Jump to content
Justneuf

Scan De Ports Important Sur Le Réseau 9tel

Rate this topic


Voivod
 Share

Recommended Posts

Salut

J'ai remarqué un niveau tres tres important de scan de port venant d'utilisateurs 9tel dont les adresses IP commencent par 84.99.xxx.xxx et 84.100.xxx.xxx.

Certain sont des virus ok mais y'en a d'autres qui arrivent a scanner une plage tres importante et eux se ne sont pas des virus.

Comment signaler au Neuf cette pratique?

Merci

Link to comment
Share on other sites

Voila ce que j'ai dans le syslog.

as of 06/02/2005 10:44:55 Paris, Madrid (Timestamps are Local Time)

Date Time Dir Prot Rem IP Addr Remote Name R Port Lcl IP Addr L Port

2005/02/06 10:27:09 I tcp 84.100.xxx.xxx 12484 84.100.xxx.xxx 80

2005/02/06 10:27:09 I tcp 84.100.xxx.xxx 12482 84.100.xxx.xxx 139

2005/02/06 10:27:09 I tcp 84.100.xxx.xxx 12481 84.100.xxx.xxx 6129

2005/02/06 10:27:09 I tcp 84.100.xxx.xxx 12479 84.100.xxx.xxx 3127

2005/02/06 10:27:09 I tcp 84.100.xxx.xxx 12475 84.100.xxx.xxx 1025

2005/02/06 10:27:09 I tcp 84.100.xxx.xxx 12472 84.100.xxx.xxx 2745

2005/02/06 10:27:04 I tcp 84.100.xxx.xxx 11914 84.100.xxx.xxx 6129

2005/02/06 10:27:04 I tcp 84.100.xxx.xxx 11912 84.100.xxx.xxx 3127

2005/02/06 10:27:04 I tcp 84.100.xxx.xxx 11908 84.100.xxx.xxx 1025

2005/02/06 10:27:04 I tcp 84.100.xxx.xxx 11905 84.100.xxx.xxx 2745

2005/02/06 10:25:39 I tcp 84.100.xxx.xxx 2917 84.100.xxx.xxx 2745

2005/02/06 10:24:35 I tcp 84.100.xxx.xxx 42276 84.100.xxx.xxx 1025

2005/02/06 10:24:35 I tcp 84.100.xxx.xxx 42274 84.100.xxx.xxx 2745

2005/02/06 10:24:26 I tcp 84.100.xxx.xxx 4467 84.100.xxx.xxx 139

2005/02/06 10:22:48 I tcp 84.100.xxx.xxx 4989 84.100.xxx.xxx 139

2005/02/06 10:20:35 I tcp 84.100.xxx.xxx 12900 84.100.xxx.xxx 80

2005/02/06 10:20:35 I tcp 84.100.xxx.xxx 12899 84.100.xxx.xxx 139

2005/02/06 10:20:35 I tcp 84.100.xxx.xxx 12897 84.100.xxx.xxx 6129

2005/02/06 10:20:35 I tcp 84.100.xxx.xxx 12896 84.100.xxx.xxx 3127

2005/02/06 10:20:35 I tcp 84.100.xxx.xxx 12892 84.100.xxx.xxx 1025

2005/02/06 10:20:35 I tcp 84.100.xxx.xxx 12889 84.100.xxx.xxx 2745

2005/02/06 10:20:33 I tcp 84.100.xxx.xxx 12695 84.100.xxx.xxx 80

2005/02/06 10:20:33 I tcp 84.100.xxx.xxx 12694 84.100.xxx.xxx 139

2005/02/06 10:20:33 I tcp 84.100.xxx.xxx 12691 84.100.xxx.xxx 6129

2005/02/06 10:20:33 I tcp 84.100.xxx.xxx 12690 84.100.xxx.xxx 3127

2005/02/06 10:20:33 I tcp 84.100.xxx.xxx 12687 84.100.xxx.xxx 1025

2005/02/06 10:20:33 I tcp 84.100.xxx.xxx 12682 84.100.xxx.xxx 2745

2005/02/06 10:20:25 I tcp 84.100.xxx.xxx 11578 84.100.xxx.xxx 80

2005/02/06 10:20:25 I tcp 84.100.xxx.xxx 11575 84.100.xxx.xxx 139

2005/02/06 10:20:25 I tcp 84.100.xxx.xxx 11574 84.100.xxx.xxx 6129

2005/02/06 10:20:25 I tcp 84.100.xxx.xxx 11572 84.100.xxx.xxx 3127

2005/02/06 10:20:25 I tcp 84.100.xxx.xxx 11568 84.100.xxx.xxx 1025

2005/02/06 10:20:25 I tcp 84.100.xxx.xxx 11565 84.100.xxx.xxx 2745

2005/02/06 10:19:42 I tcp 84.100.xxx.xxx 6158 84.100.xxx.xxx 139

Link to comment
Share on other sites

Vu qu'il s'agit dans la plupart de cas de ports exotiques je doute que ca soit dans le but de faire des attaques.

En général les ports utilisés dans le scan de manière volontaire sont plutôt : 21 (FTP) ou 25  (SMTP), ...

<{POST_SNAPBACK}>

Tu as raison pour les utilisateurs de sripts assez primaire mais y'a d'autres scripts qui vont un peu plus loin histoire de chercher des buffers overflow. J'ai poussé ma recherche un peu plus loin et sur le port 80 je recois des chaines de plusieurs disaines de Ko pour une requette GET c'est typiquement l'exploit d'un serveur ISS.

De plus se genre de chose pourri affreusement les perf car non seulement c'est gourement en bande passante mais les Firewall passent leur temps a rejeter ca.

Link to comment
Share on other sites

Non pas de P2P

POur les ports P2P style overnet c'est pas ceux ci.

Non je penche plus a des scan de backdoor car ces ports la sont tres apréciés des troyens.

<{POST_SNAPBACK}>

Pour les ports en dessous de 1024 (qui sont réservés) probablement pas du p2p oui, pour le reste on met ce qu'on veut dans Overnet comme numéros de port.

Mais oui apparemment ce n'est pas du p2p d'après ce qu'ajoute Voivod comme informations.

Link to comment
Share on other sites

Ce n'est pas forcément la raison, mais quelques recherches montrent que :

- le port 80 est utilisé par le virus Gaobot.

- le port 139 par opaserv

- le 3127 est un des ports qui peut être ouvert par mydoom.

- le port 2745 est ouvert par bagle.

Il n'y a guere que les ports 6129 et 1025 qui ne semblent pas être utilisés par des virus.

Source : www.secuser.com

Link to comment
Share on other sites

 Share



×
×
  • Create New...