Tentatives de connections incessantes : que faire ?

Support Debian
#21

[quote=“BorisTheButcher”]Ben eteind ta connexion au minimum 5mn et re-essaye jusqu’a plus avoir d’emule. Si ca revient c’est ptet qu’il y a un ver ou bot qui utilise Emule pour se propager, faudrait regarder les niouzes…[/quote]C’est à dire que depuis 3 jours, je l’ai déjà eteinte plusieures fois ma connection … ça revient …
Est-ce que ce serait pas une personne qui a mon nom de domaine et qui tente une connection directe via eMule ? (voui, y’en a qui s’y connaisse encore moins que moi :wink: ) D’autant que j’ai eu également Gnutella aussi, pas seulement eDonkey, bizarre … bon, je file dans mes mails et mes logs … plouffff !

#22

Depuis hier, ça n’arrête pas sur le port 4242 (VHM) … :confused: :open_mouth:

#23

mais l’origine de ces paquets, il y a des constantes ?

#24

C’est dommage que je puisse pas faire un copier/coller de ce que me donne ethereal … Parmi les choses qui me font sourciller, j’ai :

[quote]45 Source : ACD369D2.ipt.aol.com Dest: mondomaine.com TCP: 12386 > 4242 [SYN] seq=0 ack=0 win=16384 len=0 MSS=1452
46 Source : mondomaine.com Dest: ACD369D2.ipt.aol.com ICMP Destination unreacheable (port unreacheable)
47 Source : ACD369D2.ipt.aol.com Dest: mondomaine.com TCP: 12386 > 4242 [SYN] seq=0 ack=0 win=16384 len=0 MSS=1452
48 Source : mondomaine.com Dest: ACD369D2.ipt.aol.com ICMP Destination unreacheable (port unreacheable)
49 Source: mondomaine.com Dest : AA:BB:CC:DD:EE:FF ARP Who has 192.168.1.1 ? Tell 192.168.x.x
50 Source: AA:BB:CC:DD:EE:FF Dest: mondamaine.com ARP 192.168.x.x is at AA:BB:CC:DD:EE:FF
51 Source : 89.156.53.200 Dest: mondomaine.com TCP: 3603 > 4242 [SYN] seq=0 ack=0 win=36384 len=0 MSS=1452
52 Source : mondomaine.com Dest: 89.156.53.200 ICMP Destination unreacheable (port unreacheable)
53 Source : 89.156.53.200 Dest: mondomaine.com TCP: 3603 > 4242 [SYN] seq=0 ack=0 win=36384 len=0 MSS=1452
54 Source : mondomaine.com Dest: 89.156.53.200 ICMP Destination unreacheable (port unreacheable)
55 Source: mondomaine.com Dest : AA:BB:CC:DD:EE:FF ARP Who has 192.168.1.1 ? Tell 192.168.x.x
56 Source: AA:BB:CC:DD:EE:FF Dest: mondamaine.com ARP 192.168.x.x is at AA:BB:CC:DD:EE:FF
57 Source : 89.156.53.200 Dest: mondomaine.com TCP: 3603 > 4242 [SYN] seq=0 ack=0 win=36384 len=0 MSS=1452
58 Source : mondomaine.com Dest: 89.156.53.200 ICMP Destination unreacheable (port unreacheable)[/quote]
C’est pas bien normal tout ça … ça se produit donc plusieurs fois la minute … une telle séquence, avec des ip différentes …
Si ces infos ne sont pas utiles, dis moi ce que tu appelles les constantes Matt stp …

#25

[quote=“usinagaz”]Bonsoir,
Alors je sais pas si c’est précisément en rapport avec une mauvaise config d’apache, de pure-ftpd, mais j’ai firestart qui me montre des tas de tentatives de connections (qu’il bloque), sur les ports dédiés :

  • Radmin
  • mysql
  • VNC
  • eDonkey

Que faire ? pourquoi toutes ces tentatives de connections ( plusieures par minutes, ça commence à faire ) ? Quels risques ?
Enfin bref, bizarre non ?[/quote]
Tu utilises aMule ? Si oui alors pour eDonkey, c’est normal… Ce sont tous tes petits copains qui essayent d’accéder à tes fichiers partiellement téléchargés. Ce sont les joies du Peer-to Peer…

#26

non je n’utilise pas eMule … j’ai une copine qui l’utilise (non pas sur ma machine !) mais pas moi …

:stuck_out_tongue: au fait salut jabba !! de retour ? Et ton gnomemeeting, tu as su le faire marcher ? moi oui, il y a le support h323 quelquechose comme ça à compiler dans le noyau ou à charger je crois que c’est ça …(pas encore eu le temps de videoconférer, mais la webcam marche avec maintenant).

#27

quote="usinagaz"C’est pas bien normal tout ça …[/quote]Peut être pas, mais en quoi çat’inquiète ? Du “pas normal” tu en as tut le temps dés que tu regardes. Du calme.[quote=“usinagaz”] ça se produit donc plusieurs fois la minute … une telle séquence, avec des ip différentes …[/quote]C’es gentil de le dire, parceque c’est pas avec les trois mauvaises lignes que tu as citées que je vais pouvoir le déterminer moi même.[quote=“usinagaz”]Si ces infos ne sont pas utiles, dis moi ce que tu appelles les constantes Matt stp …[/quote]Est ce que les adresses pour l’accés au port 4242 sont dans une même frange, je ne sais pas moi.
Sinon, tu peux essayer de voir comment fonctionne la cible iptables TARPIT (que j’ai découverte hier).

#28

ben je sais pas quoi tu mettres alors, au niveau de la frange, si je capte ce que c’est , ça donne :
81, 82, 83, 85, 86, 88, 90, 212, 221 … c’est ça ?

Qu’est-ce qu’elle ont mes lignes ? :wink: c’est lesquelles qu’il te faudrait ?
ps: ça m’inquiète pas des masses, ça me fait juste un peu ca… et puis je suis pas à l’abri d’une fausse manip qui ouvrirait la porte … c’est ça surtout.

#29

[quote=“usinagaz”]ben je sais pas quoi tu mettres alors, au niveau de la frange, si je capte ce que c’est , ça donne :
81, 82, 83, 85, 86, 88, 90, 212, 221 … c’est ça ?[/quote]Je ne sais pas.[quote=“usinagaz”]Qu’est-ce qu’elle ont mes lignes ? :wink: c’est lesquelles qu’il te faudrait ?[/quote]Aucune. Je te conseille d’analyser toi même tes logs et de dire si tu détermines quelquechose de constant dans la provenance des paquets. J’ai pas du tout envie de me taper tes logs.

#30

Bon, j’ai trouvé le pourquoi, mais pourriez vous m’expliquer le comment ?
(mes connaissances en réseaux, protocoles, … etc sont plus que limitées).
C’est en fait depuis que j’avais eu l’idée saugrenue (?) d’ajouter dans /etc/resolv.conf :

nameserver 192.168.1.1Autrement dit l’adresse de la passerelle, du routeur.
Comment expliquer ce phénomène que j’avais des tentatives bloquées par iptables de :

  • connexion sur le port de Mysql ( x fois par heure)
  • … Radmin (…)
  • … Gnutella (…)
  • … Edonkey (…)
  • plus sur des ports inconnus et dernièrement BitTorrent …
  • plus des scans à tout va détecté par psad …

En tout cas, ça tranquilise d’avoir un routeur non ?

#31

hello,

Deja c’est pas l’adresse de la passerelle c’est l’adresse du/des serveurs Dns “man resolv.conf”

Quant on expose un serveur sur le net, il ne faut pas q’inquieter de tous ce que tu viens de citer, si tu es certains de ta configuration, tu devrais pouvoir retrouver tes reperes a chaque moment.

#32

C’est effectivement l’adresse du/des serveurs Dns, MAIS C’EST AUSSI l’adresse de la passerelle …je t’épargne un screenshot de la page de l’interface de la livebox. Merci Orange, Wanadoo, et tous les autres, de nous maintenir dans une perpétuelle confusion en employant des termes à tort et à travers …

Merci stonfi, je serai toujours moins con qu’avant à chacune de tes interventions…

ps: poser une quinzaine de pages sur la conf d’apache, le ftp, et iptables entre autres, ça n’est pas le fait de quelqu’un qui est sur de sa conf, désolé pour le dérangement.

#33

Oct 12 17:25:02 localhost CRON[15475]: (pam_unix) session closed for user root

j’ai plusieurs dixaines,voire centaines de connexions de ce type dans mov auth.log. elles sont pas centaines les unes a la suite des autres !

sinon vous avez un tutoriel pour installer fail2ban ?

merci

#34

Ça ça n’est pas une intrusion, il faut se calmer… C’est juste CRON qui lance une tache pour root…

#35

j’ai pas dit le contraire,je ne savais pas ce que c’est,c’est tout