Discussion :

[Taka's tiger]

Depuis plusieurs semaines j'ai à chaque jours, plusieurs blocs de tentatives de connections sortantes (voir l'extrait ci-dessous), elles ne durent que quelque minutes, à et sont espacées de moins d'une seconde. Les blocs ne semble pas placé à des heures précises, et vise le port 80 de plusieurs ip , les ip ciblé ne se présente que quelques fois, le port sortant (sur ma machine) et toujours entre 1000 et 8000 et s'incrémente d'un à chaque essai (ici dans l'extrait, c'est de 2170 @ 2188)

DENY TCP OUT FROM 207.134.*:2170 TO 64.212.198.123:80 C:\WINNT\system32\svchost.exe {NT AUTHORITY\SYSTEM}
DENY TCP OUT FROM 207.134.*:2171 TO 64.212.198.129:80 C:\WINNT\system32\svchost.exe {NT AUTHORITY\SYSTEM}
DENY TCP OUT FROM 207.134.*:2172 TO 64.212.198.112:80 C:\WINNT\system32\svchost.exe {NT AUTHORITY\SYSTEM}
DENY TCP OUT FROM 207.134.*:2173 TO 64.212.198.113:80 C:\WINNT\system32\svchost.exe {NT AUTHORITY\SYSTEM}
DENY TCP OUT FROM 207.134.*:2174 TO 64.212.198.120:80 C:\WINNT\system32\svchost.exe {NT AUTHORITY\SYSTEM}
DENY TCP OUT FROM 207.134.*:2175 TO 64.212.198.123:80 C:\WINNT\system32\svchost.exe {NT AUTHORITY\SYSTEM}
DENY TCP OUT FROM 207.134.*:2176 TO 64.212.198.129:80 C:\WINNT\system32\svchost.exe {NT AUTHORITY\SYSTEM}
DENY TCP OUT FROM 207.134.*:2177 TO 64.212.198.112:80 C:\WINNT\system32\svchost.exe {NT AUTHORITY\SYSTEM}
DENY TCP OUT FROM 207.134.*:2178 TO 64.212.198.113:80 C:\WINNT\system32\svchost.exe {NT AUTHORITY\SYSTEM}
DENY TCP OUT FROM 207.134.*:2179 TO 64.212.198.120:80 C:\WINNT\system32\svchost.exe {NT AUTHORITY\SYSTEM}
DENY TCP OUT FROM 207.134.*:2180 TO 64.212.198.123:80 C:\WINNT\system32\svchost.exe {NT AUTHORITY\SYSTEM}
DENY TCP OUT FROM 207.134.*:2181 TO 64.212.198.129:80 C:\WINNT\system32\svchost.exe {NT AUTHORITY\SYSTEM}
DENY TCP OUT FROM 207.134.*:2182 TO 64.212.198.112:80 C:\WINNT\system32\svchost.exe {NT AUTHORITY\SYSTEM}
DENY TCP OUT FROM 207.134.*:2184 TO 64.4.23.190:80 C:\WINNT\system32\svchost.exe {NT AUTHORITY\SYSTEM}
DENY TCP OUT FROM 207.134.*:2185 TO 207.46.253.157:80 C:\WINNT\system32\svchost.exe {NT AUTHORITY\SYSTEM}
DENY TCP OUT FROM 207.134.*:2186 TO 64.4.23.190:80 C:\WINNT\system32\svchost.exe {NT AUTHORITY\SYSTEM}
DENY TCP OUT FROM 207.134.*:2187 TO 207.46.253.157:80 C:\WINNT\system32\svchost.exe {NT AUTHORITY\SYSTEM}
DENY TCP OUT FROM 207.134.*:2188 TO 64.4.23.190:80 C:\WINNT\system32\svchost.exe {NT AUTHORITY\SYSTEM}

J’ai chercher un peu, mais je ne sais pas trop comment décrire le problème. En fais je ne sais même pas s’il s’agit d’un trucs anormal, j’ai vérifié avec une dizaine d’adresse ip ciblé, elle ne semble pas localiser dans la même région ce sont des trucs attribuer un peu partout dans le monde, mais elle ont toutes un serveur qui répond sur le port 80

Invalid URL
The requested URL "/", is invalid.

Reference #9.7dc6d440.1178209496.0

exemple http://64.212.198.129/

Merci

[Invité]

Ca vient d'une machine de ton réseau?
Si je risquais des hypothèses, je dirais un client P2P ou un backdoor, ou un parasite de DOS/DDOS.

[Taka's tiger]

Oui, le log est celui d'une de mes machines, une qui n'est pas dernière un routeur.
Ce n'est pas un poste, il n'y a pas de client p2p, mais je vais quand même vérifer, qui sait....

si ça devait être un trucs qui tente de faire du deni de service, je trouve le comportement étrange, en petit blocs compacts, mais distant de plusieurs heures, sur un large évental d'adresses.

même constat pour la possibilité d'une backdoor.

enfin, je me demandais si la "signature" correspondait à un truc qu'une personne ici aurait pu connaitre. J'ésite à autoriser ce trafique, en l'autorisant, je pourais sniffer le lien et avoir une meilleur idée de ce que cherche à communiquer ce truc. Ce serait imprudent ?

[Louis-Guillaume Morand]

l'une des adresses est un serveur hotmail, l'autre est une ip microsoft. la troisieme => global crossing.

s'eut été des ip privées, j'aurais pensé à l'envoi d'informations à son propriétaire mais sur ces ip là...

[_solo]

ET telephone maison , moi aussi il m'est arriver la meme chose il y a quelques temps et meme apres avoir etudier svchost , rien d'anormal , il parait que ca viens de la version2007 d'office mais j'ai trouver personne pour affirmer ou infirmer ....

mais dans le doute j'ai tout interdit
liens a ce propos....
http://techrepublic.com.com/5208-623...sageID=2096111
http://techrepublic.com.com/5208-111...187839&start=0

[Taka's tiger]

_solo -> très intéressant ces liens, j'ai essayé un truc après avoir lu ça, faire passé les windows update de "téléchargement automatique, confirmation avant installation" à déactivé...et ça réduit le volume d'entrées suspectes, mais il y en a toujours, ne disons-nous pas que les voix de Microsoft sont impenetrable? :-)

enfin, maintenant je suis un peu moins préoccupé par ce trafique, mais ça demeure étrange.