|
|
|
Publicité ' | |||||||||||||||||||||||
03/05/2007, 18h31
|
#1 | ||
|
Invité régulier
 Étudiant Inscription : septembre 2006 Messages : 19  |
lignes suspectes dans un log de firewall
Depuis plusieurs semaines j'ai à chaque jours, plusieurs blocs de tentatives de connections sortantes (voir l'extrait ci-dessous), elles ne durent que quelque minutes, à et sont espacées de moins d'une seconde. Les blocs ne semble pas placé à des heures précises, et vise le port 80 de plusieurs ip , les ip ciblé ne se présente que quelques fois, le port sortant (sur ma machine) et toujours entre 1000 et 8000 et s'incrémente d'un à chaque essai (ici dans l'extrait, c'est de 2170 @ 2188)
Citation:
Citation:
Merci |
||
|
00
|
|
04/05/2007, 09h11
|
#2 |
|
Inactif
 Inscription : mars 2002 Messages : 1 295 |
Ca vient d'une machine de ton réseau?
Si je risquais des hypothèses, je dirais un client P2P ou un backdoor, ou un parasite de DOS/DDOS. |
|
|
00
|
|
04/05/2007, 17h49
|
#3 |
|
Invité régulier
Étudiant Inscription : septembre 2006 Messages : 19 |
Oui, le log est celui d'une de mes machines, une qui n'est pas dernière un routeur.
Ce n'est pas un poste, il n'y a pas de client p2p, mais je vais quand même vérifer, qui sait.... si ça devait être un trucs qui tente de faire du deni de service, je trouve le comportement étrange, en petit blocs compacts, mais distant de plusieurs heures, sur un large évental d'adresses. même constat pour la possibilité d'une backdoor. enfin, je me demandais si la "signature" correspondait à un truc qu'une personne ici aurait pu connaitre. J'ésite à autoriser ce trafique, en l'autorisant, je pourais sniffer le lien et avoir une meilleur idée de ce que cherche à communiquer ce truc. Ce serait imprudent ? |
|
|
00
|
|
04/05/2007, 17h56
|
#4 |
    
  Louis-Guillaume MORANDConsultant @ Microsoft Inscription : mars 2003 Messages : 10 713 |
l'une des adresses est un serveur hotmail, l'autre est une ip microsoft. la troisieme => global crossing.
s'eut été des ip privées, j'aurais pensé à l'envoi d'informations à son propriétaire mais sur ces ip là... |
|
00
|
|
04/05/2007, 18h17
|
#5 |
|
Membre Expert
 
Inscription : juin 2006 Messages : 889 |
ET telephone maison , moi aussi il m'est arriver la meme chose il y a quelques temps et meme apres avoir etudier svchost , rien d'anormal
 , il parait que ca viens de la version2007 d'office mais j'ai trouver personne pour affirmer ou infirmer ....mais dans le doute j'ai tout interdit liens a ce propos.... http://techrepublic.com.com/5208-623...sageID=2096111 http://techrepublic.com.com/5208-111...187839&start=0 |
|
|
00
|
|
07/05/2007, 15h59
|
#6 |
|
Invité régulier
Étudiant Inscription : septembre 2006 Messages : 19 |
_solo -> très intéressant ces liens, j'ai essayé un truc après avoir lu ça, faire passé les windows update de "téléchargement automatique, confirmation avant installation" à déactivé...et ça réduit le volume d'entrées suspectes, mais il y en a toujours, ne disons-nous pas que les voix de Microsoft sont impenetrable? :-)
enfin, maintenant je suis un peu moins préoccupé par ce trafique, mais ça demeure étrange. |
|
|
00
|
Copyright © 2000-2012 - www.developpez.com