connexion etrange sur serveur FTP - Windows & Software
Marsh Posté le 21-05-2002 à 14:52:13
c pas juste un gars ki t aurais envoyer un paquet avec l ip source change en 0.0.0.0 ?
du cote de ton serveur il commence a etablir la connection, mais d apres les log c pas alle bien loin (ce qui est normal )
Marsh Posté le 21-05-2002 à 15:07:45
ben nan, 0.0.0.0, c'est bien l'ip ou il s'est connecte, a partir d'une ip "farfelue" sur le web...
par contre, effectivemement, c'est pas alle bien loin, mais ca m'intrigue
Marsh Posté le 21-05-2002 à 15:20:06
ashgan a écrit a écrit : ben nan, 0.0.0.0, c'est bien l'ip ou il s'est connecte, a partir d'une ip "farfelue" sur le web... par contre, effectivemement, c'est pas alle bien loin, mais ca m'intrigue |
je pense pas qu'il y ai eu de veritable connexion etablie entre les 2
a mon avis le gars a envoyer un paquet avec le bit SYN avec kom source 0.0.0.0 (trafique), ton serveur vois arriver ce paquet et repond a la requete et dis ds les logs, "j etablie une connexion avec cette ip " (qu'il ne pourra jamais etablir)
c ce ke je comprends d apres les logs
[jfdsdjhfuetppo]--Message édité par djtoz le 21-05-2002 à 15:20:23--[/jfdsdjhfuetppo]
Marsh Posté le 21-05-2002 à 15:33:32
pour moi, la source, c'est plutot 192.168.15.1
g6 note les logs comme ca: date - heure - (login) - (ip source)>detail des commandes
le 'connected to ip:0.0.0.0' indique donc bien que mister 192.168.15.1 s'est connecte chez moi par l'ip 0.0.0.0, via mon modem adsl, a priori (j'ai le hub a portee de la main, c'est un baleze s'il me colle une ligne pirate dessus )
Marsh Posté le 21-05-2002 à 16:23:25
ashgan a écrit a écrit : pour moi, la source, c'est plutot 192.168.15.1 g6 note les logs comme ca: date - heure - (login) - (ip source)>detail des commandes le 'connected to ip:0.0.0.0' indique donc bien que mister 192.168.15.1 s'est connecte chez moi par l'ip 0.0.0.0, via mon modem adsl, a priori (j'ai le hub a portee de la main, c'est un baleze s'il me colle une ligne pirate dessus ) |
192.168.15.1 est une ip prive, je pensais donc que c'etait plutot l'ip de ton serveur FTP
si c pas une ip de ton lan, ben c un paquet avec l ip source trafique que tu as recu
je saurais pas te dire ce que s'ignifie le 0.0.0.0 ds tes logs...
Marsh Posté le 21-05-2002 à 16:31:44
autant pour moi, j'ai pas ete assez clair sur mes parametres reseau
c'est ca qui est byzarre (sans compter la connexion a partir d'une IP privee, mais bon, une bidouille peux arranger ca, a priori)
pour moi, 0.0.0.0, c'est l'adresse d'une carte avec adressage dynamique qui n'a justement pas recu d'IP d'un serveur dhcp, par exemple:heink:
or, sur le lan, je suis en IP fixe, et pour le modem, j'ai une IP, vu que j'peux arriver ici, CQFD
le mystere reste entier pour moi
Marsh Posté le 21-05-2002 à 17:56:48
ashgan a écrit a écrit : autant pour moi, j'ai pas ete assez clair sur mes parametres reseau c'est ca qui est byzarre (sans compter la connexion a partir d'une IP privee, mais bon, une bidouille peux arranger ca, a priori) pour moi, 0.0.0.0, c'est l'adresse d'une carte avec adressage dynamique qui n'a justement pas recu d'IP d'un serveur dhcp, par exemple:heink: or, sur le lan, je suis en IP fixe, et pour le modem, j'ai une IP, vu que j'peux arriver ici, CQFD le mystere reste entier pour moi |
J'ai des problèmes similaires sur BulletProof.
A mon avis, c'est des gars qui scannent des plages IP, soit pour trouver des server à accès anonyme, soit pour vérifier tes ports ouverts. Quoi qu'il en soit, je les banne direct, ca règle les problèmes, car les connexions sont souvent longues et multiples. Or, ils ne sont pas vraiment connectés. Evidemment, banner 0.0.0.0, c'est assez fun
Spooky
Marsh Posté le 21-05-2002 à 19:29:12
evidemment
mais d'habitude, le scan de ftp, j'ai pas de souci, je les vois arriver avec leur belle ip et tenter de se connecter sur mon ip "normale", celle de wanadoo.
pareil pour le scan de ports, entre zone alarm et G6, j'en vois arriver plus d'un
enfin...si ca reste un scan de port, il se sera bien embete, a mon avis!!changer l'ip source pour une ip privee et arriver sur une ip phantome, y'a plus simple!
Marsh Posté le 21-05-2002 à 21:57:47
ashgan a écrit a écrit : evidemment mais d'habitude, le scan de ftp, j'ai pas de souci, je les vois arriver avec leur belle ip et tenter de se connecter sur mon ip "normale", celle de wanadoo. pareil pour le scan de ports, entre zone alarm et G6, j'en vois arriver plus d'un enfin...si ca reste un scan de port, il se sera bien embete, a mon avis!!changer l'ip source pour une ip privee et arriver sur une ip phantome, y'a plus simple! |
Bah, il doit juste être moins débile que les autres. Il y en a qui sont rancuniers, alors quand ils se font scanner leur ports, ils répondent
Avec 0.0.0.0, c'est moins évident. Mais dans la cas présent, cette IP représenterai la tienne. Or, c'est peu possible, surtout de l'extérieur. Je pencherai plutôt sur un bug de Bullet Proof, ou lors de la connexion, mauvais adressage à un moment donnée
Spooky
Marsh Posté le 22-05-2002 à 03:49:53
ok
j'vais retenir la version du bug, c'est presque le plus plausible...et continuer a pas m'afoler, vu le sejour unique et assez bref du visiteur
merci a tous les deux!
Marsh Posté le 21-05-2002 à 14:46:54
salut a tous, y'a surement quelqu'un qui a une explication a ce log etrange (tiré de mon serveur FTP):
(000029) 20/05/2002 15:25:29 - (not logged in) (192.168.15.1) > connected to ip : 0.0.0.0
(000029) 20/05/2002 15:25:29 - (not logged in) (192.168.15.1) > sending welcome message.
(000029) 20/05/2002 15:25:29 - (not logged in) (192.168.15.1) > 220 BulletProof FTP Server ready ...
(000029) 20/05/2002 15:25:29 - (not logged in) (192.168.15.1) > disconnected.
premiere question: comment diantre a t il pu se connecter avec une adresse IP privee??
et la 2eme: comment s'est il connecte sur mon serveur FTP en passant par l'ip 0.0.0.0 ????
j'avoue mes ilmites, la, j'arrive pas a m'expliquer ca
pour info: mon serveur FTP est sur ma passerelle, connectee avec raspppoe pour le modem adsl ethernet, et pour la partie LAN, j'ai un ID reseau a 192.168.0.0, vu le partage de connexion effectue avec windows.
ce monsieur ne viens donc pas de mon LAN (d'autant que si c'etait le cas, je le saurais )