Tentative intrusion via scan port

prisca22

prisca22

Membre actif
4 Novembre 2007
168
3
Paris 15ème
Bonjour :),

Depuis quelques mois, j'ai remarqué que mon Virus Barrier stoppait des IP qui tentaient de scanner mes ports. En fait, j'ai eu 1 alerte le mois de juin, 2 en octobre, 1 en novembre, mais depuis le mois de décembre ça va crescendo (presqu'une par jour). Seule chose différente dans mon installation c'est l'utilisation d'un VPN depuis fin Octobre. Aussi, je suis connectée en ethernet exclusivement. Les IP coupables viennent de partout, de la Chine, des USA, mais aussi d'Europe.
Sur le VPN je suis en IP dynamique.
Mon FAI c'est Free. Je suis sur Mac OS 10.5.8 PPC.

Quelqu'un pourrait m'aider à stopper ces tentatives d'attaques ? Merci d'avance ! :zen:
 
Bonsoir,

Avec VirusBarrier, rajouter les adresses IP suspectées dans Antivandales---Adresses Bloquées.
VirusBarrier les bloquera au premier message, alors que la "Politique de sécurité" doit en laisser passer quelques-uns avant de se rendre compte que c'est un balayage de ports.
Enfin, je crois...

Vous êtes sûr que les attaques viennent du VPN?
Dans les logs de VirusBarrier, les enregistrements correspondants aux attaques sont sur quelle interface?
 
Polo35230 a dit:
Bonsoir,

Avec VirusBarrier, rajouter les adresses IP suspectées dans Antivandales---Adresses Bloquées.
VirusBarrier les bloquera au premier message, alors que la "Politique de sécurité" doit en laisser passer quelques-uns avant de se rendre compte que c'est un balayage de ports.
Enfin, je crois...

Vous êtes sûr que les attaques viennent du VPN?
Dans les logs de VirusBarrier, les enregistrements correspondants aux attaques sont sur quelle interface?
Cliquez pour agrandir...
Merci de ta réponse.
C'est Virus Barrier qui m'a alertée à chaque fois de ces tentatives avec les adresses IP en question. Virus Barrier les met dans un dossier "Adresses bloquées" qu'on peut consulter.
Je ne suis pas sûre que les attaques viennent du VPN, surtout que j'ai changé de fournisseur entre le mois d'octobre et fin novembre. Avec le fournisseur actuel, c'est bien pire. Mais, y a-t-il vraiment une relation de cause à effet ? Je ne suis pas sûre. Je constate seulement que c'est la seule différence dans mon installation.
Que veux-tu dire à propos d'interface ?
 
Il faut regarder dans les historiques (la petite icône en bas à droite de la fenêtre principale de VirusBarrier)
Historiques---Réseau---Mode: Expert---Afficher: Tous

Les événements réseau (connexions entrantes et sortantes) s'affichent.
On peut trier sur source (en cliquant sur "source").
On doit alors retrouver les adresses IP qui correspondent au balayage de ports. On regarde la colonne "interface" qui correspond à cette adresse IP.
en0 correspond à l'interface ethernet.
Si tu as autre chose, ça doit correspondre à l'interface virtuelle utilisée par ton client VPN.

Pour savoir si ça correspond bien au client VPN, dans une fenêtre Terminal, tapes la commande:
ifconfig
Il doit y avoir la liste des interfaces actives dont l'interface ethernet (en0) et l'interface virtuelle VPN.

Pour moi, aucun rapport entre le FAI et les balayages de port.

On peut bien sûr tout imaginer, mais pour moi, c'est plus vraisemblablement la connexion à un site particulier (via VPN, ou pas...) qui est à l'origine du pb.
Par curiosité, quel est le serveur VPN?
 
Dernière édition:
Merci Polo pour ces explications. Je n'ai jamais fait qu'utiliser Virus Barrier comme utilisatrice lambda. Je n'ai jamais exploré les fonctions.

En faisant ce que tu as indiqué, en effet l'interface n'est pas en0 mais tun0 ce qui me semble confirmer que les attaques proviennent d'un tunnel.
C'est incroyable le nombre de connexions affichées. Je n'ai les résultats que pour la journée courante. Je ne sais pas si on peut accéder à d'autres dates passées.

Je n'ai pas le temps maintenant de tester sur terminal, mais je ne doute pas du résultat.

Mon fournisseur VPN est Hide My Ass utilisant un serveur en Suisse. Aujourd'hui j'ai eu 2 visites bloquées d'IP différents.

Des idées ? Je commence vraiment à flipper :confused:
 
Dernière édition:
prisca22 a dit:
l'interface n'est pas en0 mais tun0 ce qui me semble confirmer que les attaques proviennent d'un tunnel.
Cliquez pour agrandir...
C'est exact, mais ça ne veut pas dire que c'est le fait de passer par un tunnel VPN qui fait que des machines tentent d'ouvrir des sessions en scannant des plages de ports pour essayer de se connecter à des services qui pourraient être actifs sur ton Mac.
Pour moi c'est en visitant un site que tu as récupéré quelque chose. Pas un virus, mais plus vraisemblablement un malware.

prisca22 a dit:
C'est incroyable le nombre de connexions affichées. Je n'ai les résultats que pour la journée courante. Je ne sais pas si on peut accéder à d'autres dates passées.
Cliquez pour agrandir...
On peut Archiver les historiques. Dans les préférences de VirusBarrier, il y a un onglet "Historiques". C'est là...
Maintenant, quand on regarde les logs, attention, on peut virer paranoïaque...:)


prisca22 a dit:
Mon fournisseur VPN est Hide My Ass utilisant un serveur en Suisse. Aujourd'hui j'ai eu 2 visites bloquées d'IP différents.
Des idées ? Je commence vraiment à flipper :confused:
Cliquez pour agrandir...
HydeMyAss, ça a l'air dêtre sérieux. Je crois qu'on peut écarter la pollution par le serveur VPN lui-même.

Par contre, comme tu as une adresse IP dynamique attribuée par le serveur VPN, et que, malgré que ton adresse IP change, tu sois tjs polluée, on peut penser qu'il y a quelque chose dans ta machine qui génère un appel sortant vers un site qui sert de porte d'entrée aux attaques.
Dans l'appel sortant, il y a ton adresse IP. Donc, après, facile pour scanner...
Chais pas si je suis bien clair...

Donc, ce qu'il faudrait faire:
Débrancher le câble ethernet du Mac.
Re-booter le Mac
Supprimer les cookies dans les préférences de Safari (onglet sécurité), si c'est ton navigateur.
Après, on peut tjs regarder dans les logs de VirusBarrier s'il y a, dans les lignes, juste avant les attaques de scanning de ports, un connexion sortante (regarder l'adresse IP "destination") qui est présente à chaques fois. (C'est une adresse qui est différentes des adresses qui scannent ta machine)
Si c'est le cas, Il faudra rajouter cette adresse dans les adresses bloquées de VirusBarrier.

Ne pas oublier de rebrancher le câble...
Maintenant, il ne faut pas que ça te gâche le réveillon...;)
 
Dernière édition:
Je vais, de ce pas, effectuer tes indications. Je te tiendrai au courant pour la suite.

Je te souhaite ainsi qu'aux tiens un excellent réveillon. :D :D :D
 

Sujets similaires

M
scan port
Réponses
7
Affichages
1K
FAI et réseau Mac
golf
golf
pickeugo
alerte Net barrier ! c'est quoi un Scanport??
Réponses
7
Affichages
1K
Classic Mac
rezba
rezba
mac_gyver
Mon avis, 6 mois après mon switch
Réponses
50
Affichages
11K
Switch et conseils d’achat Mac
Amalcrex
A
Haut Bas