ADSL-BC

par **nunu** » 10 Jan 2002 20:42

Voila, zonealarm est fraichement installé depuis 2 jours sur ma machine. Jusque la pas de probleme, il marche nickel. Le hic est que je je recois un nombre incroyable d'alertes, pour la journée d'aujourd'hui j'en ai eu une trentaine. A chaque fois elle provienne d'ip différentes et quant je clqiue sur more, elles proviennet la plupart de skynet, et de différents bas (namu,bruxelles,...)
Est-ce normal, ou ai-je mal configué zonealarm?

par **tsunami** » 10 Jan 2002 20:57

Le 2002-01-10 19:42, nunu a écrit:
Voila, zonealarm est fraichement installé depuis 2 jours sur ma machine. Jusque la pas de probleme, il marche nickel. Le hic est que je je recois un nombre incroyable d'alertes, pour la journée d'aujourd'hui j'en ai eu une trentaine. A chaque fois elle provienne d'ip différentes et quant je clqiue sur more, elles proviennet la plupart de skynet, et de différents bas (namu,bruxelles,...)
Est-ce normal, ou ai-je mal configué zonealarm?

Serait-il possible d'avoir plus de détails sur ces alertes ?

Mais a priori, ces alertes n'ont rien d'anormal. Disposant moi même d'un firewall, je peux te dire que c'est tout à fait normal... Pour les 3 dernières heures, j'ai eu +/- 40 paquets éliminés par celui-ci.

La plupart du temps, il s'agit de virus qui tentent de s'infiltrer sur des serveurs webs ou de personnes qui scannent les machines à la recherche d'une faille par laquelle ils pourraient pirater un ordinateur. L'un comme l'autre est possible. Il n'y a pas à s'alarmer, c'est fréquent :smile:

par **Xavier** » 10 Jan 2002 22:05

Le 2002-01-10 19:57, tsunami a écrit:
Mais a priori, ces alertes n'ont rien d'anormal.

Quelles n'ai rien d'inhabituel, j'en convient... mais de la à admetre que ce sois normal, il y a un pas que j'hésite a franchir!

par **tsunami** » 10 Jan 2002 22:11

Certes, j'ai commit une erreur de vocabulaire... Mais c'est devenu tellement courant qu'il m'arrive de ne plus considérer cela comme anormal, sans signifier pour autant que ce soit normal :smile:

Quoi qu'il en soit, je ne pense pas me tromper en pensant que ca risque de se multiplier avec le temps...

par **nunu** » 10 Jan 2002 23:08

Exemple de log de zonealarm:
FWIN,2002/01/10,20:06:45 +1:00 GMT,217.136.117.131:1183,217.136.195.158:27374,TCP (flags:S)
FWIN,2002/01/10,20:08:35 +1:00 GMT,217.136.38.245:3352,217.136.195.158:80,TCP (flags:S)
FWIN,2002/01/10,20:12:40 +1:00 GMT,195.238.2.21:53,217.136.195.158:1029,UDP
FWIN,2002/01/10,20:12:41 +1:00 GMT,195.238.2.22:53,217.136.195.158:1029,UDP
FWIN,2002/01/10,20:12:43 +1:00 GMT,195.238.2.21:53,217.136.195.158:1030,UDP
FWIN,2002/01/10,20:12:44 +1:00 GMT,195.238.2.22:53,217.136.195.158:1030,UDP
FWIN,2002/01/10,20:12:56 +1:00 GMT,195.238.2.21:53,217.136.195.158:1032,UDP
FWIN,2002/01/10,20:12:57 +1:00 GMT,195.238.2.22:53,217.136.195.158:1033,UDP
FWIN,2002/01/10,20:12:57 +1:00 GMT,195.238.2.22:53,217.136.195.158:1032,UDP
FWIN,2002/01/10,20:13:00 +1:00 GMT,195.238.2.22:53,217.136.195.158:1034,UDP
FWIN,2002/01/10,20:13:13 +1:00 GMT,195.238.2.22:53,217.136.195.158:1035,UDP
FWIN,2002/01/10,20:15:20 +1:00 GMT,217.136.65.229:3780,217.136.195.158:80,TCP (flags:S)
FWOUT,2002/01/10,20:22:53 +1:00 GMT,217.136.195.158:1662,195.185.217.2:27960,UDP
FWOUT,2002/01/10,20:23:03 +1:00 GMT,217.136.195.158:1664,195.185.217.2:27960,UDP
FWIN,2002/01/10,20:29:15 +1:00 GMT,217.136.38.245:4504,217.136.195.158:80,TCP (flags:S)
FWIN,2002/01/10,20:44:40 +1:00 GMT,217.136.191.211:4262,217.136.195.158:80,TCP (flags:S)
FWIN,2002/01/10,20:49:13 +1:00 GMT,217.136.9.55:2660,217.136.195.158:80,TCP (flags:S)
FWIN,2002/01/10,20:52:32 +1:00 GMT,80.200.132.2:2944,217.136.195.158:1243,TCP (flags:S)
FWIN,2002/01/10,20:54:19 +1:00 GMT,217.136.141.117:137,217.136.195.158:137,UDP
FWIN,2002/01/10,20:55:23 +1:00 GMT,80.200.132.2:3277,217.136.195.158:1243,TCP (flags:S)
FWIN,2002/01/10,21:02:43 +1:00 GMT,80.200.147.106:2308,217.136.195.158:80,TCP (flags:S)
FWIN,2002/01/10,21:16:59 +1:00 GMT,217.136.175.170:2546,217.136.195.158:80,TCP (flags:S)
FWIN,2002/01/10,21:27:56 +1:00 GMT,217.136.26.198:2375,217.136.195.158:80,TCP (flags:S)
FWIN,2002/01/10,21:43:03 +1:00 GMT,24.132.180.233:0,217.136.195.158:0,ICMP (type:8/subtype:0)
FWIN,2002/01/10,21:47:33 +1:00 GMT,217.136.191.211:4003,217.136.195.158:80,TCP (flags:S)
FWIN,2002/01/10,22:00:57 +1:00 GMT,217.136.38.245:3692,217.136.195.158:80,TCP (flags:S)
FWIN,2002/01/10,22:03:44 +1:00 GMT,217.136.138.236:4527,217.136.195.158:80,TCP (flags:S)

par **nunu** » 10 Jan 2002 23:11

type,date,time,source,destination,transport
volia a quoi ca correspond j'avais oublié

par **tsunami** » 11 Jan 2002 18:18

Voilà ce qu'il en est pour les ports en question :

FWIN = Paquets d'internet vers ton PC
FWOUT = Paquets de ton pc vers internet

80 - Serveur web
Probablement un virus ou qqun qui cherche après un serveur web...

1243 - Backdoor Subseven
27374 - Backdoor Subseven 2.1
Un petit malin qui scannait le réseau à la recherche d'une potentielle victime

27960 - Théoriquement Quake 3...
D'après ton log, c'est une connexion sortant initiée par ta machine... Pe devrait tu débloquer ce port pour jouer à Q3 :smile:

Pour les ports de 1029 à 1035, je me trompes peut être mais je pense qu'ils sont souvent utilisés par windows NT lors de connexions IPC (Partage de fichiers win)

Bref, des grands classiques que tu reverras probablement pas mal de fois encore :smile:

par **nunu** » 12 Jan 2002 01:19

merci pour la reponse.

ADSL-BC

zonealarm

Qui est en ligne ?