ADSL-BC

un forum sur l'ADSL en Belgique
https://forum.adsl-bc.org/

zonealarm

https://forum.adsl-bc.org/viewtopic.php?f=18&t=2117

Page 1 sur 1

Message Publié : 10 Jan 2002 20:42
par nunu
Voila, zonealarm est fraichement installé depuis 2 jours sur ma machine. Jusque la pas de probleme, il marche nickel. Le hic est que je je recois un nombre incroyable d'alertes, pour la journée d'aujourd'hui j'en ai eu une trentaine. A chaque fois elle provienne d'ip différentes et quant je clqiue sur more, elles proviennet la plupart de skynet, et de différents bas (namu,bruxelles,...)
Est-ce normal, ou ai-je mal configué zonealarm?

Message Publié : 10 Jan 2002 20:57
par tsunami
Le 2002-01-10 19:42, nunu a écrit:
Voila, zonealarm est fraichement installé depuis 2 jours sur ma machine. Jusque la pas de probleme, il marche nickel. Le hic est que je je recois un nombre incroyable d'alertes, pour la journée d'aujourd'hui j'en ai eu une trentaine. A chaque fois elle provienne d'ip différentes et quant je clqiue sur more, elles proviennet la plupart de skynet, et de différents bas (namu,bruxelles,...)
Est-ce normal, ou ai-je mal configué zonealarm?


Serait-il possible d'avoir plus de détails sur ces alertes ?

Mais a priori, ces alertes n'ont rien d'anormal. Disposant moi même d'un firewall, je peux te dire que c'est tout à fait normal... Pour les 3 dernières heures, j'ai eu +/- 40 paquets éliminés par celui-ci.

La plupart du temps, il s'agit de virus qui tentent de s'infiltrer sur des serveurs webs ou de personnes qui scannent les machines à la recherche d'une faille par laquelle ils pourraient pirater un ordinateur. L'un comme l'autre est possible. Il n'y a pas à s'alarmer, c'est fréquent :smile:

Message Publié : 10 Jan 2002 22:05
par Xavier
Le 2002-01-10 19:57, tsunami a écrit:
Mais a priori, ces alertes n'ont rien d'anormal.


Quelles n'ai rien d'inhabituel, j'en convient... mais de la à admetre que ce sois normal, il y a un pas que j'hésite a franchir!

Message Publié : 10 Jan 2002 22:11
par tsunami
Certes, j'ai commit une erreur de vocabulaire... Mais c'est devenu tellement courant qu'il m'arrive de ne plus considérer cela comme anormal, sans signifier pour autant que ce soit normal :smile:

Quoi qu'il en soit, je ne pense pas me tromper en pensant que ca risque de se multiplier avec le temps...

Message Publié : 10 Jan 2002 23:08
par nunu
Exemple de log de zonealarm:
FWIN,2002/01/10,20:06:45 +1:00 GMT,217.136.117.131:1183,217.136.195.158:27374,TCP (flags:S)
FWIN,2002/01/10,20:08:35 +1:00 GMT,217.136.38.245:3352,217.136.195.158:80,TCP (flags:S)
FWIN,2002/01/10,20:12:40 +1:00 GMT,195.238.2.21:53,217.136.195.158:1029,UDP
FWIN,2002/01/10,20:12:41 +1:00 GMT,195.238.2.22:53,217.136.195.158:1029,UDP
FWIN,2002/01/10,20:12:43 +1:00 GMT,195.238.2.21:53,217.136.195.158:1030,UDP
FWIN,2002/01/10,20:12:44 +1:00 GMT,195.238.2.22:53,217.136.195.158:1030,UDP
FWIN,2002/01/10,20:12:56 +1:00 GMT,195.238.2.21:53,217.136.195.158:1032,UDP
FWIN,2002/01/10,20:12:57 +1:00 GMT,195.238.2.22:53,217.136.195.158:1033,UDP
FWIN,2002/01/10,20:12:57 +1:00 GMT,195.238.2.22:53,217.136.195.158:1032,UDP
FWIN,2002/01/10,20:13:00 +1:00 GMT,195.238.2.22:53,217.136.195.158:1034,UDP
FWIN,2002/01/10,20:13:13 +1:00 GMT,195.238.2.22:53,217.136.195.158:1035,UDP
FWIN,2002/01/10,20:15:20 +1:00 GMT,217.136.65.229:3780,217.136.195.158:80,TCP (flags:S)
FWOUT,2002/01/10,20:22:53 +1:00 GMT,217.136.195.158:1662,195.185.217.2:27960,UDP
FWOUT,2002/01/10,20:23:03 +1:00 GMT,217.136.195.158:1664,195.185.217.2:27960,UDP
FWIN,2002/01/10,20:29:15 +1:00 GMT,217.136.38.245:4504,217.136.195.158:80,TCP (flags:S)
FWIN,2002/01/10,20:44:40 +1:00 GMT,217.136.191.211:4262,217.136.195.158:80,TCP (flags:S)
FWIN,2002/01/10,20:49:13 +1:00 GMT,217.136.9.55:2660,217.136.195.158:80,TCP (flags:S)
FWIN,2002/01/10,20:52:32 +1:00 GMT,80.200.132.2:2944,217.136.195.158:1243,TCP (flags:S)
FWIN,2002/01/10,20:54:19 +1:00 GMT,217.136.141.117:137,217.136.195.158:137,UDP
FWIN,2002/01/10,20:55:23 +1:00 GMT,80.200.132.2:3277,217.136.195.158:1243,TCP (flags:S)
FWIN,2002/01/10,21:02:43 +1:00 GMT,80.200.147.106:2308,217.136.195.158:80,TCP (flags:S)
FWIN,2002/01/10,21:16:59 +1:00 GMT,217.136.175.170:2546,217.136.195.158:80,TCP (flags:S)
FWIN,2002/01/10,21:27:56 +1:00 GMT,217.136.26.198:2375,217.136.195.158:80,TCP (flags:S)
FWIN,2002/01/10,21:43:03 +1:00 GMT,24.132.180.233:0,217.136.195.158:0,ICMP (type:8/subtype:0)
FWIN,2002/01/10,21:47:33 +1:00 GMT,217.136.191.211:4003,217.136.195.158:80,TCP (flags:S)
FWIN,2002/01/10,22:00:57 +1:00 GMT,217.136.38.245:3692,217.136.195.158:80,TCP (flags:S)
FWIN,2002/01/10,22:03:44 +1:00 GMT,217.136.138.236:4527,217.136.195.158:80,TCP (flags:S)

Message Publié : 10 Jan 2002 23:11
par nunu
type,date,time,source,destination,transport
volia a quoi ca correspond j'avais oublié

Message Publié : 11 Jan 2002 18:18
par tsunami
Voilà ce qu'il en est pour les ports en question :

FWIN = Paquets d'internet vers ton PC
FWOUT = Paquets de ton pc vers internet


80 - Serveur web
Probablement un virus ou qqun qui cherche après un serveur web...

1243 - Backdoor Subseven
27374 - Backdoor Subseven 2.1
Un petit malin qui scannait le réseau à la recherche d'une potentielle victime

27960 - Théoriquement Quake 3...
D'après ton log, c'est une connexion sortant initiée par ta machine... Pe devrait tu débloquer ce port pour jouer à Q3 :smile:

Pour les ports de 1029 à 1035, je me trompes peut être mais je pense qu'ils sont souvent utilisés par windows NT lors de connexions IPC (Partage de fichiers win)

Bref, des grands classiques que tu reverras probablement pas mal de fois encore :smile:

Message Publié : 12 Jan 2002 01:19
par nunu
merci pour la reponse.
Le fuseau horaire est UTC+1 heure [Heure d’été]
Page 1 sur 1
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/