Dark_Shadow Posted August 19, 2008 Share Posted August 19, 2008 Salut tout le monde, tout d'abord je voudrais signaler que je ne suis pas un professionnel dans le domaine que je vais aborder donc j'attends vos commentaire . Voila je suis abonné chez Fawri et c'est dernier temps j'ai remarqué que mon firewall me signalait des attaque sur le réseau de Fawri que je n'avais jamais eu auparavant la première attaque est sous protocole TCP et l'attaquant en question essaye toujours d'entrer par le port 5000 mais les ports sources changent à chaque fois avec une même adresse ip, sa doit être un Trojan, j'ai fais une petite recherche sur le net et j'ai trouvé une liste de trojans qui utilisent ce port, les trojans en question sont : " Back Door Setup, Blazer5, Bubbel, ICKiller, Sockets des Troie ". La deuxième attaque est sous protocole ICMP j'avoue que c'est un protocole que je ne connaissais pas avant et que j'ai decouvert en même temps que cette attaque, le truc avec cette deuxième attaque c'est que mon firewall la bloque et affiche juste l'adresse ip d'où elle vient mais il n'affiche ni port source ni port de destination. Voila je pense avoir tout dit j'attends vos réactions, n'oublier pas de mètre a jour votre anti-virus et compagnie, si vous avez des informations sur tout sa ou que vous avez remarquer la même chose chez vous partager avec nous et merci . Quote Link to comment Share on other sites More sharing options...
milax Posted August 19, 2008 Share Posted August 19, 2008 Salut, Je ne connais pas ICMP par contre je connais le proxy IGMP qui est le protocole utilisé pour diffuser la télé sur les formules multiples play. Sur mon routeur linksys par exemple, il faut activer l'option 'proxy IGMP' pour que la télé par ADSL fonctionne. Alors, cela présage peut être le lancement imminent de la TV par Algérie télécom / Fawri :-) Quote Link to comment Share on other sites More sharing options...
Golden-boy Posted August 19, 2008 Share Posted August 19, 2008 Salut, Le 1er peut-être Blazer, il y a surement un pc infecté qui a la même plage IP que toi. La 2eme est une fausse alerte. Quote Link to comment Share on other sites More sharing options...
Dark_Shadow Posted August 19, 2008 Author Share Posted August 19, 2008 Merci pour la réponse rapide Salut, Le 1er peut-être Blazer, il y a surement un pc infecté qui a la même plage IP que toi. La 2eme est une fausse alerte. Golden-boy pour la première attaque il n'y a pas un mais plusieurs pc qui sont infectés sur la même plage ip que moi loll et j'espère qu'il y aura des gens qui vont faire attention a ne pas se faire infecter ou bien qu'ils désinfecteront leurs machines en lisant mon post . sinon pour la deuxième je préfère rester sur mes gardes même si d'après ce que j'ai lu les attaques ICMP vise surtout les routeurs et les serveurs. merci pour vos réponses et si d'autres personnes ont d'autres idées la discutions est ouverte Quote Link to comment Share on other sites More sharing options...
Slown Posted August 19, 2008 Share Posted August 19, 2008 ICMP (Internet Control Message Protocol - Protocole de message de contrôle sur Internet) est un protocole qui permet le contrôle des erreurs de transmission. En effet, comme le protocole IP ne gère que le transport des paquets et ne permet pas l'envoi de messages d'erreur, c'est grâce à ce protocole qu'une machine émettrice peut savoir qu'il y a eu un incident de réseau Quote Link to comment Share on other sites More sharing options...
mfa12 Posted August 19, 2008 Share Posted August 19, 2008 (edited) J'ai quasiment le même problème depuis plus d'1 mois déjà, des attaques répétitives avec le message suivant: "Attaque de réseau intrusion.Win.DCOM.exploit: TCP de 10.10.xx.xx sur le port local 135", mais pour moi c'est toujours sur le port 135, par une adresses qui est toujours fixe pour les deux premiers chiffres 10.10.xx.xx, j'ai une connexion Fawri 1mo, et j'arrive pas à arrêter cette attaque mon antivirus c'est Kasperky Internet Security, j'enregistre pour 100 à 160 attaques par jour!! Edited August 19, 2008 by mfa12 Quote Link to comment Share on other sites More sharing options...
Slown Posted August 19, 2008 Share Posted August 19, 2008 Le Port 135 est, en réalité, un véritable dispatcher ou plutôt "port-mapper". Lorsqu'une machine cherche à atteindre un service sur une machine distante elle se connecte d'abord via le port 135 pour localiser le port réel sur lequel tourne le service qui l'intéresse. Ensuite elle dialoguera via le numéro de port qui lui aura été communiqué pour le service concerné. D'où le nom de ce port (localisation de service, en français). Essaye de mettre à jour ton système et sécurise tes ports Quote Link to comment Share on other sites More sharing options...
Dark_Shadow Posted August 19, 2008 Author Share Posted August 19, 2008 J'ai quasiment le même problème depuis plus d'1 mois déjà, des attaques répétitives avec le message suivant: "Attaque de réseau intrusion.Win.DCOM.exploit: TCP de 10.10.xx.xx sur le port local 135", mais pour moi c'est toujours sur le port 135, par une adresses qui est toujours fixe pour les deux premiers chiffres 10.10.xx.xx, j'ai une connexion Fawri 1mo, et j'arrive pas à arrêter cette attaque mon antivirus c'est Kasperky Internet Security, j'enregistre pour 100 à 160 attaques par jour!! Merci pour ta réponse mfa12 je te rassure moi aussi j'ai des attaques sur le port 135 et sur beaucoup d'autre port d'ailleurs comme le port 1433,137...ect depuis que j'ai le net lol. Tout ces port sont exploités par des trojans venant des ordinateurs infectés se trouvant sur le réseau de Fawri car les ip qui commencent par 10.10.xxx.xxx sont des plages d'ip appartenant au utilisateurs de fawri et ces trojans essayent de se propager via ce réseau. La seule solution pour éviter d'être infecter est d'avoir un bon antivirus avec mise a jour quotidienne ainsi qu'un bon firewall pour fermer et controller le trafic des ports et ainsi bloquer tout type d'attaque connu ( le risque zéro n'existe pas mais on se protège du mieux qu'on peut ) je t'invite à lire cet article si sa peut t'aider http://www.certa.ssi.gouv.fr/site/CERTA-2003-ALE-002/ . Quote Link to comment Share on other sites More sharing options...
mfa12 Posted August 19, 2008 Share Posted August 19, 2008 Merci dark_shadow pour l'infos, sa me rassure qu'il y'ait des gens dans le même cas que moi!! (Problème j'ai windows vista) Quote Link to comment Share on other sites More sharing options...
faridv12 Posted August 19, 2008 Share Posted August 19, 2008 moi aussi regarde moi ça http://www.forumdz.com/showthread.php?t=5279 Quote Link to comment Share on other sites More sharing options...
b_reda31 Posted August 20, 2008 Share Posted August 20, 2008 La deuxième attaque est sous protocole ICMP j'avoue que c'est un protocole que je ne connaissais pas avant et que j'ai decouvert en même temps que cette attaque, le truc avec cette deuxième attaque c'est que mon firewall la bloque et affiche juste l'adresse ip d'où elle vient mais il n'affiche ni port source ni port de destination. Je n'ai jamais entendu parlé d'attaques ICMP! dailleurs comme l'as très bien défini Slown,ICMP est un protocole qui permet entre autres de verifier (détecter) que les messages s'acheminent sans erreurs. Un exemple simple,lorsque vous demandez une page qui n'existe pas (ou plus),aprés un délai d'attente défini,un message ICMP sera retourné à votre machine indiquant qu'il y a eu erreur...Un autre exemple qui est susceptible d'etre l'origine du problème; lorsqu'une machine A tente de pinguer un machine B,un message ICMP est envoyé de A vers B.Je pense alors que votre antivirus (pare-feu) considére les messages ICMP comme étant des attaques...quoi qu'il en soit je n'en suis pas sur,dailleurs si le nombre d'attaques détectées est élevé,il est probable qu'une personne vous ping sans cesse (si c'est la même adresse qui est l'origine de l'attaque ICMP).Ce qui saturera votre connexion... alors si vous trouvez l'origine du problème,ça m'interresserai de la connaitre. Votre parefeu,vous informe t il du code du message ICMP? Quote Link to comment Share on other sites More sharing options...
Dark_Shadow Posted August 20, 2008 Author Share Posted August 20, 2008 Salut b_reda31 tout d'abord merci pour tes explications et pour toutes tes interrogations, comme je l'ai expliqué dans mon premier post je ne connaissais pas non plus les attaques ICMP et j'ai crée ce post car mon pare-feu détecte ces attaques depuis seulement une semaine et donc voir un truc nouveau se passer sur le réseau m'a fait réagir et effectivement ce sont des ping venant d'une même adresse ip 5 à 6 fois d'affiler après l'adresse ip change lors d'un autre ping ( mais l'intervalle de temps entre le ping de différentes adresses est assez grand sinon sa sera un vrai bombardement loll ) et c'est ce qui m'a laisser supposer que sa venait de pc infecter ce trouvant sur le réseau de fawri, voila un site ou il y a un exemple sur une attaque utilisant le protocole ICMP : http://www.frameip.com/smurf/ . Pour la définition du protocole ICMP faite par Slown elle est exacte mais c'est la définition de la fonction première de ce protocole et donc sa ne parle pas d'une faille pouvant être exploiter par des personnes mal intentionnées. Votre parefeu,vous informe t il du code du message ICMP? Je ne crois pas avoir bien compris la question mais tout ce que mon pare-feu m'informe c'est la taille du paquets reçu ainsi que l'adresse source et l'adresse de destination, les ports source et destination sont vides. Je l'ai signalé au départ je ne suis pas un pro dans ce domaine et donc je remercie toutes les personnes qui réagissent a mon post et on finira par trouver le fin mot de l'histoire inchallah . Quote Link to comment Share on other sites More sharing options...
Dark_Shadow Posted August 20, 2008 Author Share Posted August 20, 2008 Désoler cette réponse arrive un peu en retard mfa12 à dit: Merci dark_shadow pour l'infos, sa me rassure qu'il y'ait des gens dans le même cas que moi!! (Problème j'ai windows vista) y a pas de quoi mon ami, pour windows vista je ne l'ai pratiquement jamais utiliser mon pc est devenu trop vieux pour ça loll mais je pense que du moment que tu t'assures d'avoir un bon firewall sa ira . faridv12 à dit: moi aussi regarde moi ça http://www.forumdz.com/showthread.php?t=5279 Merci pour l'info mon ami je suis nouveau sur ce forum et je n'avais pas encore vu ton topic, je constate que t'as des attaque UDP et mon firewall n'a jamais détecter des attaques de ce genre chez moi je commence a me demander s'il est si bon que sa loll Quote Link to comment Share on other sites More sharing options...
kawassir Posted August 20, 2008 Share Posted August 20, 2008 j'ai eu le meme prob aussi quand j'avais fawri kaspersky ( de l'epoque ) deviens fou dé que je me connecte sur le net Quote Link to comment Share on other sites More sharing options...
Dark_Shadow Posted August 20, 2008 Author Share Posted August 20, 2008 télécharge peerguardian , et tu aura la paix, pour les attaques de sous reseau dont tu fait l'objet. http://phoenixlabs.org/pg2/ si non , si tu a un ancien pc à sacrifier, monte toi un pare feu physique http://www.ipcop.org y a pas mieux. Merci ktalgerie je vais tester avec Peerguardian et voir ce que sa donne, pour Ipcop je crois que sa marche que sous linux et moi je suis sous windows. Quote Link to comment Share on other sites More sharing options...
Dark_Shadow Posted August 20, 2008 Author Share Posted August 20, 2008 Merci pour l'explication ktalgerie pour le moment j'ai plus de pc en plus mais j'aime bien l'idée d'ipcop et je l'appliquerai des que possible crois moi pour PeerGuardian il ne change rien mon firewall enregistre toujours les même attaques. pour la fin je dirai jolis blog Quote Link to comment Share on other sites More sharing options...
Dark_Shadow Posted August 21, 2008 Author Share Posted August 21, 2008 bah, es que tu a mis a jour, et désactivé ton pare feu, au faites si c'est celui de windows il est préférable que tu le désactive complètement, si non si c'est celui de kaspersky, il vaudrait mieux le désinstaller. surtout si c'est de ceux que tu as activé par un patch. évite aussi zone alarme , il est piégé. même chose pour comodo et celui de mc fee. Bon courage Salut ktalgerie merci pour tes conseils, pour le moment j'utilise Jetico Firewall il est assez bien a mon avis, kaspersky j'aime pas j'utilise Avira Antivir qui ne m'a jamais déçu jusqu'à présent Quote Link to comment Share on other sites More sharing options...
Dark_Shadow Posted August 21, 2008 Author Share Posted August 21, 2008 Ravi d'être ton ami sa fait toujours plaisir de voir qu'il y a des gens qui voient les choses avec leur cerveau et non qu'avec leur yeux, c'est comme pour toute chose en algérie les gens juges mal car " ya7agrou bel 3ine " et ils aiment bien les phénomène de mode donc tu trouves partout le même antivirus , je connais plein de monde qui me demande des clés pour kaspersky alors je leurs dis de changer pour avira et à 90% des cas ils ne m'écoutent pas lolll donc je ne me casse plus trop la tète. Quote Link to comment Share on other sites More sharing options...
mfa12 Posted August 21, 2008 Share Posted August 21, 2008 J'ai jamais eu de problème de clés avec kaspersky et encore sous vista j'utilise la version 2009!! et je l'est pas changé depuis 6 mois. J'ai tout essayé auparavant, le seul qui m'a plu vraiment c'était G-Data et Nod32, mais la clé n'est pas facile à avoir! Quote Link to comment Share on other sites More sharing options...
mfa12 Posted August 21, 2008 Share Posted August 21, 2008 c'est bien. bonne continuation. merci Quote Link to comment Share on other sites More sharing options...
Dark_Shadow Posted August 22, 2008 Author Share Posted August 22, 2008 Alors, personne pour me dire oui moi aussi mon firewall détecte beaucoup d'attaques visant le port 5000 et un autre truc venant d'un protocole ICMP ?? je vais finir par croire que sa ne m'arrive qu'à moi et qu'on me vise personnellement Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.