Port 135 sollicité

J’en ai marre, toutes les 10 secondes on essaye de se connecter sur mon port135 139 445(DCOM-scm, samba et microsft-ds), ca me saoule.
Je suis chez free et ce sont des attaques qui vienent de chez free on dirait 82.243… Je viens de lire la doc de nmap, ca va chier maintenant… comment arrêter tous ca ??? svp

précision je n’utilise pas samba et ne l’ai pas installé

S’il s’agit de protéger un port en particulier ou d’en ouvrir que certains, le tuto de ricardo sur iptable dans trucs et astuces me semble une bonne piste.
Même moi j’ai compris, c’est dire …

Meme situation sur mon server, qui est chez free (ca a un lien?), ca ne me dérange pas vraiment a part que mes logs se remplissent a grande vitesse…
J’ai enlevé le log des attaques sur 445 parce que ca devenais vraiment la folie, je ne crois pas qu’il y ai bcp d’autres solutions :unamused:

[quote]Meme situation sur mon server, qui est chez free (ca a un lien?), ca ne me dérange pas vraiment a part que mes logs se remplissent a grande vitesse…
J’ai enlevé le log des attaques sur 445 parce que ca devenais vraiment la folie, je ne crois pas qu’il y ai bcp d’autres solutions[/quote]

voila moi mes logs deviennent gros, et je viens d’adopter ce que tu as fait à savoir ne pas noter les les attaques sur 135 et 445.

Mais pourquoi tous ces gens, on peut les en empêcher les menacer? je sais pas…

ces gens sont de simples utilisateurs windows qui n’ont pas de pare feu et ont laissé ouvert leur partage de fichier samba sur le net.
Si tu regardes avec un ‘smbclient -L //’ tu verras sans doutes leurs partages.

Ce sont surtout des vers qui essayent de se propager. Il peut en avoir jusqu’à plusieurs centaines dans une journée.

Si t’es sous linux et que tu n’utilise pas samba alors cette attaque est une “false positive” : ton detecteur voit et t’alerte d’une attaque alors que ce n’en est pas une (linux n’utilise pas ces ports).

Donc je te conseille de ne plus afficher ces demandes de connexions (en gros tu ne logge pas les SYN sur ces ports made by Window). Tu pourrais meme carrement virer tous le traffic sur ces ports (demande de connexion ie SYN et établissement de connexion et traffic sur connexion établie) mais c’est peut etre trop large (en réalité c’est faux car si quelqu’un arrive a ouvrir un de ces ports sur ton windows, alors il est déja root sur ton système et donc t’es bon pour une reinstalle)

En régle générale, il est important de virer le bruit des logs car il risque de masquer de vraies attaques qui passeront inapercues au milieu de tout ce traffic. Pour un système hyper sécurisé, le bruit est aussi interessant.

[quote=“le_petit_chat_noir”]J’en ai marre, toutes les 10 secondes on essaye de se connecter sur mon port135 139 445(DCOM-scm, samba et microsft-ds), ca me saoule.
Je suis chez free et ce sont des attaques qui vienent de chez free on dirait 82.243… Je viens de lire la doc de nmap, ca va chier maintenant… comment arrêter tous ca ??? svp

précision je n’utilise pas samba et ne l’ai pas installé[/quote]

On a le même problème!
J’observais ca en utilisant Firestarter! C’est assez chiant c’est vrai! je l’ai mis sur ma liste noire.

dshield.org/country_list.php?continent=EU

Les 8 premieres sont pour window, ensuite le spam et ensuite emule.
:slightly_smiling:

Ceux qui s’en rendent compte que maintenant c’est qu’ils ont jamais installé un firewall avec affichage des attaques.

Encore une fois ce n’est pas parcequ’il se passe quelquechose que c’est dangereux.
Pour l’anecdote, je suis arrivé un jour dans le bureau du boss tout content: "Aujourd’hui, le parefeu a bloqué 35 attaques !"
Panique à bord: il m’a fallu trois jour pour faire comprendre que les attaques étaient bloquées depuis longtemps, mais que je ne venais juste de mettre en place un dispositif me permettant de les compter.
Depuis, je ne parles plus de mes succés en matière de sécurité, ça fait trop de mal. :cry:

[quote=“MattOTop”]ces gens sont de simples utilisateurs windows qui n’ont pas de pare feu et ont laissé ouvert leur partage de fichier samba sur le net.
Si tu regardes avec un ‘smbclient -L //’ tu verras sans doutes leurs partages.[/quote]

ben le pire c’est que j’ai essayé (ou le mauvais garçon), j’arrivais à les pinguer ,mais pas moyen d’ouvrir leur partages. :slightly_smiling:
Ce que j’aurai bien aimé faire c’est un truc genre à la ntetsend(une ptite boite de dialogue qui s’affiche chez eux); avec écris "houou là tu commence par arrêter d’essayer d’acceder à mes ports, et j’utilise linux je ne suis pas un terroriste :wink: ".
Ben en fait j’ai utilisé nmap je crois pour vous savez quoi les ports et connaitre l’OS(ou c’est pas bien ca), et il s’est avéré que c’etait toutes des stations avec un noyau linux

[quote=“le_petit_chat_noir”]
Ben en fait j’ai utilisé nmap je crois pour vous savez quoi les ports et connaitre l’OS(ou c’est pas bien ca), et il s’est avéré que c’etait toutes des stations avec un noyau linux[/quote]

ou des routeurs… Ceux ci sont parfois vus comme des stations linux…

exacte j’ai même pas pensé un instant qu’ils etaient derrière un routeur :blush:

Bon alors maintenant, qu’est ce qu’on peut savoir de ce qu’il y a derrière ?
Le TTL déjà. Essayer de savoir combien de saut il a fait avant d’arriver, pour savoir s’il est bien “juste derrière” un routeur.
Qu’est ce que tu peux savoir d’autre :question:

Fichier /usr/local/bin/anasmb:
----------------------
#!/usr/bin/perl
$NOM = "";
while(<>) {
         chop;
         if (m/Looking/) {
             s/Looking up status of //;
             $IP=$_;
         } else {
             if (m/<00>.*GROUP/) {
                 s/^\s*//;
                 ($GROUP) = split(/ /)
                 } else {
                     if (m/<00>/) {
                 s/^\s*//;
                 ($NOM) = split(/ /);
             }
                 }
         }
     }
if ($NOM ne "") { 
open(LOG,">>/var/log/sendsmb.log");
print(LOG "Message envoyé à ",$NOM," Groupe ",$GROUP," IP=",$IP,"\n");
close(LOG);
print ("cat /root/message \| smbclient \-M \"",$NOM,"\" \-I ",$IP,"\n");
$COMMAND= "cat /root/message \| /usr/bin/smbclient \-M ".$NOM." \-I ".$IP;
#print $COMMAND,"\n";
#print "-----------------------\n";
system ($COMMAND);
}
-----------------------------

Tu fais

nmblookup -A IP_DE_LA_MACHINE | anasmb

et ça enverra le message /root/message au gugus mais il faudrait que cet imbécile n’est pas verrouillé sa machine, c’est plutôt rare maintenant…

C’est ce qui est(était) utilisé pour les premiers spam cette méthode?

[quote]
Bon alors maintenant, qu’est ce qu’on peut savoir de ce qu’il y a derrière ?
Le TTL déjà. Essayer de savoir combien de saut il a fait avant d’arriver, pour savoir s’il est bien “juste derrière” un routeur.
Qu’est ce que tu peux savoir d’autre[/quote]

Bonne question mais je ne suis pas un as dans la matière :slightly_smiling: , ca va être dur pour moi de comprendre tous ca mais je vais peut être me pencher dessus seulement pour découvrir. C’est très interessant je trouve, presque même exitant :laughing:

edit:au fait c’est une bonne déf du TTL?:

La cible TTL modifie le champ Durée de Vie (Time To Live) dans l’en-tête IP. Une application très utile de ceci est de pouvoir changer toutes les valeurs de durée de vie en une valeur identique pour tous les paquets sortants

[quote=“le_petit_chat_noir”]
edit:au fait c’est une bonne déf du TTL?:

La cible TTL modifie le champ Durée de Vie (Time To Live) dans l’en-tête IP. Une application très utile de ceci est de pouvoir changer toutes les valeurs de durée de vie en une valeur identique pour tous les paquets sortants[/quote]

google.com/search?hl=fr&q=ttl+definition

Premier lien (enfin celui sur linux-france)

C’est ce qui est(était) utilisé pour les premiers spam cette méthode?
[/quote]
Peut être, c’est surtout pour répondre à

Tu récupères l’IP de tes visiteurs dans les logs, tu met ton message dans /root/message et tu exécute ça. Parfois, le gars verra une boite avec un message. Il y a 3-4 ans ça marchait très bien, maintenant je ne sais pas…