Voir le sujet précédent :: Voir le sujet suivant |
Auteur |
Message |
popof Lapin blanc
Inscrit le: 14 Mar 2007 Messages: 4
|
Posté le: 14 Mar 2007, 20:14 -> Sujet du message: Probleme maj DNS |
|
|
Bonjours,
dyndns viens de m'envoyer le mail suivant :
Citation: | The hostname, mondyndns.org, in account moncompte, has been blocked for
abuse. This action has been taken due to the receipt of multiple updates
originating from the same IP address. |
ma mise a jour d'ip se fait par la alicebox et cela fait environ 10 mois que ca marche bien!
j'ai regarder dans les evenements systemes et j'ai ces messages :
Citation: | Date et heure Service Criticite Message
Mar 14 19:06:21 kern alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=82.216.61.182 DST=88.123.178.144 LEN=48 TOS=0x00 PREC=0x00 TTL=120 ID=30666 DF PROTO=TCP SPT=3058 DPT=6346 WINDOW=65535 RES=0x00 SYN URGP=0
Mar 14 19:06:24 kern alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=82.216.61.182 DST=88.123.178.144 LEN=48 TOS=0x00 PREC=0x00 TTL=120 ID=30831 DF PROTO=TCP SPT=3058 DPT=6346 WINDOW=65535 RES=0x00 SYN URGP=0
Mar 14 19:06:30 kern alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=82.216.61.182 DST=88.123.178.144 LEN=48 TOS=0x00 PREC=0x00 TTL=120 ID=31171 DF PROTO=TCP SPT=3058 DPT=6346 WINDOW=65535 RES=0x00 SYN URGP=0 |
suis je victime d'attaque ?
est ce que les evenements sont lié a la maj dns ?
solutions ?
merci
|
|
Revenir en haut |
|
|
Nemesis Administrateur
Inscrit le: 27 Jan 2006 Messages: 3407 Localisation: Région Lyonnaise
|
Posté le: 15 Mar 2007, 17:34 -> Sujet du message: |
|
|
Bonjour et bienvenue sur C-Alice.
Nous sommes plusieurs sur le forum a avoir eu ce mail de dyndns avec l'hitachi pour ma part je l'ai eu une fois et depuis rien depuis la réactivation de mon adresse dynamique.
Le sujet ouvert pour ce problème est ici : Adresse virtuelle DynDNS bloquée "Bolcked due to Abuse"
Jusqu'à maintenant nous savons pas la cause du problème.
Je pense pas que tu sois victime d'attaques, je crois qu'il doit avoir un problème de connexion à des moments entre l'hitachi et dyndns ce qui considéré peut-être par dyndns comme un abus.
Je dis ça car j'ai constaté quand j'ai remis l'adresse dyndns en route que mon ip n'avait pas été mis à jour après c'est une hypothèse et peut-être pas la vrai cause.
_________________
:: > Administrateur du Cercle des Aliciens < :: Pas de questions par MP : Merci d'utiliser le forum :: |
|
|
Revenir en haut |
|
|
popof Lapin blanc
Inscrit le: 14 Mar 2007 Messages: 4
|
Posté le: 17 Mar 2007, 15:11 -> Sujet du message: |
|
|
Merci Nemesis, et desolé pour la reouverture d'un post deja en cours.
je vais reactiver mon dyndns...
que penses tu des logs de mon alicebox. As tu la meme chose ?
je t'en remets un petit exemplaire :
Citation: | Mar 17 12:55:49 kern alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=82.252.129.30 DST=83.157.62.237 LEN=64 TOS=0x00 PREC=0x00 TTL=39 ID=15838 DF PROTO=TCP SPT=3061 DPT=31815 WINDOW=53760 RES=0x00 SYN URGP=0
Mar 17 13:06:14 kern alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=86.209.184.240 DST=83.157.62.237 LEN=52 TOS=0x00 PREC=0x00 TTL=45 ID=41741 DF PROTO=TCP SPT=19093 DPT=31815 WINDOW=65535 RES=0x00 SYN URGP=0
Mar 17 13:15:41 kern alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=86.209.184.240 DST=83.157.62.237 LEN=52 TOS=0x00 PREC=0x00 TTL=45 ID=17578 DF PROTO=TCP SPT=24548 DPT=31815 WINDOW=65535 RES=0x00 SYN URGP=0
Mar 17 13:25:47 kern alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=86.209.184.240 DST=83.157.62.237 LEN=52 TOS=0x00 PREC=0x00 TTL=45 ID=58301 DF PROTO=TCP SPT=30420 DPT=31815 WINDOW=65535 RES=0x00 SYN URGP=0
Mar 17 13:35:58 kern alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=82.252.129.30 DST=83.157.62.237 LEN=64 TOS=0x00 PREC=0x00 TTL=39 ID=8620 DF PROTO=TCP SPT=4881 DPT=31815 WINDOW=53760 RES=0x00 SYN URGP=0
Mar 17 13:46:52 kern alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=82.252.129.30 DST=83.157.62.237 LEN=64 TOS=0x00 PREC=0x00 TTL=39 ID=39049 DF PROTO=TCP SPT=4305 DPT=31815 WINDOW=53760 RES=0x00 SYN URGP=0
Mar 17 13:55:49 kern alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=82.252.129.30 DST=83.157.62.237 LEN=64 TOS=0x00 PREC=0x00 TTL=39 ID=39019 DF PROTO=TCP SPT=3444 DPT=31815 WINDOW=53760 RES=0x00 SYN URGP=0 |
moi ce qui me gene c'est kernel:intrusion...
|
|
Revenir en haut |
|
|
Nemesis Administrateur
Inscrit le: 27 Jan 2006 Messages: 3407 Localisation: Région Lyonnaise
|
Posté le: 17 Mar 2007, 16:18 -> Sujet du message: |
|
|
j'ai le même genre de trucs, et je pense que c'est normal de toute façon si c'était le cas si tu as un bon firewall sur ton ordinateur y pas de risque d'intrusion logiquement.
_________________
:: > Administrateur du Cercle des Aliciens < :: Pas de questions par MP : Merci d'utiliser le forum :: |
|
|
Revenir en haut |
|
|
guilc Reine/Roi de Coeur
Inscrit le: 28 Sep 2006 Messages: 817 Localisation: Paris
|
Posté le: 17 Mar 2007, 16:59 -> Sujet du message: |
|
|
popof a écrit: | Merci Nemesis, et desolé pour la reouverture d'un post deja en cours.
je vais reactiver mon dyndns...
que penses tu des logs de mon alicebox. As tu la meme chose ?
je t'en remets un petit exemplaire :
Citation: | Mar 17 12:55:49 kern alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=82.252.129.30 DST=83.157.62.237 LEN=64 TOS=0x00 PREC=0x00 TTL=39 ID=15838 DF PROTO=TCP SPT=3061 DPT=31815 WINDOW=53760 RES=0x00 SYN URGP=0
Mar 17 13:06:14 kern alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=86.209.184.240 DST=83.157.62.237 LEN=52 TOS=0x00 PREC=0x00 TTL=45 ID=41741 DF PROTO=TCP SPT=19093 DPT=31815 WINDOW=65535 RES=0x00 SYN URGP=0
Mar 17 13:15:41 kern alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=86.209.184.240 DST=83.157.62.237 LEN=52 TOS=0x00 PREC=0x00 TTL=45 ID=17578 DF PROTO=TCP SPT=24548 DPT=31815 WINDOW=65535 RES=0x00 SYN URGP=0
Mar 17 13:25:47 kern alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=86.209.184.240 DST=83.157.62.237 LEN=52 TOS=0x00 PREC=0x00 TTL=45 ID=58301 DF PROTO=TCP SPT=30420 DPT=31815 WINDOW=65535 RES=0x00 SYN URGP=0
Mar 17 13:35:58 kern alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=82.252.129.30 DST=83.157.62.237 LEN=64 TOS=0x00 PREC=0x00 TTL=39 ID=8620 DF PROTO=TCP SPT=4881 DPT=31815 WINDOW=53760 RES=0x00 SYN URGP=0
Mar 17 13:46:52 kern alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=82.252.129.30 DST=83.157.62.237 LEN=64 TOS=0x00 PREC=0x00 TTL=39 ID=39049 DF PROTO=TCP SPT=4305 DPT=31815 WINDOW=53760 RES=0x00 SYN URGP=0
Mar 17 13:55:49 kern alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=82.252.129.30 DST=83.157.62.237 LEN=64 TOS=0x00 PREC=0x00 TTL=39 ID=39019 DF PROTO=TCP SPT=3444 DPT=31815 WINDOW=53760 RES=0x00 SYN URGP=0 |
moi ce qui me gene c'est kernel:intrusion... |
Ce n'est rien.
C'est des tentatives de connexion tcp (SYN) sur le port 31815 de ton modem en provenance de 82.252.129.30 (une freeboite) et 86.209.184.240 (une liveboite). Ton modem les rejette. Donc ça ne mange pas de pain, c'est sans risque, et ce n'est certainement pas la cause de ton problème.
Sans doute cela vient de PC infectés par un worm quelconque qui tente d'établir des connexions
|
|
Revenir en haut |
|
|
Nemesis Administrateur
Inscrit le: 27 Jan 2006 Messages: 3407 Localisation: Région Lyonnaise
|
Posté le: 17 Mar 2007, 21:26 -> Sujet du message: |
|
|
Merci guilc pour la confirmation.
_________________
:: > Administrateur du Cercle des Aliciens < :: Pas de questions par MP : Merci d'utiliser le forum :: |
|
|
Revenir en haut |
|
|
popof Lapin blanc
Inscrit le: 14 Mar 2007 Messages: 4
|
Posté le: 17 Mar 2007, 23:43 -> Sujet du message: |
|
|
Merci à vous deux pour ces precisions.
|
|
Revenir en haut |
|
|
|