Discussion :

[mosquito25]

Bonjour à tous.
Comme c'est mon 1er message, je me présente succinctement : j'ai appris l'informatique sur un CDC 3300 (Console opérateur https://m.youtube.com/watch?v=-K0NKJxDZjE# ), donc j'ai un peu de bouteille

Je m'y connais pas trop mal en réseau, mais je ne suis pas un pro de la sécurité. En regardant les logs de mon routeur Wi-Fi, j'ai repéré des anomalies ;
[DoS Attack: RST Scan] from source: 188.121.36.239, port 80, Monday, September 10,2018 15:02:19
J'en ai parfois plusieurs fois par jour, avec toujours la même IP.
Une précision, c'est le log de mon routeur Wi-Fi, ma box a pu bloquer d'autres scans, mais son journal est plutôt succinct.

J'ai fait un traceroute et un visualroute, le host est n1plpkivs-v03.any.prod.ams1.secureserver.net [188.121.36.239]. Il est situé aux Pays-Bas, et si j'ai bien interprété le traceroute, l'hébergeur est GoDaddy

Je suis allé sur la page Web www.secureserver.net, il y a juste un formulaire de connexion (et la page privacy police affiche "Oops, not found").

J'ai lu sur un forum qu'il s'agirait d'un serveur mail GoDaddy, mais ça me surprend, surtout qu'un whois sur le domaine donne des URLs pour obtenir les contacts, mais elles affichent une page vide.

Qu'en pensez vous ?

[Invité]

Effectivement, GoDaddy a l'air un peu blacklisté :

https://www.abuseipdb.com/check/188.121.36.239

mais ça me semble plutôt lié au comportement du module IDS embarqué dans le code du routeur qui génère des messages anxiogènes pour justifier son existence

Ca ressemble plus à des faux-positifs...

-VX

[mosquito25]

Je me suis pas mal renseigné depuis hier, et je ne pense pas que ça soit des faux positifs : pour faire une analogie, c'est comme un voleur qui vérifie plusieurs fois par jour si la porte de mon appartement est bien verrouillée. Pas de bol pour lui, c'est le cas.

J'ai aussi fait un scan des ports ouverts sur mon IP wan, il n'y a que le minimum vital, donc je suis tranquille pour l'instant.

Par contre, si un jour j'installe un serveur Web, j'ai intérêt à le surveiller parce qu'à partir de ce moment, le port 80 sera ouvert et ce serveur va probablement tester toutes les vulnérabilités.