salut

j'aimerais savoir si je suis le seul a avoir beaucoup de tentative d'accee a mon pc par des 62.211.x.x ?
En 1h20, il y a eu 14 adresse ip differentes qui ont essayer la meme chose, et tous en provenance d'un 62.211.x.x.
Apres quelque recherche, sa provient tous d'abonner telecom italia.

Alors je supose qu'il y a un virus tres propager en italie, ou sinon on m'en veut :)

Alors quelqu'un a la meme chose ?

a+

edit: et sa continue en 5mn 2 nouvelle tentative, d'adresse ip differentes mais toujours du bloc 62.211.x.x

ce sont quelles genres d'attaques (quel protocole, quel port) ? tu es sous quel os ? Quel outil a détecté ces attaques ? As-tu un firewall ?
Et ne viens-tu pas par hasard d'éteindre ta mule(par exemple), à qui ces paquets auraient pu être destinés ?
Chez moi, aucune trace dans les logs de paquets non sollicités provenant de ce bloc d'adresses. Mais peut-être mes règles de firewall les laissent passer...

port 135, tcp
surement la faille rpc utiliser pas blaster

sinon j'ai une machine linux comme firewall et la detection sont faite par mes propre regle.

sinon, sa vient pas de ma mule :)

je supose que c'est un ver, mais je trouve bisard qu'ils viennent tous de telecom italia... ou sinon les italiens sont pas au courant, mais je trouve cela pas trop normal...

voici une parti des log :
Feb 14 14:45:00 serveur kernel: mechant IN=ppp0 OUT= MAC= SRC=62.211.217.xxx DST=62.212.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=38621 DF PROTO=TCP SPT=3384 DPT=135 WINDOW=65535 RES=0x00 SYN URGP=0
Feb 14 14:57:40 serveur kernel: mechant IN=ppp0 OUT= MAC= SRC=62.211.57.xxx DST=62.212.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=35558 DF PROTO=TCP SPT=4260 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0
Feb 14 14:58:55 serveur kernel: mechant IN=ppp0 OUT= MAC= SRC=62.211.230.xxx DST=62.212.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=48043 DF PROTO=TCP SPT=1940 DPT=135 WINDOW=65535 RES=0x00 SYN URGP=0
Feb 14 14:59:09 serveur kernel: mechant IN=ppp0 OUT= MAC= SRC=62.211.188.xxx DST=62.212.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=120 ID=18196 DF PROTO=TCP SPT=1251 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0
Feb 14 15:02:22 serveur kernel: mechant IN=ppp0 OUT= MAC= SRC=62.211.217.xxx DST=62.212.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=33139 DF PROTO=TCP SPT=1551 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0
Feb 14 15:35:45 serveur kernel: mechant IN=ppp0 OUT= MAC= SRC=62.211.251.xxx DST=62.212.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=53813 DF PROTO=TCP SPT=2654 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0
Feb 14 15:45:41 serveur kernel: mechant IN=ppp0 OUT= MAC= SRC=62.211.225.xxx DST=62.212.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=26358 DF PROTO=TCP SPT=4000 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0
Feb 14 15:46:21 serveur kernel: mechant IN=ppp0 OUT= MAC= SRC=62.211.4.xxx DST=62.212.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=120 ID=15921 DF PROTO=TCP SPT=4351 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0
Feb 14 15:49:04 serveur kernel: mechant IN=ppp0 OUT= MAC= SRC=62.211.139.xxx DST=62.212.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=120 ID=33952 DF PROTO=TCP SPT=3148 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0
Feb 14 15:49:50 serveur kernel: mechant IN=ppp0 OUT= MAC= SRC=62.211.141.xxx DST=62.212.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=120 ID=62711 DF PROTO=TCP SPT=1282 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0
Feb 14 15:50:26 serveur kernel: mechant IN=ppp0 OUT= MAC= SRC=62.211.137.xxx DST=62.212.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=120 ID=19257 DF PROTO=TCP SPT=4813 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0
Feb 14 15:52:46 serveur kernel: mechant IN=ppp0 OUT= MAC= SRC=62.211.240.xxx DST=62.212.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=32787 DF PROTO=TCP SPT=4754 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0
Feb 14 15:54:33 serveur kernel: mechant IN=ppp0 OUT= MAC= SRC=62.211.239.xxx DST=62.212.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=6801 DF PROTO=TCP SPT=4087 DPT=135 WINDOW=65535 RES=0x00 SYN URGP=0
Feb 14 16:03:09 serveur kernel: mechant IN=ppp0 OUT= MAC= SRC=62.211.217.xxx DST=62.212.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=9668 DF PROTO=TCP SPT=3553 DPT=135 WINDOW=65535 RES=0x00 SYN URGP=0
Feb 14 16:23:48 serveur kernel: mechant IN=ppp0 OUT= MAC= SRC=62.211.196.xxx DST=62.212.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=120 ID=63116 DF PROTO=TCP SPT=4834 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0
Feb 14 16:30:27 serveur kernel: mechant IN=ppp0 OUT= MAC= SRC=62.211.228.xxx DST=62.212.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=3174 DF PROTO=TCP SPT=2698 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0
Feb 14 16:31:07 serveur kernel: mechant IN=ppp0 OUT= MAC= SRC=62.211.198.xxx DST=62.212.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=120 ID=61192 DF PROTO=TCP SPT=2700 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0
Feb 14 16:33:03 serveur kernel: mechant IN=ppp0 OUT= MAC= SRC=62.211.220.xxx DST=62.212.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=9776 DF PROTO=TCP SPT=4333 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0
Feb 14 16:51:00 serveur kernel: mechant IN=ppp0 OUT= MAC= SRC=62.211.247.xxx DST=62.212.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=42405 DF PROTO=TCP SPT=2886 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0
Feb 14 17:02:17 serveur kernel: mechant IN=ppp0 OUT= MAC= SRC=62.211.237.xxx DST=62.212.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=59827 DF PROTO=TCP SPT=4376 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0
Feb 14 17:04:12 serveur kernel: mechant IN=ppp0 OUT= MAC= SRC=62.211.141.xxx DST=62.212.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=120 ID=6810 DF PROTO=TCP SPT=3048 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0
Feb 14 17:07:48 serveur kernel: mechant IN=ppp0 OUT= MAC= SRC=62.211.230.xxx DST=62.212.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=33384 DF PROTO=TCP SPT=3676 DPT=135 WINDOW=65535 RES=0x00 SYN URGP=0

Oui effectivement, ça ressemble bien à des attaques blaster. Pour ma part il me semble que j'en reçois moins qu'avant, mais il reste quand même énormément d'ordinateurs infectés et chez les italiens comme ailleurs (moi j'ai 2800 essais d'intrusions sur le port 135 sur la seule dernière semaine)
Ceci dit, je me demande si Windows lui-même n'essaie pas régulièrement d'envoyer des paquets sur ce ports (puisque c'est un port qu'il utilise communément pour sa communication réseau local)
La majorité des paquets reçus sur ce port proviennent d'abonnés du même provider que moi. D'ici que ton provider vienne de se rapprocher de telecom italia et que leurs réseaux aient été "fusionnés".... ça paraît à moi-même complètement bancal, mais sinon, je ne vois effectivement pas ce qui peut expliquer le soudain et la localisation de ces attaques sur ton firewall....

Le nouveau ver "justicier" Nachi se propage à la fois en utilisant la faille rpc (port 135) et le port ouvert par mydoom (3127->3198), c'est peut-être ça.

Ces adresses viennent de méchants monsieurs de l'autre coté des Alpes parlant avec les mains! :-). En gros c'est un pool d'@ d'un FAI italien. Donc faut voir si tu vas pas sur des iRC ou des sites italiens. Auquels cas ca pourrait expliquer cela... Mais soit dit en passant pourquoi tu t'inquiètes? Vu que ton FW bloque ces ports?

c'est juste par curiosite, vu que je vais sur aucun site italien, je ne connais aucun italien... me demande pourquoi ils sont tous italien.

Sinon sa m'incquiete pas vraiment, juste pour savoir :)