ADSL-BC

[misterpascal]

bonjour

je suis chez 9 telecom en adsl 512 k (france)

ma question :
même si je n'ai aucune application ouverte (MIE xplorer ou outlook) je constate souvent une entrée sortie d'octets via mon modem
alors je me dit qu'il doit y avoir un cheval de troie sur mon pc !
mais aucune trace !

mais c'est peut-être 9telecom - mon FAI - qui envoie et reçoit des octets ? bizarre, non ?

y a t il des abonnés à 9 telecom qui constatent la même chose sur leur machines ?

par principe ça m'ennui que quelqu'un accède à mes fichiers.

je viens d'installer zone alarm mais ne le connais pas encore très bien.
toutefois, si j'applique un verrou en entrée (reception), quelque chose/ quelqu'un continue d'envoyer des octets (une "requete ?") sans fin.

quelqu'un a t-il une idée ?

au fait je précise : c'est pas systématique, cette circulation d'octets en boucle).

???

[Godz]

Je risque de dire des conneries mais l'un des faits qui provoque des entrées/sorties d'octets c'est que ton modem doit bien envoyer des informations a ton provider pour maintenir la connection active et inversement ton provider teste ta connection pour voir si tu est toujours derriere.

Ceci pourrait etre une des explications

[Invité]

oui, bien sûr, j'y avais pensé aussi.
le problème c'est que quand ça se produit c'est sans fin.
je veux dire que si je ne coupe pas la connection ça dure plusieurs minutes. alors je crains qu'il n'y ait un hacker qui pompe mes fichiers perso.

c'est bizarre n'est-ce pas ?

chez 9 telecom ils m'on dit -hot line - qu'il n'y a pas d'échanges d'octets normalement, et lorsque j'étais abonné chez free je ne me souviens pas d'avoir ey genre de truc.
(là maintenant ça ne le fait pas)

j'ajoute aussi que j'ai des soupçons parce que j'ai eu des bizarreries après m'être connecté sur un site (le site du film terminator 3 ! faites gaffe)
mais je ne trouve rien avec mon anti-virus, ni même en cherchant "à la main" des fichiers *.exe ou *.com recement crées.

etrange.

[misterpascal]

zut ! c'était moi

[Godz]

et si tu mettais un firewall pour voir avec precision quel programme non autorisé par toi essaye de se connecter au net (et voir quel ports il utilise eventuellement) ?

EDIT : Autant pour moi j'avais pas vu que t'avais mit ZA comme firewall .. mais son utilisation (pour rester simple) est basic : des qu'un prg tentera une connection, ZA te demandera une autorisation .. comme ca tu verras si un prg suspect tente une sortie

[misterpascal]

bonne idée.
maintenant le problème c'est que za donne seulement une adresse ip.
que puis-je faire ?

[misterpascal]

ex de message de za :

The firewall has blocked internet acces to your computer (TCP Port 4662) from 80.14.48.16 (TCP port 3965) [TCP Flags: S].

[misterpascal]

je viens de voir que zone alarm me permet d'acceder à "l'historique" des alertes.
et je constate qu'il y a une colonne intitulée DNS, dans laquelle je trouve des libellés commencant par AStrasbourg... ou bien AToulouse... (suivi de chiffres à chaque fois)
Tiens, un exemple : "ALAgny-108-1-2-160.w90-(..) abo.wanadoo.fr"
(…) : je coupe pour ne pas indiquer l'adresse exacte . une adresse d'abonné vraisemblablement, donc, ce qui aurait tendance à me rassurer.

et si c'était des requêtes de "Kazalite" ou autre qui essaieraient de voir si mon kazaa est activé ?

si quelqu'un a une idée. merci.

Mais au fait : comment des abonnées de Kazaa ou autres pourraient-ils solliciter mon PC si mon adresse IP est différente à chaque session et surtout si je ne charge pas Kazaa ? je ne pige pas. Et est-ce bie ça ?

vu l'heure tardive, je me doute bien que je ne risque pas de trouver
grand monde à cette heure ci, et que même toi, Godz, tu as du allé te coucher
A+

[RippeR]

ex de message de za :

The firewall has blocked internet acces to your computer (TCP Port 4662) from 80.14.48.16 (TCP port 3965) [TCP Flags: S].

Emule ou Edonkey : soit tu l'as utilisé récemment, soit tu as hérité de l'IP dynamique d'un utilisateur précédent.

Pas un problème.

[misterpascal]

ah d'accord.

mais c'est quoi une "ip dynamique"
et puis connais tu un moyen pour que je m"en libere ?
je suppose que je dois avoir un fichier quelque part qui me connecte à un reseau, non ? puisque logiquement mon adresse ip change à chaque session, si je ne me trompe pas.

(j'utilise seulement kazaa lite de temps à autres)


merci

[misterpascal]

j'avais installé e-mule et e-donkey il y a plusieurs mois... mais j'ai peut-être encore un fichier qui traine quelque part quand je restaure mes fichiers je ne sais pas (je sauvegarde sur un autre disque et restaure en cas de plantages, virus...)

[misterpascal]

Attends !
je me demande si ça ne viendrais pas de "speedup" ! que j'ai telechargé il y a peu.
ça permet d'optimiser (plus ou moins) les telechargements de kazaa.


-> Non : en tout cas je l'ai désinstallé via le prog unistall joint, et le problème demeure.
Grrrr !

ce truc m'enerve, et il faut que je trouve !

mon disque crépite sans cesse : c'est dû aux accès via le modem, qui sont refoulés par ZAlarm (entrée d'octets, mais aucune sortie) et c'est continu.
je pourrais désactiver zalarm, mais je prefere pas. j'aime bien l'idée de savoir qui essaie d'entrer le cas échéant sur mon pc. on ne sais jamais.
c'est 'ailleurs grâce à Za ( et à l'aide de ripper) que je peux comprendre ce qui ce passe. c'est bien.

[RippeR]

ah d'accord.

mais c'est quoi une "ip dynamique"
et puis connais tu un moyen pour que je m"en libere ?
je suppose que je dois avoir un fichier quelque part qui me connecte à un reseau, non ? puisque logiquement mon adresse ip change à chaque session, si je ne me trompe pas.

(j'utilise seulement kazaa lite de temps à autres)


merci

Par opposition à une IP fixe : elle t'es attribuée dynamiquement par ton ISP à chaque connexion et/ou changée après un laps de temps déterminé.(24 ou 36 h selon les ISP).
Aucun fichier ne te connecte au rezo : c'est du IN : des machines de l'extérieur qui essaie de d/l des fichiers depuis ton IP croyant que Emule ou Edonkey tourne sur ta machine. Comme tu es en mode stealth (blocked) les postes distants ne reçoivent pas de réponse et continuent des probes et les packets envoyés sont ignorés. Tu ne peux pas y faire gd chose, ça prouve simplement que ZA fait son boulot convenablement.
Je n'utilise pas ZA, certains FW te permettent de changer provisoirement la réponse sur un port déterminé en CLOSED : les machines extérieures sauront alors que le service est fermé et cesseront d'essayer de s'y connecter.
Rine ne t'oblige à avoir un popup d'alerte à chaque probe, tu peux simplement loger l'évènement ou peut-être même configurer ZA pour ne pas loger les probes sur ce port particulier.

Inoffensif, ne t'en préoccupe pas, c'est normal. Idem pour le port 1214 (Kazaa)

Tu epux aussi rebooter : l'a nouvelle adresse n'aura peut-être pas servi à un utillisateur de P2P.

Liste des ports : http://www.iana.org/assignments/port-numbers

[misterpascal]

Merci Ripper.
ee vais essayer étudier la question de plus près.

quand je reboot ça continue. probablement que mon ip ne change que toutes les x heures comme tu disais.

Mon FAI ne me ping apparamment pas toutes les 5 secondes, je l'aurais vu avant.
c'est 9 tel. ils déconnectent après 24 heures de connection ininterrompue d'après la hot line.

au fait : là ça l'fait moins. "19 bloquages" par zalarm, et plus rien apparament.

Savez-vous ce que ZA appelle une "alerte de niveau elevé" ?
hier : 1288 alertes, dont 21 "de niveau elevé".

[misterpascal]

désolé, je pose une question et puis je donne la réponse après.
j'aurais du regardé avant.
-> les rares alertes claséees de "niveau elevé" par ZAlarme ce sont les appels de mon FAI.

les utilisateurs de ZA doivent connaitre tout ça par coeur j'imagine.
encore merci pour tes réponses mister Ripper.

A+

[davidbc]

quel type de modem as-tu ? Et dois-tu lancer une connexion via un icone pour te connecter à internet ?
Si non tu dois aussi éteindre ton modem (qui peut être routeur) et qui donc en fait garde la connexion ! Et donc ton IP !

ce que je te conseille c de faire sous dos un "IPCONFIG /ALL" et tu repère ton IP puis tu reboot et retest ! tu verras si l'IP change ou pas !

[misterpascal]

merci pour tes indications.

j'avais opté pour un modem interne bewan adsl sur mon vieux pc - pentium 233 mh sous win98se - c'est pas trop cher et ça marche tres bien. pas besoin de plus pour le moment.
il est donc detecté au démarrage.
donc une fois "synchronisé" sur le reseau adsl (un icone me le signale), j'ai juste à me connecté au ordis de mon FAI.

j'ai regardé ZAlarm d'un peu plus près. je vois d'ailleurs que c'est assez simple d'utllisation, et qu'y'a pas 36000 options

effectivement l'adresse IP change quand je reboot.
ZA indique, dans le tableau "alertes et historique", pour chaque blocaque 'd'intrusion' l'adresse d'origine et celle de destination (càdire mon adresse ip chez mon FAI)
je peux aussi reperer, donc, les quelques interventions - bloquéees aussi forcement - émanant du FAI.

mais le problème est que j'ai de plus en plus souvent ces requêtes, malgré un reboot.
sans faire de parano, je me demande si c'est pas une mini vengeance de mon FAI. hahahahahahaha !
en effet j'ai eu un contentieux avec eux ...
je ne sais pas.

Comment puis-je stopper ce truc si ça continue ? une idée ?
d'ailleurs rien que par principe ça m'enerve.

y a pas de raisons que je me retrouve en réseau avec d'autres ordis si je ne le veux pas, n'est-ce pas. et mon disque dur est tout le temps en train de crépiter.

A+

[RippeR]

merci pour tes indications.



effectivement l'adresse IP change quand je reboot.
ZA indique, dans le tableau "alertes et historique", pour chaque blocaque 'd'intrusion' l'adresse d'origine et celle de destination (càdire mon adresse ip chez mon FAI)
je peux aussi reperer, donc, les quelques interventions - bloquéees aussi forcement - émanant du FAI.

mais le problème est que j'ai de plus en plus souvent ces requêtes, malgré un reboot.
sans faire de parano, je me demande si c'est pas une mini vengeance de mon FAI. hahahahahahaha !
en effet j'ai eu un contentieux avec eux ...
je ne sais pas.

Comment puis-je stopper ce truc si ça continue ? une idée ?
d'ailleurs rien que par principe ça m'enerve.

y a pas de raisons que je me retrouve en réseau avec d'autres ordis si je ne le veux pas, n'est-ce pas. et mon disque dur est tout le temps en train de crépiter.

A+

'lut,

Il n'y a pas de problème du tout : tonFW fait son boulot et ton FAI le sien : les "intrusions" sont certainement le keep alive de ton ISP.

Tu ne nte touves bien évidemment pas en rezo avec d'autres postes !

Soit tu apprends à mieux comprendre les protocoles de transferts (principalement TCP/IP) et le paramétrage de ton FW soit tu négliges ces alertes tout à fait normales et que tu ne comprends pas
Ton FW fait son boulot, c'est tout.

[misterpascal]

le "keep alive de mon osp "
c'est quoi ?

tu veux dire la vérification par mon FAI que je suis toujours connecté, que je me sers de la connection ?
si c'est ce que tu veux dire non. c'est pas ça. j'en suis sûr et certain.
je n'avais pas ça avant, et d'ailleurs si je me déconnecte et me reconnecte ça s'interromps parfois.
regarde, c'est simple : (je suis un ex programmeur... et j'ai une certaine curiosité) j'ai regardé parfois si mon "icone de connexion cligontait", c'est à dire si il y a du traffic malgré que je n'ai aucun prog ouvert.
et bien ça s'est produit effetivement et depuis quelques jours seulement.
c'est pour ça que j'ai telechargé zone alarm - qui fait son boulot correctement certes.

mainteanant j'aimerais trouver le moyen d'être ignoré par tous ces ordis qui m'envoient des "requetes", tu vois ? (là mon disque dur crépite encore, because il reçoit sans arrêt des "requêtes" mais refuse d'y répondre. j'ai bien compris que c'est sans danger, mais ça m'énerve quand même. parce que si je vire la protection de za, ok, y aura plus de problème, mais le compteur d'octets va continuer à tourner (et l'icone à clognoter régulièrement). alors comment ferais-je la défférence avec une éventuel hacker un jour ? [je pouurrais regarder la vitesse du traffic (faible, ici) ... mais quand même ça m'agace]

ok. j'ai pas de docs top secrets classés défense nationale sur ma bécane, mais par principe ça m'ennui.

t'as pas une idée pour moi ?

[RippeR]

mainteanant j'aimerais trouver le moyen d'être ignoré par tous ces ordis qui m'envoient des "requetes", tu vois ? (là mon disque dur crépite encore, because il reçoit sans arrêt des "requêtes" mais refuse d'y répondre. j'ai bien compris que c'est sans danger, mais ça m'énerve quand même. t'as pas une idée pour moi ?

Hello, il n'y a aucun problème comme déjà signalé ! Ton FW fait son boulot, c'est tout.

J'ai jeté un oeil aux logs de ZA que tu m'as envoyés :

La majorité des probes sont sur le port 4662 (Edonkey) : tu as déjà eu l'explication.
Une partie sur le 1214 (Kazaa) et 1274 probablement l'adresse d'un serveur qq qui était à l'adresse que tu as héritée.

QQ probes sur le port 135 dû à des machines infectées par lovesan, qq uns sur le port 137 : tentative d'envoi d'un popup du service d'affichage des messages, qq uns sur le 139 etc...

Rien que de très normal comme tout le monde.

Il n'y a rien à faire : ton FW fait son boulot convenablement, c'est tout, absolument rien d'alarmant, aucun scan d'une range de port sur ta machine : aucun problème.
Rine de spécial non plus en OUT: quelques tentatives de sortie de OE, sans doute pour valider ton IP auprès d'un spamer lors de la réception d'un msg en htlm (webbug ou cookie traceur) ou aller charger une image embedded (balise src avec une adresse) sur le web bloquées.

Tout est okay