Trafic vers le port 445
Résolu
KoJi_4
Messages postés
164
Date d'inscription
Statut
Membre
Dernière intervention
-
Smart91 Messages postés 29097 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Smart91 Messages postés 29097 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
Depuis quelque temps j'ai remarqué que mon poste initie une connexion TCP 445 vers une adresse 192.168.1.20.
Mon firewall Netasq bloque ce trafic mais je voudrais savoir ce que c'est? et comment le supprimer de ma machine?
J'ai effectué scans antivirus, MBAM, Spybot mais rien...
Voici le resultat de CurrPorts:
Depuis quelque temps j'ai remarqué que mon poste initie une connexion TCP 445 vers une adresse 192.168.1.20.
Mon firewall Netasq bloque ce trafic mais je voudrais savoir ce que c'est? et comment le supprimer de ma machine?
J'ai effectué scans antivirus, MBAM, Spybot mais rien...
Voici le resultat de CurrPorts:
[URL=http://imageshack.com/f/5b445muj][IMG=http://img191.imageshack.us/img191/8546/445mu.jpg][/IMG][/URL]
A voir également:
- Trafic vers le port 445
- Advanced port scanner - Télécharger - Utilitaires
- Port usb bloqué par administrateur ✓ - Forum Windows
- Port wsd ✓ - Forum Réseau
- Port ping - Forum Windows
- Port 5000 - Forum Virus
11 réponses
Salut,
Si je peux me permettre, le port 445 est utilisé pour des requêtes vers Active Directory ou alors par le protocole SMB (Partage de fichiers Microsoft.)
Donc tu as surement une application qui fait ces requêtes vers le serveur Active Directory dont l'adresse IP est 192.168.1.20.
Ce qui est surprenant c'est l'adresse en 192. qui n'appartient pas au sous-réseau dans lequel se trouve ton PC (170.30.4.xx)
Mais ce n'est pas trop grave car cette adresse est privée et n'est pas sur internet (extèrieur)
Donc questions;
- As-tu deux sous-réseau ?
- As-tu un serveur Windows dans ton réseau ?
Smart
Si je peux me permettre, le port 445 est utilisé pour des requêtes vers Active Directory ou alors par le protocole SMB (Partage de fichiers Microsoft.)
Donc tu as surement une application qui fait ces requêtes vers le serveur Active Directory dont l'adresse IP est 192.168.1.20.
Ce qui est surprenant c'est l'adresse en 192. qui n'appartient pas au sous-réseau dans lequel se trouve ton PC (170.30.4.xx)
Mais ce n'est pas trop grave car cette adresse est privée et n'est pas sur internet (extèrieur)
Donc questions;
- As-tu deux sous-réseau ?
- As-tu un serveur Windows dans ton réseau ?
Smart
Salut,
Pas de fonction proxy sur ton netasq pour avoir les urls ?
Si 'cest pas le cas - Fiddlercap : https://www.malekal.com/fiddler-monitorer-le-traffic-http/
et :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Pas de fonction proxy sur ton netasq pour avoir les urls ?
Si 'cest pas le cas - Fiddlercap : https://www.malekal.com/fiddler-monitorer-le-traffic-http/
et :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Voilà les rapport demandé,
Pour information je suis sous Seven x86, mais j'ai dû mettre en mode compatibilité xp SP2.
https://pjjoint.malekal.com/files.php?id=20120208_c12b5v7j12f8
https://pjjoint.malekal.com/files.php?id=20120208_l12q6w712k8
Pour information je suis sous Seven x86, mais j'ai dû mettre en mode compatibilité xp SP2.
https://pjjoint.malekal.com/files.php?id=20120208_c12b5v7j12f8
https://pjjoint.malekal.com/files.php?id=20120208_l12q6w712k8
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Non rien avec Fiddercap, ilne trace que les connexion http et https là c'est une requête sur le port 445.
Je vais regarder de coté VMWare si je trouve quelque chose.
Je vais regarder de coté VMWare si je trouve quelque chose.
Chez moi le port n'est pas ouvert :
malekalmorte@MaK-tux:/tmp$ nc -vv -z -w 10 172.30.3.44 443
172.30.3.44: inverse host lookup failed: Unknown host
(UNKNOWN) [172.30.3.44] 443 (https) : Connection timed out
sent 0, rcvd 0
C'est juste des SYN ou y a des ESTABLISHED ?
Sinon ça va être chaud de savoir d'où ça vient..
Eventuellement faire un scan TDSSKiller :
Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Lire ce qui est écrit au niveau des suppressions/réparation (delete et cure), ne pas supprimer n'importe quoi.
Poste le rapport ici.
malekalmorte@MaK-tux:/tmp$ nc -vv -z -w 10 172.30.3.44 443
172.30.3.44: inverse host lookup failed: Unknown host
(UNKNOWN) [172.30.3.44] 443 (https) : Connection timed out
sent 0, rcvd 0
C'est juste des SYN ou y a des ESTABLISHED ?
Sinon ça va être chaud de savoir d'où ça vient..
Eventuellement faire un scan TDSSKiller :
Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Lire ce qui est écrit au niveau des suppressions/réparation (delete et cure), ne pas supprimer n'importe quoi.
Poste le rapport ici.
Je rajouterai:
172.20.251.10 doit être l'adresse privée du routeur
L'adresse IP 212.27.240.40 doit être le DNS primaire qui se trouve en Estonie :-s (est-ce normal)
Et 8.8.8.8 DNS secondaire de Google
Et de plus l'adresse IP du PC est routable mais réservée, il doit faire partie d'un réseau d'entreprise ou d'université (CSC par exemple)
Le fichiers Host montre ceci:
172.20.251.101 srv2008r.reims.icaar.fr
172.20.251.110 exchange.reims.icaar.fr
Il y a donc bien un serveur Windows 2008 et un serveur exchange dans son réseau. cela pourrait expliquer les requêtes sur le port 445.
Smart
172.20.251.10 doit être l'adresse privée du routeur
L'adresse IP 212.27.240.40 doit être le DNS primaire qui se trouve en Estonie :-s (est-ce normal)
Et 8.8.8.8 DNS secondaire de Google
Et de plus l'adresse IP du PC est routable mais réservée, il doit faire partie d'un réseau d'entreprise ou d'université (CSC par exemple)
Le fichiers Host montre ceci:
172.20.251.101 srv2008r.reims.icaar.fr
172.20.251.110 exchange.reims.icaar.fr
Il y a donc bien un serveur Windows 2008 et un serveur exchange dans son réseau. cela pourrait expliquer les requêtes sur le port 445.
Smart
En plus sur la capture, y a une connexion sur le port 139 donc oui ça doit être des requetes SMB.
Sur le rapport OTL, le DNS du domaine est en 172.20.xxx
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{3D2B8407-7AC6-45C5-8CC5-CE1787F7F12F}: DhcpNameServer = 172.20.251.10 212.27.240.40 8.8.8.8