Look'n'Stop- connexions UDP sur port 1026 ?

[megataupe]

Bonjour queruak. Depuis quelques semaines, je constate que le journal de Look'n'Stop enregistre beaucoup de tentatives de connexion de type UDP sur le port 1026, les tentatives de type TCP étant nettement moins nombreuses que par le passé. Aurais-tu une explication rationnelle sur le pourquoi de ce phénoméne qui tend à s'amplifier ? Ceci dit, je ne suis bien évidemment pas inquiet pour ma sécurité, les règles Phantom's étant d'une efficacité à toute épreuve.

 

D'avance merci pour tes éclaircissements qui peuvent aussi être d'un grand intérêt pour les autres membres.

Modifié le 27 avril 2005 par ipl_001

[queruak]

Bonjour megataupe, bonjour à tous,

 

LOL

 

Tu me fait trop d'honneur là ! et tu me fait passer pour celui que je ne suis pas !

Un topic rien que pour moi,non je ne saurais répondre à ta question,présente moi un rapport hijackthis,la je réagirais et te dirais quoi faire.

Je ne suis qu'un ignare bénévole qui vient aider.

ipl est un grand reveur,il m'a entrainé dans cette formidable aventure:combattre les pirates et leurs saletés.

Tu as sur Zeb' des membres impressionnants de talent et de compétence,eux sauront répondre à une question si technique.

Désolé,je te conseille gentiment d'editer le titre de ton topic,si tu ésperes avoir des réponses.

[megataupe]

Ben, je maintiens mon appréciation d'autant que les résultats de tes interventions plaident pour toi. Ce que j'apprécie sur les forum de sécurité, c'est la grande convivialité qui y régne et l'ardeur des "spécialistes" pour la traque aux malpropres. Mon petit doigt me dit qu'ipl ou tesgaz vont me fournir une explication qui nous concerne tous d'ailleurs.

[ipl_001]

Bonjour megataupe,

Ben, je maintiens mon appréciation d'autant que les résultats de tes interventions plaident pour toi. Ce que j'apprécie sur les forum de sécurité, c'est la grande convivialité qui y régne et l'ardeur des "spécialistes" pour la traque aux malpropres. Mon petit doigt me dit qu'ipl ou tesgaz vont me fournir une explication qui nous concerne tous d'ailleurs.

493897[/snapback]

Je suis triste de te décevoir !

Ta question est à adresser à un spécialiste réseau comme TheClem, tesgaz, Greywolf, laubean ou quelques autres...

 

Je transfère ta question vers Internet et Réseaux.

Tu avais déjà modifié le titre initial "Question pour queruak"

Je modifie le titre "Question pour queruak, IPL et Tesgaz" en "Look'n'Stop : tentatives de connexion de type UDP sur port 1026"

[Invité tesgaz]

Salut,

 

Greywolf serait le plus à même de répondre sur le sujet.

 

1026 en TCP correspond aux taches planifiées

1026 en UDP

apparement ce sont des tentatives de spam par le service d'affichage des messages.

 

mais ca correspond aussi à un service (pour linux) pour NFS

gestionnaire de verrous ’nlockmgr’

 

il y a un site qui donne des details sur diverses failles : pour nlockmgr - classer en risque faible

http://www.secuobs.com/plugs/10220.shtml

[megataupe]

Merci pour la précision Tesgaz. Je ne tourne pas sous Linux et je viens de faire un Whois sur l'une de ces tentatives en UDP et c'est............ direction la Chine. Ils veulent peut être étudier nos réseaux avant de nous proposer un forfait à 3 bols de riz

 

inetnum: 218.78.0.0 - 218.83.255.255

netname: CHINANET-SH

descr: CHINANET Shanghai province network

descr: Data Communication Division

descr: China Telecom

country: CN

admin-c: CH93-AP

tech-c: XI5-AP

mnt-by: MAINT-CHINANET

mnt-lower: MAINT-CHINANET-SH

status: ASSIGNED NON-PORTABLE

changed: **********@ns.chinanet.cn.net 20011227

changed: **********@apnic.net 20040927

source: APNIC

[Invité tesgaz]

lol,

 

et bien ils testent de nouvelles armes de destructions massives, test de nouveaux cafards sur UDP

j'ai beaucoup de tentative de chine aussi, mais c'est principalement sur les 445/135

et trés peu en UDP

[Greywolf]

1026 en UDP

apparement ce sont des tentatives de spam par le service d'affichage des messages.

494076[/snapback]

exact

http://www.securityfocus.com/archive/75/39...22/2005-04-28/0

 

Greywolf serait le plus à même de répondre sur le sujet.

faut pas pousser non plus

[megataupe]

lol,

 

et bien ils testent de nouvelles armes de destructions massives, test de nouveaux cafards sur UDP

j'ai beaucoup de tentative de chine aussi, mais c'est principalement sur les 445/135

et trés peu en UDP

494084[/snapback]

 

Et bien, va falloir s'inquiéter car ces mangeurs sans fourchette sont très doués dans la culture du cafard laqué

 

voilà une petite liste des entrées made in China à surveiller dans ZA :

 

27/04/05,18:20:52 D-92 'Block : All other packet' 218.83.158.204 UDP Ports Dest:1026 Src:54448

27/04/05,18:31:02 D-93 'Block : All other packet' 61.152.158.126 UDP Ports Dest:1026 Src:32803

27/04/05,18:37:14 D-94 'Block : All other packet' 61.152.158.152 UDP Ports Dest:1026 Src:35882

27/04/05,18:39:33 D-95 'Block : All other packet' 195.16.169.122 UDP Ports Dest:1026 Src:5052

27/04/05,18:39:33 D-96 'Block : All other packet' 195.86.114.145 UDP Ports Dest:1027 Src:14546

27/04/05,18:43:27 D-97 'Block : All other packet' 222.88.173.5 UDP Ports Dest:1026 Src:14068

27/04/05,18:44:37 D-98 'Block : All other packet' 58.10.181.98 ICMP Type:8 Code:0

27/04/05,18:46:51 D-99 'Block : All other packet' 67.17.252.175 UDP Ports Dest:1026 Src:13742

27/04/05,18:47:29 D-100 'Block : All other packet' 222.88.173.5 UDP Ports Dest:1026 Src:25594

27/04/05,18:55:14 D-101 'Block : All other packet' 61.152.158.122 UDP Ports Dest:1026 Src:52071

 

apparement ce sont des tentatives de spam par le service d'affichage des messages

 

Celui là, il y a longtemps qu'il est désactivé, connaîssant les largesses de Billou pour refiler nos adresses et faire véroler nos PC il était fermé dès l'install du PC.

Modifié le 27 avril 2005 par megataupe

[Invité tesgaz]

Salut mégataupe,

 

 

en supplément

bloques directement les ip dans ton firewall

surtout que ce sont souvent les mêmes dans les même plages