[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [linux] Attack Alert
On Sun, Sep 09, 2001 at 11:34:03PM -0400, Marc Raeymaekers wrote:
> Le mercredi 5/9 j'installe une connection par le cable (chello d'UPC).
> Dès jeudi soir 22h30, je détecte des scan de ports. Il semblerait que dans un
> premier temps ce serait UPC qui synchroniserait le modem-cable.
> Mais depuis vendredi, il y a quelqu'un d'autre qui scan sur le port 123.
>
> Ce samedi, nouvelle découverte: deux autres essayent sur le port 1015.
> Renseignement pris, le port 1015 est utilisé par BackOrifice.
>
> Rien que pour ce dimanche:
>
> 1695 tentatives de scan sur le port 123
> 15 tentatives de scan sur le port 1015
>
> Ca commence drôlement à m'agacer, que puis-je faire ? Attendre passivement
> qu'ils arrêtent? Comment faire pour leur signifier mon mécontentement?
Je n'ai rien sur le port 123 ni 1015 (chez Wanadoo). J'ai pourtant un portsentry qui les vérifie. Il semblerait que ce soit fort lié à UPC... Par contre, j'ai qq scans sur le port 111.
Ceci dit, j'ai très souvent des attaques de Code Red. C'est inoffensif pour moi mais ça m'ennuye beaucoup. Ce sont d'ailleurs souvent les IPs voisines qui me scannent. Je suppose que c'est monsieur-tout-le-monde qui a une machine sous Windows 2000 avec un IIS qui ne s'est jamais demandé s'il n'aurait pas le virus. Ce n'est pas la peine de les attaquer mais je ne sais pas si mon ISP (Wanadoo) serait prêt à y faire qqc ni si ce qu'il ferait serait judicieux.
Les cas de pauvres petits vieux dont on pirate la machine, desquels on scanne un réseau et puis les petits vieux ont des emmerdes sont légions. (Je ne connais qu'un cas avec Skynet mais ils ont été franchement odieux).
De plus aujourd'hui, les ISPs exagèrent franchement avec leurs Acceptable Use Policies. Aujourd'hui, si votre ISP vous suspecte de scanner des ports et qu'il estime que c'est un crime, il peut vous déconnecter d'internet sans vous donner la moindre chance de vous justifier, sans aucune défense et sans le moindre respect de la présomption d'innocence. Nos ISPs se substituent ainsi à la justice sans respect des droits élémentaires des citoyens. C'est une situation dangereuse...
Bref, je laisse tourner portsentry avec un nettoyage occasionnel et je suis les patches importants. C'est tout.
Eric.
PS: Au fait, si qqn a eu des portscans de 195.95.13.131 vers 217.* (ADSL Wanadoo) sur le port 22 (ssh), c'était moi et c'était occasionnellement pour retrouver ma machine après des problèmes de dyndns.
[ Soyez précis dans vos sujets svp afin de déterminer directement ]
[ le type de demande... ]
[ Pour vous (dés)inscrire, aller sur http://unixtech.be/ml.php ]
[ Archives de la mailing list: http://archives.unixtech.be/linux/ ]
[ http://unixtech.be Contact: listmaster@unixtech.be ]