[Port 445 - Zotob vs Sasser]
Kolibot
Messages postés
11
Statut
Membre
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour, voici un log que j'ai établi à partir de mon serveur syslog :
09-04-2005 15:35:32 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.88.192,3370 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:32:57 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.124.252,1032 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:31:20 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.3.244,1958 Destination:1.0.0.0,139 - [Any(ALL) match]
09-04-2005 15:31:17 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.77.81,3673 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:31:17 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.77.81,3636 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:31:14 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.77.81,3673 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:31:14 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.77.81,3636 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:31:09 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.24.98,3220 Destination:1.0.0.0,135 - [Any(ALL) match]
09-04-2005 15:29:49 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.88.243,4123 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:29:36 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.31.194,2436 Destination:1.0.0.0,139 - [Any(ALL) match]
09-04-2005 15:28:55 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.0.150,3806 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:28:45 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.160.226,2606 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:28:45 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.79.243,1606 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:28:25 Local0.Warning 192.168.0.1 TCP Packet - Source:137.118.218.18,1684 Destination:1.0.0.0,2100 - [Any(ALL) match]
09-04-2005 15:28:12 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.88.192,4863 Destination:1.0.0.0,135 - [Any(ALL) match]
09-04-2005 15:27:50 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.160.173,1363 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:27:01 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.103.91,1720 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:26:58 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.103.91,1757 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:26:58 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.103.91,1720 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:26:39 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.36.198,3580 Destination:1.0.0.0,135 - [Any(ALL) match]
09-04-2005 15:26:04 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.106.69,3606 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:25:11 Local0.Warning 192.168.0.1 TCP Packet - Source:81.215.54.93,3758 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:24:41 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.124.252,1413 Destination:1.0.0.0,135 - [Any(ALL) match]
09-04-2005 15:24:40 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.6.96,1494 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:24:38 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.124.252,1413 Destination:1.0.0.0,135 - [Any(ALL) match]
09-04-2005 15:24:37 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.6.96,1494 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:24:15 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.12.136,4783 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:24:01 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.113.12,1363 Destination:1.0.0.0,80 - [Any(ALL) match]
09-04-2005 15:23:38 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.77.81,4078 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:23:38 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.77.81,4044 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:23:35 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.77.81,4078 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:23:35 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.77.81,4044 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:23:24 Local0.Warning 192.168.0.1 UDP Packet - Source:61.152.160.63,33149 Destination:1.0.0.0,1026 - [Any(ALL) match]
09-04-2005 15:21:16 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.38.216,3204 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:20:55 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.24.98,4451 Destination:1.0.0.0,135 - [Any(ALL) match]
09-04-2005 15:20:53 Local0.Warning 192.168.0.1 TCP Packet - Source:81.228.191.154,2979 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:20:53 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.114.56,2134 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:20:50 Local0.Warning 192.168.0.1 TCP Packet - Source:81.228.191.154,2979 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:20:50 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.114.56,2134 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:20:02 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.36.198,1590 Destination:1.0.0.0,445 - [Any(ALL) match]
La plupart des ips, sont des ips free ( la plage 81.56 est l'une des plages dédiées au fai free ).
Le port le plus solicité est le port 445 qui peut servir à exploiter différente faille dont celle de l'application lsass.exe ( Virus Sasser ) ou encore de l'application pnp.exe ( Virus Zotob ). Après une brêve recherche sur internet, il apparait que le virus Zotob s'est énormément diffusé, et qu'il se diffuse toujours ... J'aimerai beaucoup avoir l'avis d'autres personnes pour savoir si c'est mon lan qui est visé, ou si c'est le réseau de free en lui même qui pose problème. J'ai déjà alerté la hotline de free qui m'ont gentiement dit que ça ne pouvait venir que de chez moi, mais qu'ils feraient une rapide étude sur les tables de routages en vue d'éventuellement faire une lettre à tous les utilisateurs de free pour qu'il éradique ces vers.
Qu'en pensez vous ?
Merci.
09-04-2005 15:35:32 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.88.192,3370 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:32:57 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.124.252,1032 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:31:20 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.3.244,1958 Destination:1.0.0.0,139 - [Any(ALL) match]
09-04-2005 15:31:17 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.77.81,3673 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:31:17 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.77.81,3636 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:31:14 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.77.81,3673 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:31:14 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.77.81,3636 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:31:09 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.24.98,3220 Destination:1.0.0.0,135 - [Any(ALL) match]
09-04-2005 15:29:49 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.88.243,4123 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:29:36 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.31.194,2436 Destination:1.0.0.0,139 - [Any(ALL) match]
09-04-2005 15:28:55 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.0.150,3806 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:28:45 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.160.226,2606 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:28:45 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.79.243,1606 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:28:25 Local0.Warning 192.168.0.1 TCP Packet - Source:137.118.218.18,1684 Destination:1.0.0.0,2100 - [Any(ALL) match]
09-04-2005 15:28:12 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.88.192,4863 Destination:1.0.0.0,135 - [Any(ALL) match]
09-04-2005 15:27:50 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.160.173,1363 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:27:01 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.103.91,1720 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:26:58 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.103.91,1757 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:26:58 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.103.91,1720 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:26:39 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.36.198,3580 Destination:1.0.0.0,135 - [Any(ALL) match]
09-04-2005 15:26:04 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.106.69,3606 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:25:11 Local0.Warning 192.168.0.1 TCP Packet - Source:81.215.54.93,3758 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:24:41 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.124.252,1413 Destination:1.0.0.0,135 - [Any(ALL) match]
09-04-2005 15:24:40 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.6.96,1494 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:24:38 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.124.252,1413 Destination:1.0.0.0,135 - [Any(ALL) match]
09-04-2005 15:24:37 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.6.96,1494 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:24:15 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.12.136,4783 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:24:01 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.113.12,1363 Destination:1.0.0.0,80 - [Any(ALL) match]
09-04-2005 15:23:38 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.77.81,4078 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:23:38 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.77.81,4044 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:23:35 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.77.81,4078 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:23:35 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.77.81,4044 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:23:24 Local0.Warning 192.168.0.1 UDP Packet - Source:61.152.160.63,33149 Destination:1.0.0.0,1026 - [Any(ALL) match]
09-04-2005 15:21:16 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.38.216,3204 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:20:55 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.24.98,4451 Destination:1.0.0.0,135 - [Any(ALL) match]
09-04-2005 15:20:53 Local0.Warning 192.168.0.1 TCP Packet - Source:81.228.191.154,2979 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:20:53 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.114.56,2134 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:20:50 Local0.Warning 192.168.0.1 TCP Packet - Source:81.228.191.154,2979 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:20:50 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.114.56,2134 Destination:1.0.0.0,445 - [Any(ALL) match]
09-04-2005 15:20:02 Local0.Warning 192.168.0.1 TCP Packet - Source:81.56.36.198,1590 Destination:1.0.0.0,445 - [Any(ALL) match]
La plupart des ips, sont des ips free ( la plage 81.56 est l'une des plages dédiées au fai free ).
Le port le plus solicité est le port 445 qui peut servir à exploiter différente faille dont celle de l'application lsass.exe ( Virus Sasser ) ou encore de l'application pnp.exe ( Virus Zotob ). Après une brêve recherche sur internet, il apparait que le virus Zotob s'est énormément diffusé, et qu'il se diffuse toujours ... J'aimerai beaucoup avoir l'avis d'autres personnes pour savoir si c'est mon lan qui est visé, ou si c'est le réseau de free en lui même qui pose problème. J'ai déjà alerté la hotline de free qui m'ont gentiement dit que ça ne pouvait venir que de chez moi, mais qu'ils feraient une rapide étude sur les tables de routages en vue d'éventuellement faire une lettre à tous les utilisateurs de free pour qu'il éradique ces vers.
Qu'en pensez vous ?
Merci.
A voir également:
- [Port 445 - Zotob vs Sasser]
- Udp vs tcp - Guide
- X86 vs x64 ✓ - Forum Windows
- Mb vs mo ✓ - Forum Matériel & Système
- Advanced port scanner - Télécharger - Utilitaires
- Port wsd ✓ - Forum Réseau
3 réponses
Salut,
J'ai vu la meme chose que toi et j'ai cherche a comprendre pourquoi.
J'ai un Netgear DG834G et j'ai bondi lorsque j'ai vu un tel log ! Command donc mon ISP (Wanadoo dans mon cas) se permet de forwarder des packets en destination 1.0.0.0 sur mon IP !?!
En bien en fait, Wanadoo ou Free ne sont pas responsables et en aucun cas forwardent de tels packets, c'est un comportement du netgear :
En fait, bizarement, le message syslog reporte dest=1.0.0.0 lorsque le router recoit un packet qui match un regle de firewall INBOUND BLOCK. En realite le packet a pour destination l'adresse IP public du routeur et non pas 1.0.0.0 (C'est donc une banale tentative d'intrusion sur l'IP public du router)
Note que quand tu as une regle de type INBOUND BLOCK, tu ne peux pas definir d'ip dans "Sent to LAN server" sur cette regle (ce qui est normal) et bien dans ce cas, le netgear log avec 1.0.0.0 en dst IP.
Si tu changes ta regle BLOCK par ALLOW et que tu specifies un LAN IP, tu veras que les messages syslog ont a present cette LAN IP comme IP dest.
Donc en fait , le Netgear log avec l'IP dest nattee et non pas l'IP address avant NAT. Comme il n'y pas d'addresse a substituer pour une regle en BLOCK, il choisit arbitrairement 1.0.0.0
Tu dois donc considere que le 1.0.0.0 est en fait l'adresse public actuelle du router.
Voila, en esperant avoir repondu a ta question.
J'ai vu la meme chose que toi et j'ai cherche a comprendre pourquoi.
J'ai un Netgear DG834G et j'ai bondi lorsque j'ai vu un tel log ! Command donc mon ISP (Wanadoo dans mon cas) se permet de forwarder des packets en destination 1.0.0.0 sur mon IP !?!
En bien en fait, Wanadoo ou Free ne sont pas responsables et en aucun cas forwardent de tels packets, c'est un comportement du netgear :
En fait, bizarement, le message syslog reporte dest=1.0.0.0 lorsque le router recoit un packet qui match un regle de firewall INBOUND BLOCK. En realite le packet a pour destination l'adresse IP public du routeur et non pas 1.0.0.0 (C'est donc une banale tentative d'intrusion sur l'IP public du router)
Note que quand tu as une regle de type INBOUND BLOCK, tu ne peux pas definir d'ip dans "Sent to LAN server" sur cette regle (ce qui est normal) et bien dans ce cas, le netgear log avec 1.0.0.0 en dst IP.
Si tu changes ta regle BLOCK par ALLOW et que tu specifies un LAN IP, tu veras que les messages syslog ont a present cette LAN IP comme IP dest.
Donc en fait , le Netgear log avec l'IP dest nattee et non pas l'IP address avant NAT. Comme il n'y pas d'addresse a substituer pour une regle en BLOCK, il choisit arbitrairement 1.0.0.0
Tu dois donc considere que le 1.0.0.0 est en fait l'adresse public actuelle du router.
Voila, en esperant avoir repondu a ta question.
