'lut
 
bon, c'est la première fois que je vois ca (peutetre que ca fait des semaines que je le traine en fait) dans les logs de secu de mon winroute (kerio 4.2.5 sous win2000 pro sp3):
 
[23/Sep/2003 00:24:18] NAT: Detected TCP packet which has no entry in the NAT table. The following line contains suspicious packet dump:
[23/Sep/2003 00:24:18] NAT: + proto:TCP, len:54, ip+port:127.0.0.1:80 -> 82.64.209.159:1561, flags: RST ACK , seq:0 ack:1252196353, win:0, tcplen:0
 
[23/Sep/2003 00:24:43] NAT: Detected TCP packet which has no entry in the NAT table. The following line contains suspicious packet dump:
[23/Sep/2003 00:24:43] NAT: + proto:TCP, len:54, ip+port:127.0.0.1:80 -> 82.64.209.159:1082, flags: RST ACK , seq:0 ack:1539112961, win:0, tcplen:0
 
[23/Sep/2003 00:24:43] NAT: Detected TCP packet which has no entry in the NAT table. The following line contains suspicious packet dump:
[23/Sep/2003 00:24:43] NAT: + proto:TCP, len:54, ip+port:127.0.0.1:80 -> 82.64.209.159:1678, flags: RST ACK , seq:0 ack:293666817, win:0, tcplen:0
 
[23/Sep/2003 00:25:09] NAT: Detected TCP packet which has no entry in the NAT table. The following line contains suspicious packet dump:
[23/Sep/2003 00:25:09] NAT: + proto:TCP, len:54, ip+port:127.0.0.1:80 -> 82.64.209.159:1698, flags: RST ACK , seq:0 ack:1490878465, win:0, tcplen:0
 
nb: mon ip dyn a lheure de ce post est: 82.64.209.159
 
bon, vous voyez la recurrence du truc...
alors c'est quoi ce 127.0.0.1:80 ????? bon sang de bonsoir, c censé etre le propre port http de ma propre machine ??? keske c ke cette merdasse ?
un espece de virus/ver a la con ?
ou alors je suis tout simplement cretinus et je passe a coté d1 truc tout simple
 
a ma connaissance, et a moins ke mon pc ait fumé de la drogue tout seul, je nai aucun service ki tourne en local sur le port 80 (ni sur aucun des autres pcs)
et de toutfass je nai configuré aucune regle de secu, g juste laissé faire le nat (kom on peut le voir dans le log)
donc en theorie, si le truc est logué, il est rejeté
s'il est rejeté c kil vient de lexterieur (nat et 0 regles fw obligent)
juske la c logik
sauf ke...
cette bon sang dadresse source 127.0.0.1 sur le port 80...
 
ca me loisse coi
 
kk1 aurait une reponse ?
 
merci davance ))
a ploutch

ip spoofing ça mord pas

 
mhhh, oki, donc il sagit bien d1 espece dattaque... bizarre ce truc kan m, a partir du moment ou il sagit d1 adresse non-routable...
 
enfin bon, javais donc vu +ou- juste, me disant ke certainement ke sur certains fw, le localhost nest pas vérifié
bref... aucun souci particulier donc )
(a part kil semblerait kil yait plusieurs attaques du m type en m tps dans le coin, ma cops ki habite a 15kms dissi (louvier - 27) a les m logs dans son winroute (c moi ki lui ai fait son install ;-p))
 
merci des infos en tout cas )
aploutch

rend lui la pareil.
 
ouvre un explorateur sur \\127.0.0.1\c$
 
 
et supprime tout les fichiers    
 
 
 
 
 
 
euhhhhh c est une blague, ne le fait pas !

c une attaque venge toi !
 
\\127.0.0.1\C$ ctrl+a suppr entrée  
 
il te fera plus chier comme ca

bizarre, j'habite à Louviers aussi et j'ai exactement les meme problèmes (ca fait déjà plusieurs semaines et j'ai pas cherché à comprendre => j'ai réinstallé la mandrake 9.2 ....)

j'ai lu un truc à se sujet concernant msblast ou un équivalent, il essayerais un ddos sur win update, mais avec une fausse ip, et c'est la réponse qui reviendrait chez "toi", puisque la vraie est "toi"

 
lut, bah c pas un reel pb, c t surtout ke je trouvais ce log bizarroide, en fait, a part le flux de logs ke ca engendre et le flux d'E/S sur le hdd (enfin 200 octets ttes les 3 secondes c pas violent )
donc bon, maintenant ke je suis sur ke ca vient pas d1 parametrage a la con ke jaurais fait, et ke de + ca arrive a plusieurs personnes du m coin... tout va bien
 
content de voir un loverien adéhéssélisé c toi alors la 2e pe personne avec lakelle je partage la bp adsl de la ville ? )
perso, free 512/128 officiel, 640/160 en officieux ) royal non )
 
aploutch

127.0.0.1 c'est pas l'adresse host de quelques^programmes, notamment pour le PHP internes par hasard.

 
Quel vicieux !

En gros tu es en train de te hacker toi-même

c comme cela k on decouvre hein

 
C'est vrai!!
Faut qu'il fasse la manip que tu indiques une fois au moins!!
 
C'est une forme de dépucelage.