Connexions entrantes (IP) au port 1024

[Résolu/Fermé]
Signaler
Messages postés
11
Date d'inscription
samedi 6 décembre 2008
Statut
Membre
Dernière intervention
3 septembre 2011
-
 coccinaile -
Bonjour, hier sur le tableau de connexion du routeur, je trouve trois adresses ip (217.20.113.111 84.209.1.105 64.202.163.78) à destination du port 1024. Je m'interroge : j'avais moi-même dans la journée essayé d'accéder à ce port à partir d'un autre ordinateur personnel externe à mon réseau et cela n'avait pas été possible. Normal : le port 1024 était bloqué, ce qui m'a été confirmé par la suite grâce au scan fait avec Zenmap.

Moi, je n'ai pas pu accéder au port 1024, mais eux ils ont pu : comment-ont-ils fait et surtout que viennent-ils faire sur ce port ? J'en déduis de leur présence sur le tableau des connexions du routeur indique sans doute que la connexion a réussi... Est-ce que cela signifie que le mot de passe de mon router est découvert ? Y a-t-il un moyen de mieux contrôler ce trafic ?

Merci pour votre aide
Coccinaile





10 réponses

Messages postés
10508
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
18 août 2021
599
Bonsoir,

Par exemple, celle-ci t'est-elle familière ?

IP Information - 217.20.113.111IP address: 217.20.113.111
Reverse DNS: spor-haber.com.
Reverse DNS authenticity: [Verified]
ASN: 28753
ASN Name: NETDIRECT (AS NETDIRECT Frankfurt, DE)
IP range connectivity: 4
Registrar (per ASN): RIPE
Country (per IP registrar): DE [Germany]
Country Currency: EUR [euros]
Country IP Range: 217.20.112.0 to 217.20.127.255
Country fraud profile: Normal
City (per outside source): Unknown
Country (per outside source): -- []
Private (internal) IP? No
IP address registrar: whois.ripe.net
Known Proxy? No
Link for WHOIS: 217.20.113.111

Messages postés
11
Date d'inscription
samedi 6 décembre 2008
Statut
Membre
Dernière intervention
3 septembre 2011

Bonjour, je ne fréquente pas ce site, mais j'avais pu le retracer. Un des adresses appartient à Goddady.com et j'ai rapporté le fait, je crois qu'ils vont enquêter.
Mais la question est : que font -ils une fois qu'ils accèdent à ce port ? et comment sont-ils parvenus à accéder à un port bloqué ?

Merci
Coccinaile
Messages postés
10508
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
18 août 2021
599
Bonjour,

Je ne peux pas m'avancer dans cette voie (ports bloqués et percés).
Le port 1024 faisant partie des "Registered Ports", je ne sais pas trop.
Un aperçu ici https://www.auditmypc.com/tcp-port-1024.asp
Et là https://www.grc.com/port_1024.htm

Mais si tu ajoutais ces domaines au fichier hosts
( sous Mac OS X ==> /etc/hosts ) :
- linhost138.prod.mesa1.secureserver.net
- cm-84.209.1.105.getinternet.no
- spor-haber.com
... cela devrait les contrecarrer, non ?
Honnêtement, c'est ce que je tenterais.

Si tu le souhaites, on peut analyser ton PC point de vue infection.
( ce serait l'occasion de tester ZHPDiag sur Mac OS X ) ;)

Bonne chance.
Al.

Patience-Vigilance-Amour.
Messages postés
11
Date d'inscription
samedi 6 décembre 2008
Statut
Membre
Dernière intervention
3 septembre 2011

Bonjour, merci pour ce conseil, je vais le suivre. Cependant, j'aimerais bien pouvoir comprendre le processus pour éviter que d'autres puissent faire la même chose.
Merci
Coccinaile
Messages postés
10508
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
18 août 2021
599
Bonsoir,

A)- Lire https://blog.sosordi.net/category/articles
Pour ajouter ensuite ceci sous cette ligne 127.0.0.1[espace]localhost

127.0.0.1 secureserver.net
127.0.0.1 getinternet.no
127.0.0.1 haber.com


Arrêter puis redémarrer le PC


B)- Encore une fois, je ne connais rien de MAC.
Tu le connais mieux que moi, et donc, tu dois savoir si tu peux réaliser ce diagnostic.


C)- Télécharger ZHPDiag (de Nicolas Coolman) sur le bureau .
Dérouler la page et cliquer sur [Télécharger] (le bouton radio inférieur).
Une barre jaune apparaît en haut de page > cliquer sur "Cliquer ici pour afficher plus d'options..." > "Télécharger le ficher ..." > [Enregistrer] (accepter l'alerte éventuelle de l'antivirus) > choisir le Bureau > [Enregistrer] ZHPDiag2.exe > [Exécuter] > [Exécuter] > lancer l'assistant d'installation par [Suivant].
Ne pas oublier de cocher le bouton ratio en face de "Créer une icône sur le bureau".
Se laisser guider lors de l'installation, ZHPDiag.exe se lancera automatiquement à la fin.
( /!\ L'outil a créé 4 icônes , dont ZHPDiag (pour lancer l'application ultérieurement) et ZHPFix (pour le traitement du rapport) sur le bureau ) .

Cliquer sur le raccourci ZHPDiag du Bureau pour l'ouvrir.
Cliquer sur l'icône représentant une loupe pour "Lancer le diagnostic".
NOTES:
- Enregistrer le rapport sur le Bureau à l'aide de l'icône représentant une "Disquette"
- Héberger le rapport sur ce site Cijoint.fr ( ou sur celui-là ) > puis copier/coller le lien fourni dans la prochaine réponse vers le forum en cours.


Je vais passer à table.
J'en ai pour un bon moment.
Al.
Messages postés
10508
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
18 août 2021
599
Allo ?
jó étvàgy is !
Messages postés
11
Date d'inscription
samedi 6 décembre 2008
Statut
Membre
Dernière intervention
3 septembre 2011

Bonjour, Mac ne peut traiter une application .exe. Je vais essayer de trouver une application équivalente.
Merci
Danielle Massé
Messages postés
10508
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
18 août 2021
599
Bonsoir
Merci
Et en renommant ZHPDiag au téléchargement ?
Comment fais-tu habituellement pour télécharger des programmes de désinfection ?
Quelles sont les applications taritées par Mack, autres que .exe ?
As-tu modifié le fichier "hosts" comme indiqué supra # 5-A ?
Al.
Bonjour, désolée pour le délai, je me suis absentée. Impossible de renommer un fichier. Les fichiers que je télécharge pour Mac sont .dmg.
Et non, je n'ai pas encore modifié le fichier Host. Je m'essaie.
Merci
Je suis présentement en train d'analyser mon disque dur au moyen de Bit Defender.
On verra ce que ça donne : c'est long par contre 1 h 24 et ça tourne toujours.
Bon, je viens de faire une petite incursion dans Terminal qui m'a donné des sueurs froides. Ceci dit, d'après ce que j'ai pu comprendre, la procédure suggérée en #5-A a pour but d'empêcher mon système de se brancher sur les sites en question. Or, c'est le contraire qui se produit, ce sont eux qui viennent se connecter sur mon réseau ! Est-ce que je me trompe ?

Merci
Messages postés
10508
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
18 août 2021
599
Hello,
Tout est expliqué sur ce site; il y plusieurs pages. Pour empêcher les entrées indésirables, c'est sur la page 5.
Bonne chance.
Al.
Merci, j'y vais à l'instant même. D'autant plus que j'ai découvert sur ma console de multiples tentatives d'accès heureusement stoppées par Firewall.