Le blog de Genma
Vous êtes ici : Accueil » Informatique & Internet » Freebox et Free le F.A.I. » Freebox : blocage des tentatives de connexion de botnets

Freebox : blocage des tentatives de connexion de botnets

D 14 février 2008     H 20:45     A Genma     C 0 messages   Logo Tipee

TAGS : Free, Freebox, Freemobile

Faisant suite à l’article Freebox : pourquoi Firestarter bloque la lecture des chaines Télé avec VLC ?, voici un nouvel article toujours en rapport avec ce firewall.

Quelques soit le moment de la journée (de tôt le matin à tard dans la nuit), le logo de Firestarter passe au rouge indiquant des tentatives de connexions, des scans de ports etc.

Firestarter_TentativeConnexion.jpg

Si l’on fait une analyse à grosse maille des blocages de connexion par Firestarter, on peut voir que l’on a pas mal d’IP correspond à Free (75%) mais aussi pas mal de chinoise (dont une qui a tenté tout un tas de port différents).

$ whois WWW.XXX.YYY.ZZZ (avec une adresse IP) permettant de connaître le fournisseur d’accès de l’IP en question.

A titre d’information, voici la liste des tentatives de connexions :
 Port 135 DCOM-scm
 ms-sql-s /ms-sql-m
 microsoft-ds
 sun-rpc-portmap
 samba
 vnc
 zserv

Une recherche dans un moteur de recherche nous indique que pour toutes ces connexions, il a existé des failles de sécurité, normalement corrigé (encore faut-il avoir mis son système à jour), mais également les logiciels/virus/vers/techniques d’intrusion exploitant ces failles. Des machines infectées (des bots) scannent donc aléatoirement des plages d’ip pour automatiser les tests.

Si je teste via nmap les ports réellement ouvert sur ma machine, j’obtiens :

genma@gusty : $ sudo nmap -sS -v localhost

Starting Nmap 4.20 at 2008-02-14 19:57 CET
Initiating SYN Stealth Scan at 19:57
Scanning localhost (127.0.0.1) [1697 ports]
Discovered open port 902/tcp on 127.0.0.1
Completed SYN Stealth Scan at 19:57, 0.20s elapsed (1697 total ports)
Host localhost (127.0.0.1) appears to be up ... good.
Interesting ports on localhost (127.0.0.1) :
Not shown : 1696 closed ports
PORT STATE SERVICE
902/tcp open iss-realsecure-sensor

Nmap finished : 1 IP address (1 host up) scanned in 0.264 seconds
Raw packets sent : 1697 (74.668KB) | Rcvd : 3395 (142.592KB)

Pour information, comme je fais tourner un VMware server (la virtualisation rocks !), qui tourne et ce port est réservé au démon, comme l’indique un $cat /etc/services |grep 902 : vmware-authd 902/tcp. L’attribution du port par nmap se basant quand à elle sur un fichier dans sa source.

Il faut bien se rappeler que ni Firefox, ni Linux, ni Mac OS ne sont épargnés par des failles de sécurité... D’où l’utilité de tenir - METTRE SON SYSTEME A JOUR, régulièrement.

Quelques liens :
 Pour les débutants, de bon conseil pour bien commencer avec le portail que le gouvernement a lancé récemment :
http://www.securite-informatique.gouv.fr
 Pour les avancés, un site qui propose un script python pour une analyse graphique des logs de firestarter :
Statistiques de tentatives de connexion
 Pour les experts, le site qui liste jour après jour toutes les nouvelles failles de sécurité découvertes tout logiciel confondu, http://www.zataz.com.