Jump to content

Recommended Posts

Bonjour,

 

Depuis plusieurs mois, mon pare-feu de Bitdefender me signale régulièrement (plusieurs fois par jour) des analyses de ports bloquée.

 

Jusque là, rien à craindre me direz-vous.

 

Mais ce qui m'inquiète tout de même c'est que c'est constamment la même IP (IP Chinoise) et que étant chez SFR, en redémarrant ma box, je bascule sur une autre IP. Sauf que rebelotte, la même IP se retrouve encore à me scanner...

 

Je sais que SFR ne peut rien faire de leur coté, mais je voulais surtout savoir, vu que c'est toujours la même IP, si ça ne pouvait pas venir d'un logiciel sur mon PC que permettrait de communiquer ma nouvelle IP afin de poursuivre cette analyse de ports comme un trojan...

 

Avez-vous des logiciels à me conseiller pour détecter ce type de logiciel ou alors mieux, analyser l'activité complète de mon PC afin de savoir quel logiciel pourrait s'amuser à envoyer des requètes vers cette IP.

 

A savoir que j'ai actuellement en logiciels pour détecter ce type de programmes malveillants :

- Bitdefender Internet Security

- Adwcleaner

- Malwarebytes Anti-Malware

- RogueKiller

 

 

Merci d'avance pour votre aide, ce n'est pas quelque chose de grave mais je me dis qu'à force de me cibler, il risque peut-être de trouver une faille... on sait jamais...

Link to comment
Share on other sites

Je sais que SFR ne peut rien faire de leur coté, mais je voulais surtout savoir, vu que c'est toujours la même IP, si ça ne pouvait pas venir d'un logiciel sur mon PC que permettrait de communiquer ma nouvelle IP afin de poursuivre cette analyse de ports comme un trojan...

 

Des IP chinoises (ou russes ou que-sais-je) qui scannent les ports de ta ligne ce n'est pas en soit inquiétant. Quand on commence à faire tourner des services sur une IP publique (mail, Web...), on en vient à se demander si Internet n'est pas uniquement un immense botnet cherchant à envoyer du spam, exploiter des failles... :D

 

Enfin bref, si tu n'as aucun service ouvert au public écoutant sur les port scannés, tu ne risques pas grand chose à mon avis.

 

Ensuite, si tu veux en avoir le cœur net, le moniteur de ressources de Windows (onglet Réseau) donne déjà une bonne partie (si ce n'est toutes) les infos qui t'intéresse.

 

Enfin le meilleur logiciel pour voir ce qui se passe sur un réseau, c'est WireShark. A ceci prêt qu'il ne te dira pas quel logiciel émet ou reçoit le trafic.

Link to comment
Share on other sites

Merci tout d'abord pour vos réponses.

 

Concernant le blocage de cette IP ou son sous réseau dans Bitdefender ou mon modem, je n'ai malheureusement pas trouvé l'endroit, c'est ce que je voulais faire directement en amont sur mon modem mais SFR me dit que ce n'est pas possible...

 

Concernant les services ouvert au publique sur les ports scannés, euh... je ne pense pas enfin, pas que je sache :)

 

Je vais voir pour le moniteur de ressources Windows et WireShark afin de savoir si je peux cibler le soucis chez moi ou alors, si c'est réellement le hasar d'avoir toujours la même IP... C'est tout de même ça qui m'inquiète, comme si cette IP m'avait tous les jours dans sa ligne de mire...

 

Pour exemple, j'ai allumé mon PC ce soir vers 19H et j'ai été scanné à 19H00 et 21H08 (ça va, que 2 fois ce soir)

Link to comment
Share on other sites

Chez moi, j'ai un log de tout ce qui teste mon IP. En fait, j'ai désactivé ce log car, c'est incroyable tout ce qui s'essaie, jour après jour, heure après heure :transpi: .

Rien que mon FTP est programmé pour bannir toute IP pendant 96h qui fait 3 essais infructueux de suite, et c'est la fête : un vrai pot de miel.

 

Donc, que tu te fasse scanner par la même IP, ça m'étonne moyennement : un robot doit être mis en place pour attaquer une plage d'adresse de SFR, donc tu y as droit périodiquement.

 

IPv6 devrait corriger ce problème, mais il va falloir être patient (25 ans au minimum, amha :roll: )

Link to comment
Share on other sites

Tiens, je viens de remarquer quelque chose de bizarre, lorsque Bitdefender bloque une analyse de ports, c'est présenté comme ça :

 

Une analyse de ports a été détectée et bloquée.

IP locale : xxx.xxx.xxx.xxx (IP ne correspondant pas à mon IP privée ni publique, ni même celle de mon VPN)

IP distante : xxx.xxx.xxx.xxx (IP chinoise)

 

Sur le moniteur de ressources Windows.

 

Dans l'onglet Réseau, tout en bas, il y a la partir "Ports d'écoute", j'ai différentes lignes "System" et 3 lignes contienne l'IP local dont me parle Bitdefender.

 

Quelle IP est-ce ? Est-ce l'IP local de l'éméteur ? Mais dans ce cas là, que fait-elle sur mon système ?

 

Toutes les autres IP que je vois avec noté System, ce sont mes IP réseaux local, mon PC et routeur.

Link to comment
Share on other sites

Bonjour,

 

Après plusieurs recherches, je me suis rendu compte que cette "IP locale" correspond bien à mon IP, c'est juste mon VPN qui me donne également une nouvelle IP sur mon réseau local.

Dès que j'ai désactivé mon VPN, elle s'est automatiquement transformé en 192.168.1.xxx

Link to comment
Share on other sites

Oki.

 

Faut vérifier, mais je crois que le Moniteur de ressources peut logguer les événements. Ça peut être intéressant.

 

(25 ans au minimum, amha )
 

 

 

Je te trouve bien optimiste :D

 

En fait, j'ai désactivé ce log car, c'est incroyable tout ce qui s'essaie, jour après jour, heure après heure

 

 

Sur mon Rpi où je loggue ce qui est balancé à la poubelle par iptables, il me tartine facilement entre 800Kio et 1.5 Mio de logs par jour. Sachant que je limite à 5 logs par minute :ooo:

Link to comment
Share on other sites

 

 

IPv6 devrait corriger ce problème, mais il va falloir être patient (25 ans au minimum, amha  :roll: )

 

Si seulement la plupart des admin réseaux étaient pas des feignasses  :ouioui:

 

Autrement pour ton soucis à vrai dire c'est pas bien grave tout les jours ta des centaines de bot qui scan le web, ils ont beau scanner les port s'il y'a rien derrière en écoute peut importe.

 

Si tu étais sous linux un coup de paramétrage sur le firewall et un fail2ban réglerais allègrement le soucis de sécurité bien que tu ne puisses pas l'empêcher de scanner ta box. Pour ça faudrait blacklister l'IP en question sur les routeurs de l'ISP.

 

Autrement tu dois pouvoir faire quelque chose depuis le firewall windows dans tes règles de trafic entrant.

Link to comment
Share on other sites

Pas faux, en général on tombe que sur le routeur. Le pc lui-même n'est pas censé recevoir quoi que ce soit, à moins qu'on a redirigé les ports ( si t'as besoin de tel logiciel et qu'on doit se connecter à toi je comprends, sinon ça ne devrait pas être le cas )

Link to comment
Share on other sites

mais si on arrive à scanner son pc, c'est qu'il y a un gros problème de config de la box/routeur ...

je parrierai que la dmz est activée ....

C'est ce que je pensais aussi jusqu'à qu'il informe qu'il a un VPN donc c'est probablement de là que vient le scan.

Link to comment
Share on other sites

Bonjour,

 

Je viens de jeter un coup d'oeil au pare-feu Windows et il était totalement désactivé (vu que j'avais celui de Bitdefender, j'avais dût l'enlever)

Là, je viens de le réactiver, on verra bien ce que ça donnera.

Concernant la dmz, je n'ai pas trouvé où sont les paramètres, sauf sur mon routeur où elle est désactivé. Ne faut-il pas plutôt l'activer ?

 

Et pour le VPN, il faudra que je fasse un test pendant 1 journée sans l'activer afin de voir si le scan continu.

Link to comment
Share on other sites

Voici le résultat du scan qui est identique avec ou sans VPN :

xxx.xxx.xxx.xxx isn't responding on port 21 (ftp).xxx.xxx.xxx.xxx isn't responding on port 23 (telnet).xxx.xxx.xxx.xxx isn't responding on port 25 (smtp).xxx.xxx.xxx.xxx isn't responding on port 80 (http).xxx.xxx.xxx.xxx isn't responding on port 110 (pop3).xxx.xxx.xxx.xxx isn't responding on port 139 (netbios-ssn).xxx.xxx.xxx.xxx isn't responding on port 445 (microsoft-ds).xxx.xxx.xxx.xxx isn't responding on port 1433 (ms-sql-s).xxx.xxx.xxx.xxx isn't responding on port 1521 (ncube-lm).xxx.xxx.xxx.xxx isn't responding on port 1723 (pptp).xxx.xxx.xxx.xxx isn't responding on port 3306 (mysql).xxx.xxx.xxx.xxx isn't responding on port 3389 (ms-wbt-server).xxx.xxx.xxx.xxx isn't responding on port 5900 ().xxx.xxx.xxx.xxx isn't responding on port 8080 (webcache).
Link to comment
Share on other sites

 

Voici le résultat du scan qui est identique avec ou sans VPN :

xxx.xxx.xxx.xxx isn't responding on port 21 (ftp).xxx.xxx.xxx.xxx isn't responding on port 23 (telnet).xxx.xxx.xxx.xxx isn't responding on port 25 (smtp).xxx.xxx.xxx.xxx isn't responding on port 80 (http).xxx.xxx.xxx.xxx isn't responding on port 110 (pop3).xxx.xxx.xxx.xxx isn't responding on port 139 (netbios-ssn).xxx.xxx.xxx.xxx isn't responding on port 445 (microsoft-ds).xxx.xxx.xxx.xxx isn't responding on port 1433 (ms-sql-s).xxx.xxx.xxx.xxx isn't responding on port 1521 (ncube-lm).xxx.xxx.xxx.xxx isn't responding on port 1723 (pptp).xxx.xxx.xxx.xxx isn't responding on port 3306 (mysql).xxx.xxx.xxx.xxx isn't responding on port 3389 (ms-wbt-server).xxx.xxx.xxx.xxx isn't responding on port 5900 ().xxx.xxx.xxx.xxx isn't responding on port 8080 (webcache).

 

C'est loin d'être exhaustif, l'inconvénient de ces sites, mais bon tu as rien qui tourne derrière ces ports donc peut importe tu pourras pas empêcher quelqu'un de scanner tes ports vu qu'apparemment ton routeur redirige toutes ces demandes de connexion vers ton pc.

 

Donc il te reste à : - Vérifier si tu as pas une règles sur ta box dans le port forwarding avec la fourchette 1-65535 et l'ip de ton pc.

                              - Te rabattre sur le firewall de ton pc histoire de bloquer les demandes de connexion venant de cet ip

 

Après tu peut toujours ajouter un second routeur avec un dd-wrt ou autre dessus pour le paramétrer ou mettre un firewall physique mais c'est peut être un peu démesuré comme réaction.

Link to comment
Share on other sites

Heu .... je sais pas ou vous voyez que le routeur redirige le trafic sur sa machine en local.

 

Le résultat du scan effectué montre juste qu'il na pas de ports ouverts sur sa box et si y avait redirection de ports le 445 et 139 devraient répondre.

 

Je penche plus pour une faille dans la config niveau VPN : prenons 2 clients connectés sur le même VPN, si client 1 scanne client 2 le VPN laisse passer le traffic ( car le flux vient de l’intérieur ) et au lieu de le faire sortir par l'interface publique du VPN le redirige en "local" sur le client 2 sans appliquer de NAT. 

 

Edit : le seul vrai test pour s'en assurer c'est de surfer sans VPN et vérifier si y a bien 0 scans sur la machine local et dés qu'on remet le VPN ça revient.

Link to comment
Share on other sites

Bonsoir,

 

Après plusieurs jours de tests, je n'ai plus de messages concernant cette analyse de ports.

J'ai simplement réactivé le pare-feu de Windows, ça se trouve, c'est lui qui bloque tout maintenant...

 

VNP toujours actif en tout cas.

 

On verra avec le temps.

 

Merci pour votre aide ;)

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.

×
×
  • Create New...