suis-je victime d'une attaque ?

roro

Membre d’élite
Club MacG
22 Décembre 2000
3 606
31
44
Lille
depuis vendredi, j'ai un routeur wifi connecté à mon adsl. (certains m'auront suivi dans "Le Mac en réseau")
wink.gif

J'ai configuré mon routeur wifi pour qu'il m'envoie un rapport de logs chaque dimanche à 7h du matin. Jusque là, pas de pb, j'ai reçu le premier ce matin avec rien de particulier à signaler.

Ce qui m'inquiète plus, c'est que depuis l'install vendredi soir, j'ai déjà reçu deux rapports envoyés normalement suite à une attaque. Plus bas, des extraits des rapports de logs.

Suis-je victime d'une attaque ? comment se prémunir de cela ?


Voici des extraits des 2 rapports.:

--------Incoming-------
DateTime From IP
To Port
[2000-01-01 00:00:00] | From:[UNKNOWN:81.50.232.233] | Port:[445] |
[Blocked]
[2004-03-13 16:57:11] | From:[UNKNOWN:81.39.252.124] | Port:[4552] |
[Blocked]
[2004-03-13 16:57:48] | From:[UNKNOWN:81.53.249.25] | Port:[445] |
[Blocked]
[2004-03-13 16:57:54] | From:[UNKNOWN:209.187.118.50] | Port:[1027] |
[Blocked]
[2004-03-13 16:58:12] | From:[UNKNOWN:81.50.37.47] | Port:[137] |

et ainsi de suite...



autre rapport reçu :

--------Incoming-------
DateTime From IP
To Port
[2004-03-12 15:18:43] | From:[UNKNOWN:83.112.67.32] | Port:[5662] |
[Blocked]
[2004-03-12 15:18:43] | From:[UNKNOWN:82.65.35.28] | Port:[5662] |
[Blocked]
[2004-03-12 15:18:54] | From:[UNKNOWN:80.170.151.244] | Port:[5662] |
[Blocked]
[2004-03-12 15:19:12] | From:[UNKNOWN:68.124.185.181] | Port:[445] |
[Blocked]
[2004-03-12 15:19:37] | From:[UNKNOWN:80.14.117.120] | Port:[3127] |
[Blocked]


Autre précision : dans le menu airport, je suis connecté au réseau intitulé "default" (le mien) mais dans le menu, je vois apparaitre un autre réseau intitulé "JPH".
 

roro

Membre d’élite
Club MacG
22 Décembre 2000
3 606
31
44
Lille
HELP ! depuis plus d'une demie heure mon routeur continue de m'envoyer des rapports comme ceux ci-dessus...
dans les réglages, je n'autorise l'accès WAN qu'à mon Mac. De plus, j'ai activé un cryptage WEP. C'est tt ce que je peux faire à priori avec mon routeur.

Que faire contre les ceux qui essaient d'accéder à ma borne ??
 

maousse

Vétéran
Club MacG
20 Avril 2002
7 224
445
40
Paris
orbl.eu
quels sont les critères pour que ton routeur considère une connection comme une "attaque" ?

je ne sais pas si tu as déjà laissé ton serveur apache activé un moment, au hasard, sans rien faire de spécial, mais en regardant le log de connection d'apache, on peut voir des milliers de connections en quelques jours, par des machines qui testent des attaques automatiques, toujours en essayant d'exploiter des failles bien connues de windows.

Sinon, si les ports "attaqués" (que l'on peut voir dans le log de connection) sont-ils redirigés vers une machine de ton réseau ? Si non, tu ne crains rien, la requête est stoppée par ton routeur, et c'est tout !

halte à la parano (d'autant plus si on n'a pas une machine qui tourne avec windows .... )
wink.gif
smile.gif
 

roro

Membre d’élite
Club MacG
22 Décembre 2000
3 606
31
44
Lille
maousse a dit:
quels sont les critères pour que ton routeur considère une connection comme une "attaque" ?

je ne sais pas ! c'est expliqué dans le mode d'emploi... je regarderai et te tiens au courant. Apparamment, il s'agit de logs de tentatives d'"access control" et non de DoS. Quand je clique sur le Logs DoS, il n'y a rien. Par contre, je les retrouve bien quand je demande d'afficher les logs "access control".

Ces rapports se produisent pendant que mon PowerBook et le portable PC de ma copine sont éteints ou en veille.
Je ne crains pas pour mon Mac, mais simplement je ne comprends pas pourquoi "on" essaye d'accéder à mon routeur. Le seul risque pour moi quand mes 2 machines sont éteintes, c'est de filer un accès internet à celui qui arriverait à s'y connecter. Ou alors qu'on puisse récupérer mes identifiants wanadoo ??
je ne fais pas parano mais je m'interroge !

encore une fois, merci pour ta réponse
zen.gif
 

roro

Membre d’élite
Club MacG
22 Décembre 2000
3 606
31
44
Lille
vraiment bizarre ce truc : je suis rentré ce midi et me suis connecté de 13h à 13h30. Eh bien, j'ai reçu un rapport avec le même type d'info que ci-dessus, exactement au moment où je me suis connecté : soit de 13h à 13h30... comprends vraiment pas ce que c'est ! en tous cas, ça ne ressemble finalement pas à des attaques.