Analyse De Ports Détectée

Bonjour à tous,


Aujourd'hui même, alors que j'étais sur des sites de confiance, mon par-feu s'est octroyé quelques frayeur !


En effet, on a probablement scanné les ports de ma machine. Voici l'alerte :


alerte10.png


J'ai fait des recherches sur cette adresse IP, qui est bien sûr étrangère, voilà ce que j'ai trouvé :


http://whois.domaintools.com/222.136.98.98


Je vous avoue être un peu inquiet ! Certes, ce scan a été bloqué mais bon..


Si quelqu'un peut me rassurer, il sera le bienvenu ^^


Cordialement,

Réponses

  • Bonjour à tous,


    Aujourd'hui même, alors que j'étais sur des sites de confiance, mon par-feu s'est octroyé quelques frayeur !


    En effet, on a probablement scanné les ports de ma machine. Voici l'alerte :


    alerte10.png


    J'ai fait des recherches sur cette adresse IP, qui est bien sûr étrangère, voilà ce que j'ai trouvé :


    http://whois.domaintools.com/222.136.98.98


    Je vous avoue être un peu inquiet ! Certes, ce scan a été bloqué mais bon..


    Si quelqu'un peut me rassurer, il sera le bienvenu ^^


    Cordialement,


    Bonjour BleakNess,


    Ces sites de confiance, comme vous dites, vous n'avez encore jamais eu d'alertes?


    L'un d'eux a été infiltré? on ne saura pas.


    D'ailleurs, ils n'ont sans doute rien à voir.


    Votre PC a peut-être quand même été repéré (ce soir), mais si BD a bloqué l'analyse, c'est le principal.


    Cela m'arrive parfois d'avoir le message aussi.


    Je suppose que les sniffeurs écument la Toile entière...


    Par contre, je ne chercherai pas par Whois ou un autre logiciel à savoir qui est derrière tout çà.


    Pas plus que je ne réponds aux spams.


    Bonne soirée


    :)


    L.

  • Bonjour BleakNess,


    Ces sites de confiance, comme vous dites, vous n'avez encore jamais eu d'alertes?


    L'un d'eux a été infiltré? on ne saura pas.


    D'ailleurs, ils n'ont sans doute rien à voir.


    Votre PC a peut-être quand même été repéré (ce soir), mais si BD a bloqué l'analyse, c'est le principal.


    Cela m'arrive parfois d'avoir le message aussi.


    Je suppose que les sniffeurs écument la Toile entière...


    Par contre, je ne chercherai pas par Whois ou un autre logiciel à savoir qui est derrière tout çà.


    Pas plus que je ne réponds aux spams.


    Bonne soirée


    :)


    L.


    Bonsoir Lionet,


    J'étais sur Facebook par exemple à ce moment, et depuis pratiquement 2 ans que je suis sur Bitdefender c'est la 1ère fois que j'ai ce genre d'alerte.


    J'aime bien savoir à qui j'ai à faire, même si il y a de grande chance que ce soit juste un proxy et non la véritable IP du sniffeur.


    Merci pour votre interventions, je suppose que je peux dormir sur mes deux oreilles alors ?


    Bonne soirée =)

  • je suppose que je peux dormir sur mes deux oreilles alors ?


    A priori oui, mais franchement, je ne peux vous en assurer.


    D'après ce que j'ai pu lire sur le sujet ici et là, votre ordinateur a révélé sa présence, d'une certaine manière, puisqu'il a jugé bon de vous avertir, mais a bloqué l'analyse tout de même. C'est le principal...


    Le zigoto qui cherche une faille sur un port filera ailleurs, n'importe où dans le monde.


    En quoi l'I.P. du sniffeur vous servira-t-elle? A moins d'un procès (avec dépôt de plainte, requête au FAI, etc) vous ne connaîtrez pas l'identité.


    Vous semblez appeler Facebook un site de confiance? :o


    Bigre!


    J'ai toujours refusé de me greffer sur un réseau de ce type. Si quelque chose est bien risqué, c'est çà.


    En fait j'ai déjà assez de brèches avec d'autres logiciels de communication sans en rajouter avec Fessebouc ou LinkedId. Et ce ne sont pas les camarades de camarades de camarades de parfaits inconnus qui vont m'inciter à m'y joindre.


    Il doit y avoir de la littérature sur le sujet (détection de ports), sur internet, j'avoue ne pas trop m'y intéresser.


    Une personne compétente pourra vous répondre plus sûrement.


    Vous verrez bien quand vous aurez rebooté (normalement vous changez d'I.P. régulièrement, non?) si les attaques se renouvellent.


    Bonne soirée (ou bonne nuit)


    :)


    L.

  • Bonjour


    D'après ce que j'ai pu lire sur le sujet ici et là, votre ordinateur a révélé sa présence, d'une certaine manière, puisqu'il a jugé bon de vous avertir, mais a bloqué l'analyse tout de même. C'est le principal...


    Pas forcement, cela peut être un robot qui scanne à l'aveugle toutes les adresse ip dans une plage, lorsqu'il tombe sur une adresse ip il peut vérifier quels sont les ports ouverts et voir si certaines failles sont exploitables.


    Mais pas de panique bd évite ce genre de chose, la preuve.


    A contrôler également si le modem/routeur le permet, que le firewall du modem/routeur soit bien activé.


    Par exemple sur ma box j'ai ces options là qui sont activées.


    Détection de balayage des ports - Activé


    Détection d'IP flood - Activé


    Protection par pare-feu Activé


    Un autre petit conseil, si tu n'as pas l'utilité, dans la configuration de la connexion IP il faut désactiver "Client pour réseaux microsoft" qui est souvent source de problème de sécurité.


    Bonne après-midi

  • Bonsoir Lionet,


    J'étais sur Facebook par exemple à ce moment, et depuis pratiquement 2 ans que je suis sur Bitdefender c'est la 1ère fois que j'ai ce genre d'alerte.


    J'aime bien savoir à qui j'ai à faire, même si il y a de grande chance que ce soit juste un proxy et non la véritable IP du sniffeur.


    Merci pour votre interventions, je suppose que je peux dormir sur mes deux oreilles alors ?


    Bonne soirée =)

    bojour bleakness tu peut essayer check 1.3 pour savoir si ta securite reseau est excellente ou pas tape dans google check 1.3 prend le 1er bon courage et bon week end a toi.
  • En quoi l'I.P. du sniffeur vous servira-t-elle? A moins d'un procès (avec dépôt de plainte, requête au FAI, etc) vous ne connaîtrez pas l'identité.


    Simple réflexe, je vais pas porter plainte pour un scan de port sinon je suis pas sorti de l'auberge !


    Vous semblez appeler Facebook un site de confiance? :o


    Bigre!


    J'ai toujours refusé de me greffer sur un réseau de ce type. Si quelque chose est bien risqué, c'est çà.


    En fait j'ai déjà assez de brèches avec d'autres logiciels de communication sans en rajouter avec Fessebouc ou LinkedId. Et ce ne sont pas les camarades de camarades de camarades de parfaits inconnus qui vont m'inciter à m'y joindre.


    Il doit y avoir de la littérature sur le sujet (détection de ports), sur internet, j'avoue ne pas trop m'y intéresser.


    Une personne compétente pourra vous répondre plus sûrement.


    Vous verrez bien quand vous aurez rebooté (normalement vous changez d'I.P. régulièrement, non?) si les attaques se renouvellent.


    Bonne soirée (ou bonne nuit)


    :)


    L.


    Ça m'étonnerait que sur Facebook il y est des personnes qui scan les ports des autres, de toute façon je me suis toujours interdis d'accepter des inconnus. Je pense plutôt que la supposition de ricouz est ce qui c'est vraiment passé.


    Des botnets scannant des plages IPs pour permettre à un hacker d'augmenter son "régiment" de botnet (des réseaux de plusieurs centaine de millier de botnet est chose courante de nos jours..).


    Et j'ai désactivé "Client pour réseaux microsoft".


    @fedor, j'ai déjà testé plusieurs fois mon réseau et il est bien sécurisé.


    Merci à tous pour vos interventions,


    Bonne fin de week-end.

  • Simple réflexe, je vais pas porter plainte pour un scan de port sinon je suis pas sorti de l'auberge


    Nous sommes bien d'accord...


    Ça m'étonnerait que sur Facebook il y est des personnes qui scan les ports des autres, de toute façon je me suis toujours interdis d'accepter des inconnus. Je pense plutôt que la supposition de ricouz est ce qui c'est vraiment passé.


    Des botnets scannant des plages IPs pour permettre à un hacker d'augmenter son "régiment" de botnet (des réseaux de plusieurs centaine de millier de botnet est chose courante de nos jours..).


    Je mettais en comparaison Facebook et sites de confiance, je ne faisais pas allusion au scan de ports pour Facebook


    D'accord avec Ricouz, les sniffeurs parcourent le monde entier pour trouver un port ouvert.


    J'utilise Picasa web album avec parcimonie, nous eûmes des soucis avec les personnes l'utilisant.


    Concernant Facebook, la responsable d'une société voulait à tous prix mettre tous les anciens élèves et les nouveaux à venir dans son facebook, nous étions déjà 300, j'ai dit non. Je voyais d'ici les courriers échangés par des centaines de personnes puis les spams puis les fichiers joints sans doute douteux à venir... J'ai refusé.


    Vous avez raison de refuser les inconnus, en tous cas.


    Pour les scans de ports eux-mêmes, il faudra que je me renseigne, savoir si le fait d'être repéré est dû à la qualité du sniffeur ou si c'est le hasard pur. je veux dire, si le firewall rend les ports vraiment invisibles (comme un malfaiteur passerait devant une porte qu'il ne voit pas du tout) - mais si c'était le cas il n'aurait même pas besoin de réagir, ou s'il les rend invulnérables en bloquant l'analyse en amont, j'avais lu çà sur des forums, ce n'était pas très clair, mais l'essentiel est que vous soyez protégé et que les ports soient surveillés.


    Vous n'ignorez pas que même en utilisant uniquement Chrome ou FFox, il faut que IE soit à jour si vous l'avez sur votre système windows.


    J'ai rarement eu des alertes de ce type.


    Une anecdote: il y a quelques années, mon firewall (une autre société que BD) m'alerte cinq fois en deux heures, bloquant trois attaques de virus + deux analyses de ports!


    Rien que çà, alors que j'étais sur un forum tranquille et que je n'avais rien eu depuis un an!


    Curieuse coïncidence, mon abonnement au FW AV venait à échéance dix jours plus tard et aussi d'ailleurs la date de validité de ma carte de paiement.


    J'ai vraiment très mauvais esprit... :D


    Je n'y ai pas cru une seconde. Ni aux virus, ni aux analyses.


    J'avais peut-être tort après tout... :rolleyes:


    Bonne soirée à tous!


    L.

  • Nous sommes bien d'accord...


    Je mettais en comparaison Facebook et sites de confiance, je ne faisais pas allusion au scan de ports pour Facebook


    D'accord avec Ricouz, les sniffeurs parcourent le monde entier pour trouver un port ouvert.


    J'utilise Picasa web album avec parcimonie, nous eûmes des soucis avec les personnes l'utilisant.


    Concernant Facebook, la responsable d'une société voulait à tous prix mettre tous les anciens élèves et les nouveaux à venir dans son facebook, nous étions déjà 300, j'ai dit non. Je voyais d'ici les courriers échangés par des centaines de personnes puis les spams puis les fichiers joints sans doute douteux à venir... J'ai refusé.


    Vous avez raison de refuser les inconnus, en tous cas.


    Pour les scans de ports eux-mêmes, il faudra que je me renseigne, savoir si le fait d'être repéré est dû à la qualité du sniffeur ou si c'est le hasard pur. je veux dire, si le firewall rend les ports vraiment invisibles (comme un malfaiteur passerait devant une porte qu'il ne voit pas du tout) - mais si c'était le cas il n'aurait même pas besoin de réagir, ou s'il les rend invulnérables en bloquant l'analyse en amont, j'avais lu çà sur des forums, ce n'était pas très clair, mais l'essentiel est que vous soyez protégé et que les ports soient surveillés.


    Vous n'ignorez pas que même en utilisant uniquement Chrome ou FFox, il faut que IE soit à jour si vous l'avez sur votre système windows.


    J'ai rarement eu des alertes de ce type.


    Une anecdote: il y a quelques années, mon firewall (une autre société que BD) m'alerte cinq fois en deux heures, bloquant trois attaques de virus + deux analyses de ports!


    Rien que çà, alors que j'étais sur un forum tranquille et que je n'avais rien eu depuis un an!


    Curieuse coïncidence, mon abonnement au FW AV venait à échéance dix jours plus tard et aussi d'ailleurs la date de validité de ma carte de paiement.


    J'ai vraiment très mauvais esprit... :D


    Je n'y ai pas cru une seconde. Ni aux virus, ni aux analyses.


    J'avais peut-être tort après tout... :rolleyes:


    Bonne soirée à tous!


    L.


    Bonjour,


    J'ai à nouveau été scanné aujourd'hui, là ça commence vraiment à m'embêter (pour rester poli).. Alors j'ai fait des recherches un peu plus poussé et j'ai trouvé qu'apparemment je ne suis pas le seul à être victime de scan de port provenant de cette adresse ip (222.136.98.98). Des personnes en provenance de plusieurs pays européen ont été scanné, la thèse d'un bot est plus que probable..


    J'ai fait un petit "report", on verra se que ça donne..


    Source : http://www.ipillion.com/?ip=222.136.98.98


    Bonne fin de journée !!

  • J'ai à nouveau été scanné aujourd'hui


    Cela signifierait alors que votre PC devient visible?


    (je n'ai pas dit vulnérable)


    La probabilité que ces robots qui parcourent la Toile dans le monde entier reviennent si vite tester l'un de vos ports, comme par hasard, tendrait à prouver que l'action du FW - comme celui de n'importe quel FW probablement - bloque bien l'analyse du port, mais révèle sa présence aussi?


    :huh:


    Et si vous changiez d'I.P?


    :)


    Bonne soirée,


    L.

  • Cela signifierait alors que votre PC devient visible?


    (je n'ai pas dit vulnérable)


    La probabilité que ces robots qui parcourent la Toile dans le monde entier reviennent si vite tester l'un de vos ports, comme par hasard, tendrait à prouver que l'action du FW - comme celui de n'importe quel FW probablement - bloque bien l'analyse du port, mais révèle sa présence aussi?


    :huh:


    Et si vous changiez d'I.P?


    :)


    Bonne soirée,


    L.


    Je suis pas très fan de vouloir me balader avec un proxy, un logiciel de "camouflage" ou un VPN toute la journée, à moins que vous ayez une autre solution ?


    Bonne fin de journée.

  • Bonsoir


    Cela signifierait alors que votre PC devient visible?


    (je n'ai pas dit vulnérable)


    La probabilité que ces robots qui parcourent la Toile dans le monde entier reviennent si vite tester l'un de vos ports, comme par hasard, tendrait à prouver que l'action du FW - comme celui de n'importe quel FW probablement - bloque bien l'analyse du port, mais révèle sa présence aussi?


    Non je ne crois pas, justement lorsque l'on dit invisible, cela veut dire que la machine ne doit même pas répondre à un simple ping.


    Normalement, le fw est en amont de la machine donc lui il va empêcher que la machine réponde à une sollicitation extérieure, mais j'insiste encore une fois, il faut également vérifier que ton modem/routeur soit bien configuré, car lui aussi peut répondre à une sollicitation extérieure et justement il faut l'empêcher. En général les routeurs sont prévus pour éviter ce genre de chose.


    Jusqu'à présent je n'ai jamais eu de remontées du pare-feu pour un scan de port, je pense justement que c'est le firewall hard du routeur qui empêche cela.


    Par contre, il y a une dizaine d'années à l'époque où je n'avais pas de routeur, donc un simple modem, là les scans de ports étaient assez courant, plus exactement mon pare-feu de l'époque me remontait ce genre d'alertes.


    Quant à la probabilité qu'un robot revienne, je pense que cela est fort probable, justement les robots permettent ce genre de chose, c'est purement mécanique.


    Maintenant je ne sais pas quel est le mode de fonctionnement de BD dans le cas de scan de port, je pense que Yann pourrait peut-être nous en dire plus.


    car dans le cas de BD, je ne fais que des suppositions.


    Bonne soirée

  • Non je ne crois pas, justement lorsque l'on dit invisible, cela veut dire que la machine ne doit même pas répondre à un simple ping.


    Merci, Ricouz, je suppose que c'est effectivement la définition de l'invisibilité.


    Cela voudrait dire que cette recherche de ports est atypique alors? puisque Bleakness n'avait rien eu pendant longtemps, et tout d'un coup, deux détections très rapprochées?


    C'est peut-être un hasard? Ou ce robot a une manière plus agressive de tester le modem/routeur?


    Après tout, il y a des centaines de millions d'adresses I.P de par le monde?.


    Normalement, le fw est en amont de la machine donc lui il va empêcher que la machine réponde à une sollicitation extérieure, mais j'insiste encore une fois, il faut également vérifier que ton modem/routeur soit bien configuré, car lui aussi peut répondre à une sollicitation extérieure et justement il faut l'empêcher. En général les routeurs sont prévus pour éviter ce genre de chose.


    Jusqu'à présent je n'ai jamais eu de remontées du pare-feu pour un scan de port, je pense justement que c'est le firewall hard du routeur qui empêche cela.


    On évite donc déjà, bien avant d'être attaqué, d'être repéré?


    Cela n'empêche pas d'avoir un firewall, évidemment.


    Mais si l'internaute n'a pas baissé sa garde, cela veut peut-être dire soit que l'agresseur a modifié son robot pour prendre en compte les paramètres des modem routeurs, soit que la société commerant le modem routeur a fait une mise à jour qui affaiblit le système peut-être?


    L'éternelle histoire du bouclier et de l'épée.


    :huh:


    Quant à la probabilité qu'un robot revienne, je pense que cela est fort probable, justement les robots permettent ce genre de chose, c'est purement mécanique.


    Cela voudrait dire aussi que plutôt que de chercher plus loin, soit le robot a repéré la cible - même si celle-ci est invulnérable - soit le robot est cantonné à une recherche géographique et tourne dans un espace finalement "restreint". Après tout les adresses I.P. donnent une géolocalisation précise.


    Sinon... eh bien il irait ailleurs, il y a tant d'adresses à éplucher!


    Maintenant je ne sais pas quel est le mode de fonctionnement de BD dans le cas de scan de port, je pense que Yann pourrait peut-être nous en dire plus. car dans le cas de BD, je ne fais que des suppositions.


    Oui, ce serait bien. BD permet déjà de déceler les vulnérabilités des logiciels, il ne permet pas, sauf erreur, de se préoccuper des scans de ports.


    Bonne soirée à tous, je quitte d'ailleurs internet, les ordinateurs (ouf) pour quelques jours.


    :)


    L.

  • Je suis pas très fan de vouloir me balader avec un proxy, un logiciel de "camouflage" ou un VPN toute la journée, à moins que vous ayez une autre solution ?


    Bonne fin de journée.


    Non, je n'ai pas d'autres solutions, surtout si le problème vient du modem/routeur, comme dit Ricouz.


    En fait, pendant plusieurs années, la CNIL recommandait de camoufler son I.P... mais cela jouerait-il dans le cas du modem-routeur bavard?


    Enfin, à priori, votre firewall a rempli son office et bloqué l'analyse. Peut-être une recherche géographique faite par un robot opiniâtre?


    :huh:


    Bonne soirée et bonne semaine, je file quelques jours loin du clavier et du mulot!


    :)


    L.

  • oOlol
    Modifié (mars 2010)
    Enfin, à priori, votre firewall a rempli son office et bloqué l'analyse. Peut-être une recherche géographique faite par un robot opiniâtre?


    :)


    L.


    Cela voudrait dire aussi que plutôt que de chercher plus loin, soit le robot a repéré la cible - même si celle-ci est invulnérable - soit le robot est cantonné à une recherche géographique et tourne dans un espace finalement "restreint". Après tout les adresses I.P. donnent une géolocalisation précise.


    Comme je l'ai indiqué sur le lien que j'ai posté il y a de ça quelques post, je suis pas le seul à avoir été scanné par ce bot.. Un américain, un suédois, 2 roumains et un hollandais + moi ont déjà été scanné, si on prend en compte le fait que peut de personne pense à reporter ces scan, on doit pas être que quelques internautes choisis spécialement et si on prend en compte tout les internautes qui n'utilisent pas de pare-feu ou qui en ont un dépassé technologiquement..


    J'ai quand même apporté quelques modification au routeur, on verra se que ça donne.


    Bonne journée. :)

  • kiki
    Modifié (mars 2010)

    Bonsoir,


    Vous étiez seulement sur une page facebook?


    Pas de programmes utilisés à coté?


    Personnellement les seuls scans de ports que j'ai eu, ont lieu lors de l'utilisation d'un logiciel tel que utorrent. Mais c'est normal lorsque l'on ne cache pas son ip.


    Surtout lorsque le fichier téléchargé est un fichier qui est partagé par de nombreuses personnes (linux). Plus de risque de tomber sur un petit malin qui utilise un programme pour scanner les ports (je crois que des programmes du genre sont conçus spécialement pour des programmes comme utorrent?).


    Enfin quoi qu'il arrive, quelqu'un a eu accès à votre ip mais cela n'est pas très difficile. Certains sites laissent même votre ip à la vue de tous.