Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

ports vulnérables

strongh

Par strongh
dans Analyses et éradication malwares

 Partager

Messages recommandés

Greywolf Tera Power Extrem Member

Greywolf

Posté(e)
Posté(e)

TCP/UDP 161 et 162 sont utilisés pour SNMP qui est un protocole permettant de gérer des hubs, switchs, routeurs, modems,...

 

regarde si tu as moyen de désactiver ceci (ou du moins en provenance de l'extérieur) ou de vérifier que l'accès en est sécurisé.

http://christian.caleca.free.fr/snmp/

BaK Godlike Member

BaK

Posté(e)
Posté(e)

Hello messieurs,

 

merci pour la précision!

 

J'avais essayé cette option mais je ne vois pas quels chiffres comparer avec mes PID du gestionnaire de tâches...

 

Voilà un bout de ce à quoi ressemble un Netstat -an :

 

Active Connections

 Proto  Local Address		  Foreign Address		State
 TCP	0.0.0.0:445			0.0.0.0:0			  LISTENING
 TCP	0.0.0.0:1024		   0.0.0.0:0			  LISTENING
 TCP	0.0.0.0:2838		   0.0.0.0:0			  LISTENING
 TCP	0.0.0.0:21210		  0.0.0.0:0			  LISTENING
 TCP	127.0.0.1:1033		 0.0.0.0:0			  LISTENING
 TCP	127.0.0.1:1033		 127.0.0.1:1034		 ESTABLISHED
 TCP	127.0.0.1:1151		 127.0.0.1:1152		 ESTABLISHED
 TCP	127.0.0.1:1152		 127.0.0.1:1151		 ESTABLISHED
 TCP	127.0.0.1:6880		 0.0.0.0:0			  LISTENING
 TCP	192.168.1.101:139	  0.0.0.0:0			  LISTENING
 TCP	192.168.1.101:1024	 201.154.113.241:61133  ESTABLISHED
 TCP	192.168.1.101:1027	 69.22.163.105:6667	 ESTABLISHED
 TCP	192.168.1.101:1202	 217.197.191.91:19149   ESTABLISHED
 TCP	192.168.1.101:1486	 72.20.18.17:6667	   ESTABLISHED
 TCP	192.168.1.101:1829	 12.221.13.231:6881	 ESTABLISHED
 TCP	192.168.1.101:21210	86.140.16.199:4305	 ESTABLISHED
 TCP	192.168.1.101:21210	88.106.72.179:3297	 ESTABLISHED
 TCP	192.168.1.101:21210	88.106.113.166:64937   TIME_WAIT
 TCP	192.168.1.101:21210	130.49.115.61:2044	 TIME_WAIT
 TCP	192.168.1.101:21210	130.49.115.61:2109	 FIN_WAIT_1
 TCP	192.168.1.101:21210	132.162.242.250:57539  ESTABLISHED
 TCP	192.168.1.101:21210	142.163.137.106:1926   TIME_WAIT

 

Si je me trompe pas, il me manque ce 

 -o			Affiche l'identificateur du processus propriétaire associé à chaque connexion.

Pour avoir les infos que je recherche! Non? :-P

 

Re

 

Merci Greywolf pour ton lien! Très instructif, voilà ce que j'en ai retenu:

 

... Il y a enfin des informations dont le système ne se soucie pas obligatoirement, mais qui existent, remontées directement par le "firmware"[1], comme par exemple la température du processeur, la vitesse de rotation des ventilateurs. ...

... Dans tout ça, il y a une foule d'informations qui intéressent les administrateurs et dont ils aimeraient disposer à distance via le réseau. Il est clair que lorsque le parc contient plusieurs centaines de machines, c'est tout de même plus agréable de disposer de toutes les informations en temps réel et de façon centralisée. ...

... SNMP est exactement conçu pour répondre à tous ces besoins. ...

... L'administrateur, sur sa machine d'administration, dispose d'un outil dit "manager". C'est avant tout un client, dans la mesure où c'est lui qui envoie les requêtes aux divers agents SNMP du réseau. Il devra aussi disposer d'une fonction serveur, car il doit rester à l'écoute des alertes que les divers équipements sont susceptibles d'émettre à tout moment. ...

... Tous les équipements disposent d'un agent SNMP, la station d'administration dispose du "manager" ...

... Le Manager dispose d'un serveur qui reste à l'écoute, sur le port UDP 162, des éventuels signaux d'alarme. ...

... Chaque équipement que l'on voudra "manager" à distance devra disposer d'un agent SNMP. Cet agent est un serveur, c'est à dire qu'il reste à l'écoute d'un port particulier : le port UDP 161. ...

 

snmp28pt.gif

 

... Est-il nécessaire d'indiquer que, dans l'installation par défaut de l'agent SNMP de Windows XP, celui-ci racontera votre vie à n'importe qui ? N'installez pas SNMP sans savoir ce que vous faites et sans vérifier sa configuration par défaut... ...

Microsoft (Windows XP)

 

Allez dans le panneau de configuration :

 

* Ajout/suppression de logiciels,

* ajouter ou supprimer des composants Windows,

* sélectionnez "Outils de gestion et d'analyse",

* cliquez sur "Détails",

* cochez "SNMP (Protocole simplifié de gestion de réseaux)"

 

Le reste de l'article rentre beaucoup trop dans le camboui pour moi... :P

 

Il en ressort que:

 

- J'utilise un modem routeur

- Le service SNMP n'est pas installé sur ma machine

 

-> faut-il que j'installe ce service :-( pour contrôler qui se sert de ces 2 ports? A mon avis c'est juste mon routeur mais bon... :P

 

 

Merci pour vos lumières, a+

Greywolf Tera Power Extrem Member

Greywolf

Posté(e)
Posté(e)

ces 2 ports en écoute le sont plus que probablement sur ton routeur. Il serait judicieux de voir s'il est possible de limiter l'écoute uniquement sur l'interface LAN et non plus sur l'interface WAN, comme cela semble être le cas => direction la doc du routeur ou l'interface d'administration

Greywolf Tera Power Extrem Member

Greywolf

Posté(e)
Posté(e)
RTFM!

 

plus ou moins oui :P mais au moins tu sais quoi chercher :P

 

Les ports marqués en STEALTH ou FILTERED sont sans danger c'est bien juste

 

oui et non, les requêtes effectuées sur ces ports restent sans réponse; si on scanne de façon basique uniquement ces ports, on a pas moyen de savoir s'il y a une machine ou non de l'autre côté.

Mais il suffit d'un seul port non masqué pour le savoir...

=> ton IP apparait comme un gros trou noir pour tous les ports sauf 161 et 162; on sait donc qu'il existe une machine en fonctionnement à cette IP, qu'elle dispose d'un dispositif de filtrage, etc etc...

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...