attaque de mon ordi, via une adresse ip

[richard 31]

bonjour a tous,
je suis confronté a une attaque systématique depuis plusieurs jours, que norton bloque (heureusement) concernant un ver,
je ne suis pas trop inquiet, mais vu mes compétences en informatique (trop proche du zéro pointé, ben oui j'ai honte),
si l'on pouvait m'en dire plus sur la méchanceté de cette attaque, surtout dans quel but??,
je ne possède aucun secret d'état et rien de négociable financièrement:
voici une copie partielle de ce que norton bloque:

Citation:

Catégorie: Détection des vers
Date,Message,Détails
30/04/2006 10:52:12,Intrusion : HTTP MS IIS NTLM ASN1 BO.,"Intrusion : HTTP MS IIS NTLM ASN1 BO. Intrus : 82.255.73.47(4077). Niveau de risque : Elevé. Protocole : TCP. IP attaquée : BLAZIN(82.254.141.165). Port attaqué : http(80)."
30/04/2006 10:52:12,Intrusion détectée et bloquée. Toutes les communications avec 82.255.73.47 seront bloquées pendant 30 minutes.,Intrusion détectée et bloquée. Toutes les communications avec 82.255.73.47 seront bloquées pendant 30 minutes.

par avance ,merci,

[Cyrrus]

Bonjour Richard,

Je ne crois pas du tout à une attaque, pour moi c'est juste free (ton FAI ? ) qui scanne parfois ces clients, sans aucune mauvaise intention (c'est...je crois, pour des raisons techniques).

Voilà en tout cas ce que me donne le Whois :

Citation:

82.248.0.0 - 82.255.255.255
Proxad / Free SAS
Dynamic pool (IP/ADSL)
NCC#2005090519

Bonne soirée
Cyrrus

[richard 31]

re,
merci cyrrus
, norton donne cela comme un risque élevé, d'ou ma réaction,
effectivement je suis chez free,

je dois parametrer quelque chose, ou rien faire??

pour le moment je n'ai que validé , le fait de ne plus me prévenir de ces attaques,
son message commencait a me gonfler, cela se produit de multiples fois par jour,
je n'ai pas voulu mettre tout le rapport mais s'il le faut je peux, car les adresses ip ne sont pas toujours identiques,
mais la mienne n'est pas fixe non plus, étant en re-adsl

faut dire que je ne suis pas une flèche dans ce domaine

merci encore et bonne soirée

Citation:

(c'est...je crois, pour des raisons techniques).

ils peuvent surveiller ce qu'ils veulent, rien a me reprocher, j'ai pas de prog pour téléchargement, m'en fout

[overmind]

C'est une pool dynamique, il vérifient peut être simplement de temsp en temps si l'IP est occupée ou pas...

De toute façon certains IDS sont tellement paranos qu'ils considèrent un ping comme une attaque...

[richard 31]

re,
ben merci overmind
, au moins ce soir je serait un tout petit peu moins ignare en informatique , quand a leur stat a mon sujet, y a une adresse qu'ils ont du remarquer,
c'est celle de futura

[JPL]

Ce que je trouve de curieux, c'est de titilller le port 80, et que le log fasse référence à ISS (comme si on recherchait ce type de serveur sur la machine), au protocole d'identification propriétaire Microsoft NTLM, et à ASN.1. Pour moi ce log reste un peu étrange.

[richard 31]

bonsoir,
je me retrouve aujourd'hui avec 2 attaques de ce type a présent:

Citation:

Détails : Tentative d'intrusion "MS ASN1 Integer Overflow TCP" contre votre ordinateur détectée et bloquée.
Intruder: 82.251.123.7(4645).
Niveau de risque : Elevé.
Protocole : TCP.
IP attaquée: BLAZIN(82.251.123.241).
Port attaqué : netbios-ssn(139).
Cliquez sur l'adresse pour tracer l'auteur de l'attaque.

cela est toujours un peu parano???
pas trouvé ou il fallait cliquer pour trouver l'adresse de l'auteur,
ben comme d'habitude je rame

[richard 31]

re,
la nuit dernière un scan de norton a été lancé,
résultat ce matin, ecran bleu, ordi planté, redemarrage sans soucis , mais pas de rapport de scan,
ayant un onduleur, pas de coupure de courant possible, rien de ce genre signalé, par le logiciel, mis a part cela tout baigne
du moins en apparence,
pourvu que ça duuuuuurrrre!!!!!!!!!!
j'espère ne pas trop vous ennuyer avec mes petits soucis, cela est peut-être anodin, mais mieux un qui sait....

[overmind]

Cette faille date de 2004, j'espère que tu as patché depuis...
Si c'est le cas tu peux dormir sur tes deux oreilles...

[synthexe]

Bonjour tout le monde ...

La 2eme attaque provient aussi de Free, meme plage d'adresse IP que la précédente; le WhoIs :

Citation:

inetnum: 82.248.0.0 - 82.255.255.255
netname: FR-PROXAD-ADSL
descr: Proxad / Free SAS
descr: Dynamic pool (IP/ADSL)
descr: NCC#2005090519

richard, tiens-nous au courant, savoir si un scan complet de ta machine la plante encore ...

Bonne journée a tous ...

[richard 31]

bonsoir,
hier nouveau scan, aucun soucis, il n'a rien a signaler, donc, pourquoi le bug précédent?? les mystères de l'informatique,
ben a présent je dormirai tranquille merci a tous

[Cyrrus]

Bonsoir à tous,

Citation:

pourquoi le bug précédent??

Hmmm de quoi ? Le plantage de Norton ? Ne t'inquiete pas, c'est sa marque de fabrique

Bizarre quand même qu'il soit aussi parano...sans doute reconnait il les protocole utilisé et non le reste, je pense que cela vient de cela.

Bonne soirée
Cyrrus

[yoda1234]

Citation:

Envoyé par Cyrrus

Hmmm de quoi ? Le plantage de Norton ? Ne t'inquiete pas, c'est sa marque de fabrique

Bonsoir
mauvaise langue!!!

[Cyrrus]

Bonsoir,

Citation:

Bonsoir
mauvaise langue!!!

Meuuuh non ! Juste une déduction empirique

Cyrrus

[synthexe]

Bonsoir le zamis,

mdr .... rien d'autre a ajouter

[richard 31]

re,
ben non pas spécialement inquiet je pense avoir trouvé la raison du plantage, cela se produit si je laisse la connexion re-adsl ouverte, (plantage a chaque fois), il doit pas apprécier cela