messages dans ipfw.log

[kathy h]

bon j'ai des dizaines de messages identiques dans ipfw/log ( donc concerne le pare feu de Tiger) :

voici le message que j'ai des dizaines de fois :

"imac-g5-de-catherine ipfw: Stealth Mode connection attempt to TCP 192 ... . .. ( ici c'est mon adresse IP ):63347 from 83.145.105.191:80 "

donc je décompose et si j'ai bien compris :

-"Stealth Mode connection attempt to" = ça veut dire , en gros= "tentative de connection en mode discret "

- to TCP 192......... " = bon apres le TCP c'est mon adresse IP

- 63347 = sans doute le numéro de port ( seul ce numéro change régulièrement )

- from IP 83.145.105.191.80 = A qui est cette adresse IP ? Adresse IP de macgé ???

bon pourquoi j'ai ce message à votre avis ?

 

[ntx]

Bonjour,
en général ce sont de petits malins qui scannent les ports des ordinateurs sur le réseau pour trouver des entrées possibles. Si tu coupe-feu verrouille tout, il n'y a rien à craindre. D'autant qu'en général ils cherchent des failles sur Windows

 

[kathy h]

Bonjour,
en général ce sont de petits malins qui scannent les ports des ordinateurs sur le réseau pour trouver des entrées possibles. Si tu coupe-feu verrouille tout, il n'y a rien à craindre. D'autant qu'en général ils cherchent des failles sur Windows

oui mais il me semble que l'adresse IP soit celle de macgé , qui peut confirmer?

 

[daffyb]

vi, c'est MacG ou plus précisément NetSample
un petit whois dans le terminal (j'ai laissé la "fortune")

Bienvenue sous Darwin !

Lawyers do it to everyone.
[iDaffy:~] bertrand% whois 83.145.105.191

OrgName: RIPE Network Coordination Centre
OrgID: RIPE
Address: P.O. Box 10096
City: Amsterdam
StateProv:
PostalCode: 1001EB
Country: NL

ReferralServer: whois://whois.ripe.net:43

NetRange: 83.0.0.0 - 83.255.255.255
CIDR: 83.0.0.0/8
NetName: 83-RIPE
NetHandle: NET-83-0-0-0-1
Parent:
NetType: Allocated to RIPE NCC
NameServer: NS-PRI.RIPE.NET
NameServer: SEC1.APNIC.NET
NameServer: SEC3.APNIC.NET
NameServer: SUNIC.SUNET.SE
NameServer: TINNIE.ARIN.NET
NameServer: NS3.NIC.FR
Comment: These addresses have been further assigned to users in
Comment: the RIPE NCC region. Contact information can be found in
Comment: the RIPE database at http://www.ripe.net/whois
Comment:
RegDate: 2003-11-17
Updated: 2004-03-16

# ARIN WHOIS database, last updated 2005-08-19 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.
% This is the RIPE Whois query server #1.
% The objects are in RPSL format.
%
% Note: the default output of the RIPE Whois server
% is changed. Your tools may need to be adjusted. See
% http://www.ripe.net/db/news/abuse-proposal-20050331.html
% for more details.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '83.145.105.0 - 83.145.105.255'

inetnum: 83.145.105.0 - 83.145.105.255
netname: NETSAMPLE
descr: Paris
country: FR
admin-c: AP5879-RIPE
tech-c: AP5879-RIPE
status: ASSIGNED PA
mnt-by: COMPLETEL-MNT
source: RIPE # Filtered

person: Alvaro Prata
nic-hdl: AP5879-RIPE
address: 28 rue du Mont Thabor
address: 75001 PARIS
e-mail: [email protected]
phone: +33 1 40 15 92 22
mnt-by: COMPLETEL-MNT
source: RIPE # Filtered

% Information related to 'AP5879-RIPE'

route: 83.145.64.0/18
descr: CompleTel France NET
origin: AS12670
mnt-by: AS12670-MNT
source: RIPE # Filtered

et pour en être bien sur, un petit ping de MacG

Bienvenue sous Darwin !

Come up and see me sometime. Come Wednesday, that's amateur night.
-- Mae West
[iDaffy:~] bertrand% ping macg.co
PING macg.co (83.145.105.190): 56 data bytes
64 bytes from 83.145.105.190: icmp_seq=0 ttl=54 time=64.130 ms
64 bytes from 83.145.105.190: icmp_seq=1 ttl=54 time=52.807 ms
64 bytes from 83.145.105.190: icmp_seq=2 ttl=54 time=53.995 ms
^C
--- macg.co ping statistics ---
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max/stddev = 52.807/56.977/64.130/5.081 ms

et le traceroute pour finir

[iDaffy:~] bertrand% traceroute 83.145.105.190
traceroute to 83.145.105.190 (83.145.105.190), 64 hops max, 40 byte packets
1 * * *
(...)
5 unknown.level3.net (195.122.136.161) 44.598 ms 43.436 ms 46.975 ms
6 so-1-0-0.mp2.paris1.level3.net (212.187.128.34) 58.520 ms so-3-0-0.mp1.paris1.level3.net (212.187.128.38) 58.366 ms so-1-0-0.mp2.paris1.level3.net (212.187.128.34) 58.754 ms
7 ge-11-1.ipcolo1.paris1.level3.net (212.73.240.83) 65.209 ms ge-11-0.ipcolo1.paris1.level3.net (212.73.240.39) 60.465 ms ge-11-2.ipcolo1.paris1.level3.net (212.73.240.117) 58.348 ms
8 ns0.kheopsorg.com (212.73.242.6) 60.617 ms 58.790 ms 58.500 ms
9 213.30.129.130 (213.30.129.130) 52.862 ms 51.001 ms 50.142 ms
10 reverse.completel.net (213.244.30.112) 54.587 ms 53.077 ms 54.601 ms
11 macg1.netsample.com (83.145.105.190) 54.908 ms 52.354 ms 57.515 ms

 

[brome]

Vu que le port de l'adresse en question est 80 (port habituellement alloué aux serveurs web), il est en effet fort probable qu'il s'agisse d'une réponse d'un serveur web que tu as consulté.

Quand je fais un traceroute sur l'adresse, je tombe sur une machine nommée "macg2". Donc l'hypothèse qu'il s'agisse d'une banale communication entre ta machine et un serveur de MacGé m'apparait comme plausible.

 

[daffyb]

En illustration des multiples tentatives d'intrusions sur mon serveur ftp (pure-ftpd) voici une partie des log. Bien entendu, mon serveur n'accèpte pas les connexions anonymes (et je crois que j'ai bien fait )
Jul 30 12:22:59 iDaffy pure-ftpd: ([email protected]) [INFO] Nouvelle connexion de www.mangoiq.com
Jul 30 12:22:59 iDaffy pure-ftpd: ([email protected]) [INFO] Deloggue.
Aug 7 13:38:20 iDaffy pure-ftpd: (?@?) [ERROR] Impossible de trouver le compte 'ftp'
Aug 11 00:40:20 iDaffy pure-ftpd: ([email protected]) [INFO] Nouvelle connexion de wsip-70-168-48-171.sd.sd.cox.net
Aug 16 23:30:14 iDaffy pure-ftpd: ([email protected]) [INFO] Nouvelle connexion de adsl-66-72-163-41.dsl.sfldmi.ameritech.net
Aug 16 23:30:15 iDaffy pure-ftpd: ([email protected]) [INFO] Deloggue.
Aug 19 16:12:51 iDaffy pure-ftpd: ([email protected]) [INFO] Nouvelle connexion de adsl-63-197-98-106.dsl.mtry01.pacbell.net
Aug 19 16:12:51 iDaffy pure-ftpd: ([email protected]) [INFO] Deloggue.

 

[kathy h]

En illustration des multiples tentatives d'intrusions sur mon serveur ftp (pure-ftpd) voici une partie des log. Bien entendu, mon serveur n'accèpte pas les connexions anonymes (et je crois que j'ai bien fait )
Jul 30 12:22:59 iDaffy pure-ftpd: ([email protected]) [INFO] Nouvelle connexion de www.mangoiq.com
Jul 30 12:22:59 iDaffy pure-ftpd: ([email protected]) [INFO] Deloggue.
Aug 7 13:38:20 iDaffy pure-ftpd: (?@?) [ERROR] Impossible de trouver le compte 'ftp'
Aug 11 00:40:20 iDaffy pure-ftpd: ([email protected]) [INFO] Nouvelle connexion de wsip-70-168-48-171.sd.sd.cox.net
Aug 16 23:30:14 iDaffy pure-ftpd: ([email protected]) [INFO] Nouvelle connexion de adsl-66-72-163-41.dsl.sfldmi.ameritech.net
Aug 16 23:30:15 iDaffy pure-ftpd: ([email protected]) [INFO] Deloggue.
Aug 19 16:12:51 iDaffy pure-ftpd: ([email protected]) [INFO] Nouvelle connexion de adsl-63-197-98-106.dsl.mtry01.pacbell.net
Aug 19 16:12:51 iDaffy pure-ftpd: ([email protected]) [INFO] Deloggue.

et bien j'ai activé dans le règlage " avancé " du coupe feu de tiger d'une part le mode furtif et j'ai bloquée le trafic UDP.
mais bon bloquer tout le trafic UDP je ne sais pas si c'est une bonne chose car ne faut il pas au moins accepter le trafic UDP pour les ports de 0 à 255 ?

 

[Patamach]

Salut les champions de la technique!
Pour une fois je ne postre pas au bar

Sur ipfw.log j'ai toutes les secondes des tentatives de connection comme suit:

...
Dec 15 19:06:25 Ordinateur-de-JM ipfw: Stealth Mode connection attempt to UDP 82.66.XX.XXX:4672 from 87.218.227.47:4672
Dec 15 19:06:25 Ordinateur-de-JM ipfw: Stealth Mode connection attempt to UDP 82.66.XX.XXX:6881 from 70.49.56.200:60324
Dec 15 19:06:25 Ordinateur-de-JM ipfw: Stealth Mode connection attempt to UDP 82.66.XX.XXX:4672 from 190.16.48.11:4672
Dec 15 19:06:25 Ordinateur-de-JM ipfw: 12190 Deny TCP 82.66.113.89:1194 82.66.XX.XXX:445 in via en0
Dec 15 19:06:26 Ordinateur-de-JM ipfw: Stealth Mode connection attempt to UDP 82.66.XX.XXX:6881 from 218.212.247.167:63453
Dec 15 19:06:27 Ordinateur-de-JM ipfw: Stealth Mode connection attempt to UDP 82.66.XX.XXX:6881 from 83.183.1.190:23060
etc ...

L'adresse IP qui essaye de se connecter n'ai jamais la même et j'ai toujours mon firewall activé et le mode furtif. UDP ouvert.

J'ai remplacé une partie de mon adresse IP par des XX

Ca ne s'arrete pas, une idée de ce que c'est ??

Merci.

:zen:

 

[Patamach]

Bon UDP n'était pas vérouillé. C'est maintenant fait Ca m'apprendra à vouloir poster en dehors du bar ...

Nouveaux messages:

Dec 15 19:53:18 Ordinateur-de-JM ipfw: 35000 Deny UDP 82.82.115.225:4672 82.66.XXX4672 in via en0
Dec 15 19:53:19 Ordinateur-de-JM ipfw: 35000 Deny UDP 81.33.49.197:22223 82.66.XX4672 in via en0
Dec 15 19:53:19 Ordinateur-de-JM ipfw: 35000 Deny UDP 189.132.131.252:4672 82.66.XXX4672 in via en0
Dec 15 19:53:19 Ordinateur-de-JM ipfw: 35000 Deny UDP 86.2.107.168:48150 82.66.XXX6881 in via en0
Dec 15 19:53:21 Ordinateur-de-JM ipfw: 35000 Deny UDP 90.21.151.135:4672 82.66.84.XXX4672 in via en0
Dec 15 19:53:21 Ordinateur-de-JM ipfw: 35000 Deny UDP 84.137.211.163:6881 82.66.84.XXX6881 in via en0

etc ...

C'est grave doc ?

 

[da capo]

arrete de trainer sur des sites cochons :siffle:

 

[kathy h]

et bien tu es allé chercher un vieux topic, ça ne me rajeunie pas

t'inkiet des messages comme ceux là j'en ai des centaines. rien de grave.

Tu peux dormir tranquille :zen:

 

[Patamach]

arrete de trainer sur des sites cochons :siffle:

j'ai toujours su que macg était une facade ...

sinon ca continue ... toutes les secondes ...

 

[da capo]

et bien tu es allé chercher un vieux topic, ça ne me rajeunie pas

t'inkiet des messages comme ceux là j'en ai des centaines. rien de grave.

Tu peux dormir tranquille :zen:

toi aussi tu vas sur des …

non… un rève s'écroule.

 

[kathy h]

toi aussi tu vas sur des …

non… un rève s'écroule.

:siffle: :siffle:

 

[Patamach]

Tu peux dormir tranquille :zen:

Cooool j'étais près à appeler le 17 et le 18.

Mais sinon pour ma culture perso c'est quoi ....

 

[bompi]

Le port 4672 est celui d'un protocole nommé Remote File Access (jamais entendu parler) mais c'est aussi un port utilisé par eMule (ah ! ça, j'en ai entendu parler ... )
Et 6881 est le port par défaut de BitTorrent ... (j'en ai entendu parler aussi )
Bref : comme tu t'es connecté à de tels services, tu es référencé sur des serveurs et/ou des "peers" qui t'ont enregistré. Ils cherchent alors à se reconnecter.
Ce n'est pas forcément du DoS (Denial of Service), donc.

 

[daffyb]

aucun rapport (ou presque) mais dans mon system.log j'ai le droit à ça :

Dec 15 17:29:02 iDaffy2 sshd[13864]: error: PAM: Authentication failure for root from 80.17.39.75
Dec 15 17:29:40 iDaffy2 sshd[13871]: error: PAM: Authentication failure for root from 80.17.39.75
Dec 15 17:29:41 iDaffy2 sshd[13871]: error: PAM: Authentication failure for root from 80.17.39.75
Dec 15 17:30:10 iDaffy2 kernel[0]: (65: coreservicesd)tfp: failed on 0:
Dec 15 17:30:29 iDaffy2 sshd[13880]: error: PAM: Authentication failure for root from 80.17.39.75
Dec 15 17:30:29 iDaffy2 DirectoryService[50]: Failed Authentication return is being delayed due to over five recent auth failures for username: root.

Encore quelqu'un qui essaye de se connecter en root sur mon serveur SSH (quand on sait que root est désactivé :rolleyes: )

 

[bompi]

C'est un des avantages d'avoir désactivé 'root' : il n'y alors pas d'utilisateur standard avec lequel se connecter.
Personnellement, j'ai aussi changé le port par défaut de SSH, pour le fun ...