Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Proxad - constant port scans

7 réponses
Avatar
ngrobbieuk
[Modération] Robbie écrivant en anglais je traduis la demande.
Comme il indique lire le français les réponses devront se faire dans cette langue :)
Eric.

D'abord je tiens à m'excuser du fait que ce texte est en anglais.
J'ai bien peur de ne pouvoir l'écrire bien que je puisse le lire.

Quelqu'un peut-il me dire qui est Proxad? J'ai reçu une quantité
considérable de scan de port à partir d'une adresse apartenant à Proxad.
Mon firewall a bloqué et loggé ces tentatives. En moyenne j'ai une
vingtaine de scan par heure, parfois plus [ndt : normal c'est une moyenne :)]
avec l'IP appartenant au groupe possédé par Proxad.
Chaque adresse IP est unique et ce n'est donc pas une unique personne qui
tenterait un scan / un hack etc.

J'ai écris à Proxad sans succès ; ils n'on pas répondu.
J'ai noté ce groupe de message archivé par Google Groups [ndt voir
le lien dans le texte original] qui discute du même sujet.

Proxad est-il utilisé par beaucoup de hackers ou ce peut-il qu'un virus
affecte les ordinateurs utilisant ce FAI (Robbie, ISP=FAI, fournisseur
d'accès à Internet).

Merci par avance à toute personne qui pourrait me répondre. Encore désolé
de ce texte en anglais.

Robbie.


===== Post d'origine ======

Firstly, may I apologise for the fact this is in English, I'm afraid I
can't write French, though I can read it OK.

Can someone tell me who Proxad is? I've been getting an extremely large
amount of port scans that originate from IP addresses owned by Proxad.
My firewall is successfully blocking these attempts, and recording
them. On average I am getting about 20 per hour, sometimes more, where
the IP address is part of the range owned by Proxad. Each IP address is
unique - so it's not a case of one person constantly attempting to scan
/ hack etc.

I have written to Proxad, with no luck - they have failed to reply.

I did notice this set of messages archived at Google Groups

http://groups-beta.google.com/group/fr.comp.securite/browse_frm/thread/1c31cbb1819e1d69/49a68a4664809cbe?q=proxad+82&rnum=9&hl=en#49a68a4664809cbe

which appears to be about the same subject.

Is Proxad being used by a lot of hackers or could it be a virus that is
affecting computers using that ISP?

Thanks in advance for anyone who can answer my query. Again, apologies
for this being in English.

Robbie

7 réponses

Avatar
Michel Arboi
On Thu Jun 16 2005 at 10:23, wrote:

Quelqu'un peut-il me dire qui est Proxad?


Un fournisseur d'accès, comme tant d'autres.

J'ai reçu une quantité considérable de scan de port à partir d'une
adresse apartenant à Proxad.


Vraiment des "scans" (littéralement "balayage" en français) ? C'est
rare. Le dernier chez moi date du 10 Juin.
Ou juste une connexion sur 135, 139 ou 445 ? Ça, j'en ai des tas. En
moyenne une nouvelle IP "attaquante" toutes les deux ou trois
minutes. Ce sont des vers.

vingtaine de scan par heure, parfois plus
avec l'IP appartenant au groupe possédé par Proxad.


C'est bizarre. Ces vers attaquent en général le réseau proche.

Chaque adresse IP est unique et ce n'est donc pas une unique personne qui
tenterait un scan / un hack etc.


Non ce sont des vers.

J'ai écris à Proxad sans succès ; ils n'on pas répondu.


Je pense qu'il faudrait plutôt écrire à Microsoft :-)

Si les FAI veulent détecter les machines infectées chez leurs clients
et les avertir, ils peuvent le faire très facilement -- ce serait
d'ailleurs une bonne politique, la plupart de ces machines sont
infectées par des bots IRC, assez dangereux.

J'ai noté ce groupe de message archivé par Google Groups [ndt voir
le lien dans le texte original] qui discute du même sujet.


Robbie, you're beating a dead horse.

Proxad est-il utilisé par beaucoup de hackers


Je l'ignore.

ou ce peut-il qu'un virus affecte les ordinateurs utilisant ce FAI


Eh oui ! Comme beaucoup de FAI.

Quand j'aurai un peu de temps, j'écrirai un script pour envoyer un
message par smbclient à la machine distante du genre "Votre machine
est infectée par un ver, nettoyez la SVP". Avec quelques URL
d'antivirus gratuits.

Mais je ne suis pas très motivé, je crains que ça soit complètement
inutile.
L'utilisateur de base ne bougera pas si ça machine tourne "sans
problème". Qu'elle serve de relais de spam ou participe à des DDoS ne
le concerne pas. L'irresponsabilité est le mal de notre époque :-(

Avatar
Patrick 'Zener' Brunet
Bonjour.

On Thu Jun 16 2005 at 10:23, wrote:
[...]
Quand j'aurai un peu de temps, j'écrirai un script pour envoyer un
message par smbclient à la machine distante du genre "Votre machine
est infectée par un ver, nettoyez la SVP". Avec quelques URL
d'antivirus gratuits.

Mais je ne suis pas très motivé, je crains que ça soit complètement
inutile.
L'utilisateur de base ne bougera pas si ça machine tourne "sans
problème". Qu'elle serve de relais de spam ou participe à des DDoS ne
le concerne pas. L'irresponsabilité est le mal de notre époque :-(


J'avais émis une idée ***purement théorique bien sûr*** sur ce groupe, le
16/05, dans un thread nommé "Spam & zombies", et visant à traiter ce genre
de situation d'une manière ... peut-être politiquement incorrecte, mais
probablement assez efficace. Si ça vous tente ;-)

(Je ne sais plus où sont logées les archives).

A part ça, il me semble bien que Proxad.net est en rapport avec Free.fr,
comme Kaptech.net l'est avec N9uf.fr (d'après les traces de passage sur mon
site de gens que je connais).

Cordialement,

--
/***************************************
* Patrick BRUNET
* E-mail: lien sur http://zener131.free.fr/ContactMe
***************************************/

Avatar
Michel Arboi
On Thu Jun 16 2005 at 17:33, Patrick 'Zener' Brunet wrote:

J'avais émis une idée ***purement théorique bien sûr*** sur ce groupe, le
16/05, dans un thread nommé "Spam & zombies", et visant à traiter ce genre
de situation d'une manière ... peut-être politiquement incorrecte


Certains juristes suggèrent que la légitime défense pourrait être
transposée sur le réseau ; ceci implique que la réponse soit
_proportionnée_. Je ne suis pas certain que ce que vous proposize le
soit.

Si ça vous tente ;-)


Non merci, je n'ai pas envie d'essuyer les plâtres en matière de
jurisprudence.

(Je ne sais plus où sont logées les archives).


groups.google.fr

Avatar
Manu
Thierry Herbelot wrote:
Un rapport d'activité frauduleuse ne fait pas apparaître Proxad dans les
grands nids de zombies (http://www.prolexic.com/zr/).

En revanche Wanadoo est bien représenté (pour être charitable, on dira que
c'est dû à leur présence dans plusieurs pays européens - même remarque pour
T-Online).


J'avais envi de dire que la forte représentation des états européens
dans ce classement était dû à la forte présence de connexions haut-débit
(pendant de longues durées), parce que je ne vois pas pourquoi on serait
plus touché que les autres. Je ne pense pas qu'on soit plus
irresponsables, incompétents que d'autres.

Il serait interessant de croisé ce genre de chiffres avec les taux de
machine connectés à Internet par habitant et le nombre de connexions
haut-débit.
C'est la deuxième fois que je vois ces chiffres et ça m'agasse un peu.

Avatar
Manu
Michel Arboi wrote:
ou ce peut-il qu'un virus affecte les ordinateurs utilisant ce FAI


Eh oui ! Comme beaucoup de FAI.

Quand j'aurai un peu de temps, j'écrirai un script pour envoyer un
message par smbclient à la machine distante du genre "Votre machine
est infectée par un ver, nettoyez la SVP". Avec quelques URL
d'antivirus gratuits.

Mais je ne suis pas très motivé, je crains que ça soit complètement
inutile.
L'utilisateur de base ne bougera pas si ça machine tourne "sans
problème". Qu'elle serve de relais de spam ou participe à des DDoS ne
le concerne pas. L'irresponsabilité est le mal de notre époque :-(


Je doute de l'efficacité de la chose. Premièrement pour la raison que tu
cites. Deuxiemement parce que ton message ressemblera aux pubs qui
imitent des fenetres Windows et qui te dises que tu cours un
TERRRRRRIBLE danger et que ta machine n'a pas l'antivirus_qui_va_bien,
fenetre que ferme tres rapidement en general.
Et puis je me demande si avec le antivirus à tout faire, les ports qui
te permette d'envoyer ces messages ne soit pas tout simplement bloqués
par ces antivirus. Je pense que le mode de propagation préféré reste le
mail ou les sites qui profitent des "failles" des navigateurs.

Je pense effectivement que cela devrait faire parti du rôle du FAI que
de prévenir et bloquer/limiter l'accès de ces personnes au réseau. Mais
un client incompétent en informatique restera incompétent car il n'en a
rien à faire et ira chez le FAI qui ne l'embête pas tout les 3-4 matins
(3-4 minutes ?).

Je reste persuadé qu'il faut faire quelquechose au niveau individuel.
Genre gèner les scans.
A ce propos quelqu'un a déjà essayer la règle TARPIT (qui passe la
fenetre TCP à 0) d'iptables ?


Avatar
Michel Arboi
On Sat Jun 18 2005 at 12:12, Manu wrote:

ta machine n'a pas l'antivirus_qui_va_bien, fenetre que ferme tres
rapidement en general.


Il ne s'agit de lui faire la pub pour un antivirus particulier, mais
de lui dire qu'il a un sale virus. Mais bon... Il y a peu d'antivirus
gratuit, je crains que le popup ressemble à une pub :-(
Sauf si beaucoup de gens se mettent à faire la même chose au même
moment et que le projet devient connu.

Et puis je me demande si avec le antivirus à tout faire, les ports qui
te permette d'envoyer ces messages ne soit pas tout simplement bloqués
par ces antivirus. Je pense que le mode de propagation préféré reste le
mail ou les sites qui profitent des "failles" des navigateurs.


Par principe, ceux que je détecte essaient de se propager par SMB.
Je ne dis pas qu'il n'y en ait pas d'autres.

Je pense effectivement que cela devrait faire parti du rôle du FAI que
de prévenir et bloquer/limiter l'accès de ces personnes au réseau.


Par exemple, shaper son upload à 16 kb/s : le gars pourra toujours
lire son mail (et le message du FAI lui indiquant que sa machine est
infectée), télécharger un antivirus gratuit ou pas, mais sa capacité
de nuire sera limitée.

Mais un client incompétent en informatique restera incompétent car
il n'en a rien à faire et ira chez le FAI qui ne l'embête pas tout
les 3-4 matins (3-4 minutes ?).


Je pense (j'espère ?) que c'est faux. Le commun des mortels est
totalement ignorant en matière d'informatique et particulièrement de
sécurité, mais si on lui explique simplement que des pas beaux ont
accès à sa machine, avec tout ce que ça peut impliquer pour lui, comme
se faire piquer son mot de passe de banque en ligne et siphonner son
compte, je te promets qu'il va faire quelque chose.
Monsieur Toutlemonde veut simplement qu'on lui foute la paix, dans le
cyberespace comme dans la vraie vie. Ça nécessite quelques efforts, on
le sait.

Je reste persuadé qu'il faut faire quelquechose au niveau individuel.
Genre gèner les scans.
A ce propos quelqu'un a déjà essayer la règle TARPIT (qui passe la
fenetre TCP à 0) d'iptables ?


Pour je ne sais quelle raison, TARPIT a disparu des noyaux Gentoo 2.6
pour ne plus revenir. Instable ??

--
http://arboi.da.ru
NASL2 reference manual http://michel.arboi.free.fr/nasl2ref/

Avatar
Erwan
[Modération] Robbie écrivant en anglais je traduis la demande.
Comme il indique lire le français les réponses devront se faire dans cette langue :)
Eric.

D'abord je tiens à m'excuser du fait que ce texte est en anglais.
J'ai bien peur de ne pouvoir l'écrire bien que je puisse le lire.

Quelqu'un peut-il me dire qui est Proxad? J'ai reçu une quantité
considérable de scan de port à partir d'une adresse apartenant à Proxad.
Mon firewall a bloqué et loggé ces tentatives. En moyenne j'ai une
vingtaine de scan par heure, parfois plus [ndt : normal c'est une moyenne :)]
avec l'IP appartenant au groupe possédé par Proxad.
Chaque adresse IP est unique et ce n'est donc pas une unique personne qui
tenterait un scan / un hack etc.

J'ai écris à Proxad sans succès ; ils n'on pas répondu.
J'ai noté ce groupe de message archivé par Google Groups [ndt voir
le lien dans le texte original] qui discute du même sujet.

Proxad est-il utilisé par beaucoup de hackers ou ce peut-il qu'un virus
affecte les ordinateurs utilisant ce FAI (Robbie, ISPúI, fournisseur
d'accès à Internet).

Merci par avance à toute personne qui pourrait me répondre. Encore désolé
de ce texte en anglais.

Robbie.


===== Post d'origine ===== >
Firstly, may I apologise for the fact this is in English, I'm afraid I
can't write French, though I can read it OK.

Can someone tell me who Proxad is? I've been getting an extremely large
amount of port scans that originate from IP addresses owned by Proxad.
My firewall is successfully blocking these attempts, and recording
them. On average I am getting about 20 per hour, sometimes more, where
the IP address is part of the range owned by Proxad. Each IP address is
unique - so it's not a case of one person constantly attempting to scan
/ hack etc.

I have written to Proxad, with no luck - they have failed to reply.

I did notice this set of messages archived at Google Groups

http://groups-beta.google.com/group/fr.comp.securite/browse_frm/thread/1c31cbb1819e1d69/49a68a4664809cbe?q=proxad+82&rnum=9&hl=en#49a68a4664809cbe

which appears to be about the same subject.

Is Proxad being used by a lot of hackers or could it be a virus that is
affecting computers using that ISP?

Thanks in advance for anyone who can answer my query. Again, apologies
for this being in English.

Robbie


Bonjour,

Une petite recherche sous Google et voici ce que l'on trouve :
http://www.netapp.com/case_studies/intl/free.pdf

Donc Free et Proxad : c'est pareil.
Si vous êtes abonné Free, il y a de fortes chances que ce soient des
contrôles, me gourre-je ?

Erwan