnue, et un nmap pour voir quels sont les ports ouverts sur 

http://whois 80.95.157.7
% This is the RIPE Database query service.
% The objects are in RPSL format.         
%                                         
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf
% Information related to '80.95.156.0 - 80.95.157.255'

inetnum:        80.95.156.0 - 80.95.157.255
netname:        DE-STTO-02
descr:          stto
country:        DE
admin-c:        LINK11-RIPE
tech-c:         LINK11-RIPE
remarks:        -------------------------------------------------------
remarks:        ----- please report spam/abuse to abuse@link11.de -----
remarks:        ---- reports to other addresses won't be processed ----
remarks:        -------------------------------------------------------
status:         ASSIGNED PA
mnt-by:         LINK11-MNT
changed:        ripe@link11.de 20090622
source:         RIPE

role:           Link11 GmbH Hostmaster
address:        Link11 GmbH
                Weismuellerstrasse 28
                60314 Frankfurt
                Germany
phone:          +49-69-26090620
fax-no:         +49-69-26090614
e-mail:         noc@link11.de
abuse-mailbox:  abuse@link11.de
admin-c:        KADE-RIPE
admin-c:        JPJ-RIPE
tech-c:         KADE-RIPE
nic-hdl:        LINK11-RIPE
mnt-by:         LINK11-MNT
changed:        kd@link11.de 20060207
changed:        kd@link11.de 20060803
changed:        kd@link11.de 20070815
source:         RIPE

% Information related to '80.95.144.0/20AS34309'

route:          80.95.144.0/20
descr:          IP Routing via link11.de
origin:         AS34309
mnt-by:         LINK11-MNT
changed:        kd@link11.de 20050811
source:         RIPE

Et voir les serveurs sur la machine de ton « correspondant »

nmap 80.95.157.7

Starting Nmap 5.00 ( http://nmap.org ) at 2009-10-25 10:58 CET
Interesting ports on 80.95.157.7:
Not shown: 994 closed ports
PORT    STATE    SERVICE
22/tcp  filtered ssh
25/tcp  open     smtp
80/tcp  open     http
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds

Nmap done: 1 IP address (1 host up) scanned in 3.56 seconds

Le serveur http ne répond pas grand chose. Tu peux googeliser sur les informations que te donne le whois.

Dernière modification par gigiair (Le 25/10/2009, à 11:06)

--
JJR.

Hors ligne

#4 Le 25/10/2009, à 11:14

Kevyn

Re : IP bizarre

Donc en gros c'est un serveur windows qui traine en Allemagne...
Je peux le bloquer ? L'empêcher de se connecter ou pas ?
Je vais lire le man de ufw en attendant vos réponses ^^.
Merci

Hors ligne

#5 Le 25/10/2009, à 19:51

gigiair

Re : IP bizarre

Il serait judicieux que tu jette un oeil sur /var/log/auth.log histoire de voir quelles  tentatives de connexion sur ta machine ont eu lieu.
Il s'agit sans  doute d'une des innombrables machines qui passent leur temps à essayer de se connecter.
Tu es directement sur le web, ou par l'intermédiaire d'une passerelle ?

--
JJR.

Hors ligne

#6 Le 25/10/2009, à 21:58

Kevyn

Re : IP bizarre

Via une passerelle, mais le port 80 est (était) redirigé vers ma machine. Cette ip ne se connecte plus mais il y en a pas mal d'autres mais elles je pense qu'elles sont moins louches et plus liées a la fonction serveur du PC. Sinon j'ai bloqué l'ip avec ufw sur le PC et avec iptables sur le routeur plus arrêté le NAT du port 80. je pense que ça sera bon.
Merci a tous.

Hors ligne

Pages : 1