Trafic vers le port 445

Résolu/Fermé
KoJi_4 Messages postés 164 Date d'inscription dimanche 14 octobre 2007 Statut Membre Dernière intervention 18 juillet 2014 - Modifié par KoJi_4 le 7/02/2012 à 15:25
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 - 24 févr. 2012 à 16:26
Bonjour,

Depuis quelque temps j'ai remarqué que mon poste initie une connexion TCP 445 vers une adresse 192.168.1.20.

Mon firewall Netasq bloque ce trafic mais je voudrais savoir ce que c'est? et comment le supprimer de ma machine?

J'ai effectué scans antivirus, MBAM, Spybot mais rien...

Voici le resultat de CurrPorts:

[URL=http://imageshack.com/f/5b445muj][IMG=http://img191.imageshack.us/img191/8546/445mu.jpg][/IMG][/URL] 




11 réponses

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
8 févr. 2012 à 18:07
Salut,

Si je peux me permettre, le port 445 est utilisé pour des requêtes vers Active Directory ou alors par le protocole SMB (Partage de fichiers Microsoft.)

Donc tu as surement une application qui fait ces requêtes vers le serveur Active Directory dont l'adresse IP est 192.168.1.20.

Ce qui est surprenant c'est l'adresse en 192. qui n'appartient pas au sous-réseau dans lequel se trouve ton PC (170.30.4.xx)
Mais ce n'est pas trop grave car cette adresse est privée et n'est pas sur internet (extèrieur)

Donc questions;
- As-tu deux sous-réseau ?
- As-tu un serveur Windows dans ton réseau ?

Smart
3
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
8 févr. 2012 à 19:15
ha oui chuis c*n... j'étais parti du HTTPS d'où le scan sur le port 443 sur une IP LAN ho yeahhhh \o:
En plus sur la capture, y a une connexion sur le port 139 donc oui ça doit être des requetes SMB.

Sur le rapport OTL, le DNS du domaine est en 172.20.xxx

O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{3D2B8407-7AC6-45C5-8CC5-CE1787F7F12F}: DhcpNameServer = 172.20.251.10 212.27.240.40 8.8.8.8
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
7 févr. 2012 à 15:39
Salut,

Pas de fonction proxy sur ton netasq pour avoir les urls ?
Si 'cest pas le cas - Fiddlercap : https://www.malekal.com/fiddler-monitorer-le-traffic-http/

et :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs

* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
0
KoJi_4 Messages postés 164 Date d'inscription dimanche 14 octobre 2007 Statut Membre Dernière intervention 18 juillet 2014 18
7 févr. 2012 à 17:19
Merci

Pour OTL il plante ("ne répond pas").

Je retente demain là je doit partir.

Merci encore
0
KoJi_4 Messages postés 164 Date d'inscription dimanche 14 octobre 2007 Statut Membre Dernière intervention 18 juillet 2014 18
Modifié par KoJi_4 le 8/02/2012 à 09:39
Voilà les rapport demandé,

Pour information je suis sous Seven x86, mais j'ai dû mettre en mode compatibilité xp SP2.

https://pjjoint.malekal.com/files.php?id=20120208_c12b5v7j12f8

https://pjjoint.malekal.com/files.php?id=20120208_l12q6w712k8
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
8 févr. 2012 à 10:32
Rien d'extraordinaire.
Rien eu avec Fiddlercap ?

C'est pas des connexions établies pra VMware ?
0
KoJi_4 Messages postés 164 Date d'inscription dimanche 14 octobre 2007 Statut Membre Dernière intervention 18 juillet 2014 18
8 févr. 2012 à 14:20
Non rien avec Fiddercap, ilne trace que les connexion http et https là c'est une requête sur le port 445.

Je vais regarder de coté VMWare si je trouve quelque chose.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
8 févr. 2012 à 14:40
mais tu l'as bloqué l'ip sur ton netasq?
0
KoJi_4 Messages postés 164 Date d'inscription dimanche 14 octobre 2007 Statut Membre Dernière intervention 18 juillet 2014 18
24 févr. 2012 à 14:55
Oui le netasq le bloque quand je suis derrière.
0
KoJi_4 Messages postés 164 Date d'inscription dimanche 14 octobre 2007 Statut Membre Dernière intervention 18 juillet 2014 18
8 févr. 2012 à 14:49
J'ai supprimé VMWare et j'ai toujours cette tentative de connexion.

Merci de votre aide
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
8 févr. 2012 à 14:57
Chez moi le port n'est pas ouvert :
malekalmorte@MaK-tux:/tmp$ nc -vv -z -w 10 172.30.3.44 443
172.30.3.44: inverse host lookup failed: Unknown host
(UNKNOWN) [172.30.3.44] 443 (https) : Connection timed out
sent 0, rcvd 0


C'est juste des SYN ou y a des ESTABLISHED ?

Sinon ça va être chaud de savoir d'où ça vient..

Eventuellement faire un scan TDSSKiller :
Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Lire ce qui est écrit au niveau des suppressions/réparation (delete et cure), ne pas supprimer n'importe quoi.
Poste le rapport ici.

0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
9 févr. 2012 à 09:14
Je rajouterai:

172.20.251.10 doit être l'adresse privée du routeur

L'adresse IP 212.27.240.40 doit être le DNS primaire qui se trouve en Estonie :-s (est-ce normal)

Et 8.8.8.8 DNS secondaire de Google

Et de plus l'adresse IP du PC est routable mais réservée, il doit faire partie d'un réseau d'entreprise ou d'université (CSC par exemple)

Le fichiers Host montre ceci:
172.20.251.101 srv2008r.reims.icaar.fr
172.20.251.110 exchange.reims.icaar.fr

Il y a donc bien un serveur Windows 2008 et un serveur exchange dans son réseau. cela pourrait expliquer les requêtes sur le port 445.


Smart
0
KoJi_4 Messages postés 164 Date d'inscription dimanche 14 octobre 2007 Statut Membre Dernière intervention 18 juillet 2014 18
24 févr. 2012 à 15:01
Bonjour à tous,

Désolé j'étais en vacances.

Donc oui il y un AD 2003 en 172.20.251.10 (qui sert de dns) et un exchange 172.20.251.110.

Pour le 212.27.240.40 je me suis trompé dans ma conf DHCPje voulais le DHCP de free (212.27.40.240à), merci :)

ça ne doit pas être grave alors ces requêtes!
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
24 févr. 2012 à 16:26
Je comprends mieux. Ces requêtes c'est normal

Smart
0