Reprise du message précédent :

CK Ze CaRiBoO a écrit a écrit :   ben ton mail de départ devait comporter ça au moins : [mode je fais croire que je suis trés nrv] j'me fais scanner... etc... il cherche une faille... pour me hacker.... sans arrêt.... ça m'casse les couilles.... ça dure depuis 2 jours... il avait cette ip à cette heure là (avec un screen des tentatives d'intrusions, oublie po le GMT) ça peut pas durer il va finir par violer la confidentialité de mes données etc... fais un mail bien torché kwa                                                                                     ou porte plainte pour non assistance à photos de cul en danger

 
merde où sont passées les photos de ma femme    

moi, je conseillerais de donner ton ip, son ip, les heures de début et de fin (en expliquant bien que tu t'es déconnecté exprès), et d'expliquer que tu n'utilises pas kazaa (paske sinon c normal)

 
oui oui j'ai fait le nécessaire

on en veut absolument à mon port 1214 ca n'arréte pas sous plein d'ip différentes
 
et pourtant je n'ai pas kazaa

Fait une règle de firewall du type
 
Si paquet IP arrive sur port 1214, drop paquet.

je confirme j'ai pas changer d'ip depuis le 10 mars (la dernière fois que j'ai rebooter)

g loggué exprès pour voir, et en fait, c pareil chez moi (ip adsl CI). bcp de tcp entrant port 1214 depuis pleins d'ip diff., mais pas de systématisation comme ton ip d'hier.
ça semble être à la mode tt simplement  
EDIT : à part qqes octets non voulus sur ma bande passante en d/l, ça ne me touche pas outre mesure.

[jfdsdjhfuetppo]--Message édité par Pnar le 03-05-2002 à 10:31:02--[/jfdsdjhfuetppo]

Pnar a écrit a écrit :   g loggué exprès pour voir, et en fait, c pareil chez moi (ip adsl CI). bcp de tcp entrant port 1214 depuis pleins d'ip diff., mais pas de systématisation comme ton ip d'hier. ça semble être à la mode tt simplement   EDIT : à part qqes octets non voulus sur ma bande passante en d/l, ça ne me touche pas outre mesure.

 
oui là je me pose des questions, je pense que cet exploit du port 1214 est courant ca fait flipper
j'ai fait une régle spécifique pour ce port bloquant son accés directement et je me rend compte que ca n'arréte pas
je suis heureux de voir que je ne suis pas le seul dans ce cas ce qui ne m'étonne pas puisque j'ai scanné mon disque avec acp et il est absolument clean
 
yaurait moyen de faire nier l'existence de ce port sous tiny personale firewall car là j'ai fait une régle de deny tout simplement?

Eh les mecs, etudiez un peu le principe de fonctionnement des protocoles reseaux et des traitements distribués avant de faire n'importe quoi. Peu importe que tu n'ais pas Kazaa, tu vas être scannés sur le port 1214. C'est tout simplement des serveurs Kazaa qui se cherchent, et c'est NORMAL, le protocole est fait comme ça, c'est pas du piratage!!!
D'ailleurs tu devrais aussi être scannés sur le port 4661 (si je ne me trompe pas) c'est edonkey qui a le même principe de fonctionnement.
C'est normal, c'est PAS du piratage. Il faut arreter d'être parano !!!
Le scan de ports ce n'est pas du piratage.

 
attends si tu avais lu plus haut tu aurais compris qu'il y a des questions à se poser
un type qui reste sur toi pendant plus de 24h tu trouves ca normal
et si mon port 1214 était ouvert ils feraient quoi à ton avis?
 
 
et puis je comprends pas trop le fait que kazaa s'intéresse à ce port alors que je ne l'utilise pas là j'aimerai comprendre

si quelqu'un pouvait regarder sans avoir edonkey de lancé ou d'installé s'il constate des requétes TCP sur le port 4662 ce serait intéressant

 
effectivement tu te stresses pour rien , ca arrives tout le temps.
perso j'ai eu pendant 3 mois environ , une alerte de trafic routé par ma machine. rien de bien grave en fait
les scans sont incessants, et effectivemtn des fois ils insistent pendant de longues semaines.
la plupart du tps c'est simplement des connexions intempestives de serveurs mal configurés

[jfdsdjhfuetppo]--Message édité par boumbastic le 03-05-2002 à 13:10:13--[/jfdsdjhfuetppo]

 
non non je ne m'inquiéte pas tant que ça j'aimerai juste comprendre pkoi on en veut à mon port 1214 c'est tout

moi j'arrete pas de me faire scanner le port 1214 aussi....

 
tu as kazaa?

 
non pas du tout!

euh...
 
[mode HS ON]
Les echo storm, c'est chiant ou non ???
Des groupes de 5 ou 6 IP me font régulièrement des echo storm. C'et 2 ou 3 fois par jour et les IP sont toujours différentes (mais commencent pareilles), et ils sont lancés à 2 ou 3 min d'intervalles.
 
D'autres part, dans l'observateur d'évènement win2k, je vois au même moment des tentatives de connnexion system (en échec)
[mode HS OFF]

[jfdsdjhfuetppo]--Message édité par _ftbx_ le 03-05-2002 à 13:16:27--[/jfdsdjhfuetppo]

heu, c koi un echo storm ? bombardement d'Echo Request ?
 
EDIT : c pas du hors sujet tt ça. avec la généralisation de l'adsl, un jour viendra où tout ces traffics de merde nous pourrirons nos lignes.

[jfdsdjhfuetppo]--Message édité par Pnar le 03-05-2002 à 14:09:02--[/jfdsdjhfuetppo]

Oui effectivement c'est l'utilisation d'echo request.
De part mes faibles connaissances, une trame echo (typiquement utilisé par Ping et autres) ne fait que quelques bits.
Dans le cas de l'echo storm, il me semble que cette trame est truandée pour avoir une taille bien plus importante. En balançant quelques trames comme ça, tu corrompt la réponse de la machine. Après, c'est le mystère pour moi .... Est-ce que tu peux profiter de la surcharge provoqué par un echo storm pour utiliser un autre port
 
 
EDIT:  
 
Pour les intéréssés, j'ai trouvé ça : http://minimum.inria.fr/~raynal/index.php3?page=406

[jfdsdjhfuetppo]--Message édité par _ftbx_ le 03-05-2002 à 16:12:41--[/jfdsdjhfuetppo]

sinon pas de nouveau pour le port 1214?

POUR SAVOIR..

et ca continue encore et encore c est que le debut d accords d accords .......

chez moi les accords continue et chui pas d'accord    
 
de nouvelles ip tentent de pénétrer mon intimité informatique c trés génant  

kaltan1 a écrit a écrit : de nouvelles ip tentent de pénétrer mon intimité informatique c trés génant

Tant qu'il n'essaye pas de faire des finger dans ton intimité

_ftbx_ a écrit a écrit : Tant qu'il n'essaye pas de faire des finger dans ton intimité

 
   
 
mais bon chui pas le seul concerné donc à l'échelle de la planéte ca s'apelle une partouze  

je connais pas grand chose au protocoles de kazaa/edonkey mais j'ai moi aussi un grd nombre de requests sur les port 1214 et 4661 .. mais avant de crier au hacker quand la fenetre de votre firewall vous dit qu'un mechant nacker a scan 1 port reflechissez un peu, l'hypothese d'un exploit sur ce port est vraiment peu probable (de plus la meme ip ne vous scannerait pas 24/24, c un peu inutile), et de toutes facons, si vous n'avez pas le prog derriere ...
 
ptet que :  
 
1) vous aviez kazaa/edonkey installé, des fichiers partagés, et le mec en face a cherché a dl ce fichier et kazaa/edonkey a vu qu'il etait chez vous donc il essaie de se renseigner, mais vous n'avez plus kazaa/edonkey
 
2) quelqu'un avec votre ip avait kazaa/edonkey avec des fichiers partagés et des gens qui pompaient dessus, deco/reco vous vous retrouvez avec son ip et les clients qui pompaient continuent de chercher sur cette ip

donc kazaa et ses utilisateurs ne ciblent pas seulement ceux qui l'utilisent mais tous ceux qui sont connectés à internet
je trouve ca qd même con vu que je ne l'utilise pas
que me fasse une requéte une fois je veux bien mais que la même ip relance la procédure pendant plusieurs minutes c douteux    
 
d'autant que seul le port de kazaa est affecté et aucun autre alors que ce n'est pas le seul p2p que je sache
alors kazaa est-il mal concu ou s'agit-il de'utilisateurs malveillants cherchant à exploiter une faille?

kaltan1 a écrit a écrit : donc kazaa et ses utilisateurs ne ciblent pas seulement ceux qui l'utilisent mais tous ceux qui sont connectés à internet je trouve ca qd même con vu que je ne l'utilise pas que me fasse une requéte une fois je veux bien mais que la même ip relance la procédure pendant plusieurs minutes c douteux

ya des applis (le bot d'edonkey) qui se sont fait lynchées pour moins que ça      
 
EDIT : non, c le bot en fait  

[jfdsdjhfuetppo]--Message édité par Pnar le 03-05-2002 à 20:21:06--[/jfdsdjhfuetppo]

bah je continue à me faires scanner sur le port 1214
zonealarm me dit ça:
 
http://fwalerts.zonelabs.com/fwale [...] 2667b06cd2