|
|
|
que se passe t il |
|---|
| message from bruno on 5 Jun 2004 |
bonjour a tous
constatation activite internet en ce moment sur mon poste
du moment ou je me connecte au net fw antivirus et c est tout : norton ..
oui je sais pas terrible ..
mais voyons plus loins .. des attaques a tout vent.. plusieur centaines en
qq minutes c est vous dire
j essaie de comprendre .. je lance rien et ca "attaque" facon de parler .. j
ai mis interroger a toute intervention et voila le resultat : je reprecise
.. connection internet et c est tout .. brut si je puis dire
- microsoft-ds port 445
- svchost epma port 135
- port 4662 et 6000 : port emule .. mais emule n est pas lance !!!!!!! wny
?
- port udp 3424
- port 27181 ..
les deux dernier etant non determine en terme de provenance
alors quezaco .. que comprendre et que faire ..
en terme d activite mis a part les services "legaux" ca devrait etre calme
..
avez vous une idee ..
merci par avance pour toutes suggestion .;
j ai passe touts les util sans aucun resutat .;
merci
amicalement
bruno
|
| bruno replied to bruno on 5 Jun 2004 |
rebonjour
en fait deux attaques sont systematiques
ms -rpc_dcom heap bo .. port attaque ipmap 135
idem buffer overflow ... ipmap 135
lsass rpc.. port atatque microsoft ds-445
voila pour les trois recidiventes et qui sont bloquees ..
l acces a emule sans etre lance est il en rapport .. voir msg principal.
avant ca ne le faisait pas en telle mesure.. quest ce qui a change ou alors
"ou rechercher" ??
voila c est plus complet
merci
bruno
|
| JacK [MVP] replied to bruno on 5 Jun 2004 |
'lut,
Rien de spécial : des machines infectées par Blaster, Sasser et variantes
qui cherchent à infecter des machines vulnérable. Ton FW fait son boulot,
c'est tout
Rien à voir avec Emule, tu as hérité d'une IP d'un utilisateur d'Emule.
Comme tu es probablement en mode stealth, des requêtes pour d/l des fichiers
dispo chez l'utilisateur précédent sont envoyées et ne reçoivent pas de
réponse. Là encore ton FW fait son boulot.
Nulle part, rien ne t'oblige à afficher des bôîtes d'alerte à chaque probe
ni même de les loger.
Tout le monde reçoit ça, plusieurs centaines de fois par jour chez moi.
|
| bruno replied to JacK [MVP] on 5 Jun 2004 |
bonjour jack
merci de me rassurer ..
ma question etait surtout base qu avant .. on va dire 1 mois de cela c etait
plus calme .. et j ai pas vraiment touche gd chose donc je cherchait a
savoir pourquoi cette recrudescence ..
a cette allure ca monte vite a des millier haha..
je ne les affiches pas .. seul un pti ! clignote sur mon firewall et ca y va
!!
merci pour ton msg ..donc je m inquiete pas ..
merci jack
bruno
|
| bruno replied to JacK [MVP] on 5 Jun 2004 |
rehello jack
qd tu dis rien de special des machines infectees par sasser et autres qui
cherchent a infecter des machines vulnerables.. precision .. quand on est a
jour windows comme je le suis, nous ne somme pas vulnerable ? je me trompe ?
excuse moi si ma question est bete ..
et pour continuer .. en admettant que ton fw tombe ou par ex que je l arrete
(juste pour la question) que se passe til avec de telle ataques .. en effet,
en etant a jour qu arive t il .. se retrouve ton infecte par blaster sasser
alors qu on est a jour .. en fait sans fw quelle diff entre une machine a
jour ou non .. au niveau des effets ?
merci de tes explications .. une soif d apprendre ..
amicalement jack
bruno
|
| JacK [MVP] replied to bruno on 5 Jun 2004 |
'lut,
Si tu es à jour, tu n'es pas sensible à ces attaques vu que la vulnérabilité
n'existe plus. Il y a d'autres attaques auquelles tu es sensible sans FW, ne
pas le désactiver.
|
| bruno replied to JacK [MVP] on 5 Jun 2004 |
si je suis a jour je ne suis pas sensible a ces attaques ?
cela voudrait t il que je ne suis pas a jour ??
comment cela se pourrait t il ? explique moi .. qd je vais sur wu .. je n ai
rien a telecharge ..
toutes les maj critiques sont installees ..
6 maj non critiques :
- wmp serie 9 .. copie de fichier ..
- lien acheter musique sur le net
- journal viewer
-messenger 4.7
- movie maker
- net framework version 1
on est pas oblige celles ci ?
alors explique moi jack, comment ne pas avoir de maj critiques et etre
vulnerables ?
tu pense que je ne suis pas a jour .?
comment faire a mon stade dis moi .. si il y a une procedure je l applique
mais laquelle
je suis suspendu a ton aide .. afin de savoir si oui ou non je suis a jour
et comment le savoir/regler
je croyais que si wu ne donne rien c est que l on es a jour ..
merci
bruno
|
| JacK [MVP] replied to bruno on 5 Jun 2004 |
Si tu es à jour tu n'es pas sensible aux attaques !
Ce n'est pas parce que des machines infectées à la recherche de machines
vulnérables te pinguent que l'attaque aboutit ;)
Tu serais sous Win98 qui n'est pas sensible à ces failles que tu aurais ces
mêmes probes.
|
| bruno replied to JacK [MVP] on 5 Jun 2004 |
excuse de ma betises haha
"Si tu es à jour, tu n'es pas sensible à ces attaques vu que la
vulnérabilité
n'existe plus. Il y a d'autres attaques auquelles tu es sensible sans FW, ne
pas le désactiver"
qd tu dis cela j avais compris qu en etant a jour je n aurais en aucun cas
ces alertes.. en fait je faisait erreur ?? je suis confus mais c est dur a
rentrer parfois ..
meme en etant a jour les attaques se font qd meme alors ??
ok bon allez j abuse .. j arrete mon firewall .. que se passe t il pour
sasser et autres cousins .. ca n affecterai en rien mon systeme ou quoi .;
je parle que de sasser et cousin ..
je lis tes explications de maniere tres interesses ..
je resume : je suis a jour, je suis infaillible a sasser et consors.. mon
firewall enregistre des attaques "sasser" qui cherchent des becanes
vulnerables mais en fait elle ne savent pas si je suis vulnerable ou non du
fait que mon firewall arrete avant .. en gros cest ca .. donc le bruno
panique pour rien !!!!!!!!!!!!!!!!!!!!!!!!
merci jack .. je plaisante mais je suis du genre a abaisser mon langage qd j
apprend aux autres pour etre sur qu ils captent alors faits idem pour moi ..
pas choque le bruno
amicalement votre jack
bruno
|
| ypoons replied to bruno on 05 Jun 2004 |
Salut Bruno
Comme te le dit Jack, si ton ordi est à jour (et il l'est d'après
ce que tu dis), tu ne peux pas être infesté par Blaster, Sasser
et quelques autres.
Ce qui t'arrive, c'est probablement que tu as modifié la
configuration de ton firewall pour qu'il te délivre un message
d'alerte à chaque tentative d'intrusion. Compte tenu de la
quantité de blocages qu'un firewall génère chaque seconde de nos
jours, c'est un réglage qu'il faut supprimer. Être alerté n'est
pas forcément utile. Rechercher automatiquement l'origine des
attaques (qui sont en fait des tentatives de connexion) n'est
qu'une perte de temps, à moins que tu ne décides d'enfiler ta
blanche armure et de partir à l'assaut du monde entier pour dire
à ces gens que leur ordi n'est pas à jour (ce dont ils ont l'air
de se foutre royalement) ou pour envoyer un rapport complet à une
quelconque organisation (qui n'existe pas pour le moment) pour
leur dire qu'il faut sécuriser le web, et à qui tu fournirais la
liste des "coupables" (et la présomption d'innocence, alors ?)
Ne jamais désactiver le firewall quand on va sur le net. Il n'y a
pas que Blaster, Sasser et consorts qui circulent, il y a aussi
les trojans, les spywares, les robots, les web bugs, j'en passe
et des meilleures.
|
| bruno replied to ypoons on 5 Jun 2004 |
bonjour a tous les deux
je fais un seul message pour les deux comperes ..
dur d oreille oui !!! ok ca j aime comme explication jack, ca me resssemble
.. apprendre les math modernes a mon pere a plus de 50 ans ca pas ete facile
mais le resultat etait au bout ..c est super .
merci la j ai compris ..
merci ypoons aussi .. je vais regarder du cote avertissement et je confirme
que je suis ok cote xp ..
je suis pas parano, j applique les conseils qd il viennent de gens serieux
.. donc je suis les maj de partout. fw,av, spybot, adware,a2,stinger,
secuser en ligne et xp .. ca va deja pas mal .. je scrute regulierement avec
tous ca et resultat des courses .. pas de bebete ..
ok sur ce je vous laisse, et vous remercie messieurs d avoir passe du temps
avec un vieux comme moi .. la quarantaine bientot ca use !!
amicalement votre
bruno/f5jrx
|
| JacK [MVP] replied to bruno on 5 Jun 2004 |
lol : T'es dur de la comprenure ;)
Ben oui, les probes se font quand même mais ne peuvent t'atteindre.
Explication KISS :
Quand tu mets un gilet pare-balles, ça n'empêche pas qu'on te tire dessus !
Ça empêche la balle de te blesser, c'est tout : ça c'est le patch.
Maintenant, si en plus du gilet pare-balles, tu te mets derrière une porte
blindée, la balle n'arrivera pas jusqu'à ton gilet pare-balles : ça c'est le
FW.
|
| bruno replied to JacK [MVP] on 5 Jun 2004 |
hello jack
je vais me couche avec plus de 11000 attaques .. ca commence a faire non..
qui relevent le defi .. je trouve ca qd meme bcp .. le firewall fait son job
la c est sur ..
ca y va toutes les 20s en moyenne ..
allez assez pour ce soir ..
merci encore pour que la comprenote soit plus rapide en moi haha
bye
amicalement votre
bruno
|
|
