Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

port 4

0 views
Skip to first unread message

siger

unread,
Jan 27, 2010, 6:13:49 AM1/27/10
to
Bonjour,

depuis quelques jours, mes navigateurs Opera et IE (Windows XP)
demandent souvent � se connecter sur le port 4 � l'ouverture d'une page
web. Voici le dernier message de mon pare-feu Kerio :

'Opera Internet Browser' from your computer wants to connect to 173-45-
230-39.static.cloud-ips.com [173.45.230.39], port 4

De m�moire, le mot "cloud" �tait aussi dans les autres messages, je ne
me souviens pas si les mots autour �taient les m�mes.

De quoi s'agit-il ?

--
siger

Erwan David

unread,
Jan 27, 2010, 8:16:04 AM1/27/10
to
siger <guin...@hic.invalid> �crivait�:

Ben d�j� "port 4" sans pr�ciser s'il s'agit de TCP, UDP ou autre chose
c'est cacher une bonne partie de l'information.

cloud-ips est un syst�me de r�partition de charge, peut-�tre
devriez-cvous d�j� noter sur quelles pages se produit ce message

Le port 4 n'est pas allou�, �a me semble �tonnant...

Ou alors il s'agit d'un ICMP *type* 4, et �a signifierait

1) que votre browser signale au serveur web qu'il faudrait un peu
diminuer le d�bit d'envoi

2) que votre firewall est mauvais dans ses messages.

Un autre possibilit� est que la page que vous regardez contienne un
malware, ou que votre PC est contamin�.

Dans le doute, refusez


--
Le travail n'est pas une bonne chose. Si �a l'�tait,
les riches l'auraient accapar�

siger

unread,
Jan 27, 2010, 8:26:57 AM1/27/10
to
Erwan David a �crit :

> siger <guin...@hic.invalid> �crivait�:

>> depuis quelques jours, mes navigateurs Opera et IE (Windows XP)
>> demandent souvent � se connecter sur le port 4 � l'ouverture
>> d'une page web. Voici le dernier message de mon pare-feu Kerio :
>>
>> 'Opera Internet Browser' from your computer wants to connect to
>> 173-45- 230-39.static.cloud-ips.com [173.45.230.39], port 4
>>
>> De m�moire, le mot "cloud" �tait aussi dans les autres messages,
>> je ne me souviens pas si les mots autour �taient les m�mes.
>> De quoi s'agit-il ?


> Ben d�j� "port 4" sans pr�ciser s'il s'agit de TCP, UDP ou autre
> chose c'est cacher une bonne partie de l'information.

TCP out

> cloud-ips est un syst�me de r�partition de charge, peut-�tre
> devriez-cvous d�j� noter sur quelles pages se produit ce message
> Le port 4 n'est pas allou�, �a me semble �tonnant...

Par exemple sur cette page :
http://www.dailymotion.com/video/x3asly_cinq-filles-couleur-
peche_creation

J'ai l'impression que c'est � chaque fois qu'il y a une vid�o, mais je
n'en suis pas s�r.

> Ou alors il s'agit d'un ICMP *type* 4, et �a signifierait
>
> 1) que votre browser signale au serveur web qu'il faudrait un peu
> diminuer le d�bit d'envoi
>
> 2) que votre firewall est mauvais dans ses messages.
>
> Un autre possibilit� est que la page que vous regardez contienne
> un malware, ou que votre PC est contamin�.


Pour le dernier point, je vais faire un scan. Je suppose que l'anti-
virus ne suffit pas (Avira Antivir Personnal. Quel anti-malware marche
bien en ce moment ?


--
siger

Serge Paccalin

unread,
Jan 27, 2010, 8:40:33 AM1/27/10
to
Le 27 Jan 2010 13:26:57 GMT, siger a �crit
(dans�<news:Xns9D0D92FD4D...@127.0.0.1>, post�
dans�fr.comp.securite)�:

>>> 'Opera Internet Browser' from your computer wants to connect to
>>> 173-45- 230-39.static.cloud-ips.com [173.45.230.39], port 4
>>>
>>> De m�moire, le mot "cloud" �tait aussi dans les autres messages,
>>> je ne me souviens pas si les mots autour �taient les m�mes.
>>> De quoi s'agit-il ?
>
>> Ben d�j� "port 4" sans pr�ciser s'il s'agit de TCP, UDP ou autre
>> chose c'est cacher une bonne partie de l'information.
>
> TCP out
>
>> cloud-ips est un syst�me de r�partition de charge, peut-�tre
>> devriez-cvous d�j� noter sur quelles pages se produit ce message
>> Le port 4 n'est pas allou�, �a me semble �tonnant...
>
> Par exemple sur cette page :
> http://www.dailymotion.com/video/x3asly_cinq-filles-couleur-
> peche_creation
>
> J'ai l'impression que c'est � chaque fois qu'il y a une vid�o, mais je
> n'en suis pas s�r.
>
>> Ou alors il s'agit d'un ICMP *type* 4, et �a signifierait

Non, c'est bien le port 4, je l'ai aussi.


3376 firefox.exe TCP
192.168.64.12:64167
173.45.230.39:4 173-45-230-39.static.cloud-ips.com:4

--
___________
_/ _ \_`_`_`_) Serge PACCALIN -- sp ad mailclub.net
\ \_L_) Il faut donc que les hommes commencent
-'(__) par n'�tre pas fanatiques pour m�riter
_/___(_) la tol�rance. -- Voltaire, 1763

Kevin Denis

unread,
Jan 27, 2010, 10:58:49 AM1/27/10
to
Le 27-01-2010, Erwan David <er...@rail.eu.org> a �crit�:

>> 'Opera Internet Browser' from your computer wants to connect to 173-45-
>> 230-39.static.cloud-ips.com [173.45.230.39], port 4
>>
> Ben d�j� "port 4" sans pr�ciser s'il s'agit de TCP, UDP ou autre chose
> c'est cacher une bonne partie de l'information.
>
Lu comme �a, j'ai aussi pens� que la ligne �tait tronqu�, imaginant
qu'il s'agissait du 443; mais:
kevin@zipslack:~$ nc 173.45.230.39 4
GET / HTTP/1.0

HTTP/1.1 200 OK
Server: nginx/0.7.64
Date: Wed, 27 Jan 2010 15:34:41 GMT
Content-Type: application/x-javascript
Content-Length: 51
Connection: close
Expires: Wed, 27 Jan 2010 15:34:40 GMT
Cache-Control: no-cache

<!-- Copyright 2009 Cedexis Inc. -->
var x = true;
kevin@zipslack:~$

Donc un bout de code annonc� comme du javascript (???). Une
recherche google sur cedexis montre diff�rents r�sultats, dont
un h�bergeur proposant (une sorte) de r�partition de charge.
http://cbwebletter.fr/2009/12/07/gagner-du-temps-daffichage-et-de-largent-sur-lhebergement/#more-1364

Ceci dit, l'IP r�pond aussi sur le port 80 la m�me chose.

Quoi qu'il en soit, le fait d'utiliser le port 4 est particuli�rement
surprenant (??)

> cloud-ips est un syst�me de r�partition de charge, peut-�tre
> devriez-cvous d�j� noter sur quelles pages se produit ce message
>

Ca pourrait coller avec Cedexis.

> Un autre possibilit� est que la page que vous regardez contienne un
> malware, ou que votre PC est contamin�.
>
> Dans le doute, refusez
>

Ou si vous avez l'�me joueuse, vous mettez un sniffer r�seau, et vous
acceptez UNE fois la page et observez le r�sultat dans le
sniffer. Attention, ceci n'est pas sans risques.

Dans le cas pr�sent, je pense malgr� tout que le risque
est mod�r�. Vous parlez de page web, et de video. Il doit exister un
bout de javascript qui doit faire une sorte de g�olocalisation, puis
qui va demander � Cedexis ou est la ressource la plus proche en
allant interroger sur le port 4 du serveur concern�.
--
Kevin

Stephane Catteau

unread,
Jan 27, 2010, 3:56:07 PM1/27/10
to
Kevin Denis devait dire quelque chose comme ceci :

[snip]

> <!-- Copyright 2009 Cedexis Inc. -->
> var x = true;
> kevin@zipslack:~$
>

> Donc un bout de code annoncé comme du javascript (???). Une
> recherche google sur cedexis montre différents résultats, dont
> un hébergeur proposant (une sorte) de répartition de charge.
> http://cbwebletter.fr/2009/12/07/gagner-du-temps-daffichage-et-de-largent-sur-lhebergement/#more-1364

Je dirais plutôt
<http://www.linkedin.com/companies/cedexis>
Cedexis met à disposition des éditeurs de contenus une solution
d’intelligence collective de nouvelle génération permettant de
contrôler les stratégies de diffusion de contenu.
</>


> Ceci dit, l'IP répond aussi sur le port 80 la même chose.
>
> Quoi qu'il en soit, le fait d'utiliser le port 4 est particulièrement
> surprenant (??)

Pas forcément si surprenant que cela lorsque l'on regroupe toutes les
infos :
- On a un bout de code qui se contente de mettre à vrai une variable,
autrement dit, dire que oui le brower a pu utiliser le port 4.
- Un filtre IP bien configuré interdit au navigateur web d'accéder à
autre chose que les ports http, https et les ports http-proxy les plus
courant. Donc sur une machine protégée le navigateur n'aura pas le bout
de script et x sera égal à sa valeur précédente.
- S'il est placé ailleurs que sur la machine elle-même, le filtre IP
ne pourra pas savoir que c'est un navigateur web qui est à l'origine de
la requête, mais comment le port 4 est un port privilégié non assigné,
il n'y a strictement aucune raison pour qu'il soit utilisé en temps
normal. Par conséquent le port est fermé et une fois de plus x sera
égal à sa valeur précédente.
- C'est une société marketo-analyso-consulting qui est derrière ce
bordel.
- Si ca n'arrivait que sur un site Siger l'aurait probablement dit,
donc ce n'est pas un site qui aurait été compromis.


Alors bon, vous je ne sais pas, mais moi j'ai tendance à y voir une
analyse statistique sur la pénétration des filtres IP bien configuré
chez les internautes.
Autrement dit, en terme marketo-analyso-consulting : est-ce qu'ont
peut vraiment se permettre de faire n'importe quoi avec notre site web,
utilisant les ports les plus abérants parce qu'on est trop nul pour
réfléchir deux secondes, ou alors est-ce que ça nous fait perdre
vraiment trop de visiteurs (et donc d'argent) de se torcher à ce point
avec les protocoles ?


yamo'

unread,
Jan 28, 2010, 11:39:15 AM1/28/10
to
Salut,

siger a tapot�, le 27/01/2010 14:26:


> Par exemple sur cette page :
> http://www.dailymotion.com/video/x3asly_cinq-filles-couleur-
> peche_creation

Je n'ai rien sur le port 4 mais Noscript bloque beaucoup de script sur
cette page!

C'est le m�me probl�me que P@skal.

--
St�phane
http://pasdenom.info/fortune

targui

unread,
Feb 7, 2010, 1:58:23 AM2/7/10
to
Le 27/01/2010 12:13, siger a �crit :

bonjour


une hypothese : Google experimente un nouveau systeme de repartition
de charge par les serveurs DNS

Piti�e si je dis une betise aussi grosse que moi ;=)

0 new messages