AntiGuide: bis



PagePrincipale :: DerniersChangements :: ParametresUtilisateur :: Vous êtes 216.73.216.8 :: Signaler un abus :: le: 20250603 17:22:54
etudesdecas
histoire commence par un message de http://www.free.fr signalant des attaques émises depuis l'IP de la Freebox:

log transmise par free:
Extrait du fichier LOG:

Source IP: 82.224.122.6 LastEvent?: 28 Mar 2007 18:45:57 UTC Time Zone: UTC

Event Date Time, Destination IP, IP Protocol, Target Port, Issue Description, Source Port, Event Count
EventRecord?: 28 Mar 2007 18:45:57, 208.223.x.x, 6, 2967, Symantec Exploit, 3203, 2
EventRecord?: 28 Mar 2007 12:26:29, 217.77.x.x, 6, 2967, Symantec Exploit, 3232, 2
EventRecord?: 27 Mar 2007 18:41:37, 217.175.x.x, 6, 2967, Symantec Exploit, 4157, 1
EventRecord?: 27 Mar 2007 18:39:18, 217.175.x.x, 6, 2967, Symantec Exploit, 3137, 2
EventRecord?: 27 Mar 2007 18:35:15, 217.175.x.x, 6, 2967, Symantec Exploit, 4322, 1
EventRecord?: 27 Mar 2007 17:42:26, 217.175.x.x, 6, 2967, Symantec Exploit, 4410, 2


réponse
re,

suite à ta log de ce matin, j'ai posé la question port 2967 à google

ce port est 'normalement' utilisé dans le dialogue des clients symantec
avec leur serveur, rien à voir ici.

la réponse est sans ambiguité, par exemple
http://news.softpedia.com/news/New-Worm-Old-Vulnerabilities-41350.shtml

avec une forte activité signalée actuellement
l'attaque semble compiler un lot de 'vielles' failles contre lesquelles
ton Windows Sp1 n'est sans doute pas protégé!

En passant, le fait qu'on n'ait conseillé de passer nos machine à 512 Mo
dde Ram avant de passer à SP2, n'e peut ebn aucun cas justifier de conserver
une machine non à jour.
(donc FAUT mettre SP2 même sur une machine 256 Mo)

Normalement l'ajout d'un pare-feu matériel externe devrait éviter de nouvelles
attaques.

Par contre ce modèle a des capacités de filtrage sortant limitées,
je charge un lien vers sa doc à l'url:
http://antiguide.free.fr/wiki/wakka.php?wiki=TrendTW100S4W1CA

à ce soir
PO.

confirmation
.....

.....
>
> Je t'envoie la réponse de Free à mon message de ce matin. Qu'en penses-tu ?
> A tout à l'heure

oui,
il est pas faux, mais forcément très général
à tout
PO.

> J...
>
>
......
> >X-Virus-Scanned: by amavisd-new-2.4.1 (20060508) at inrets.fr
> >X-Spam-Score: -2.394
> >X-Spam-Level:
> >X-Spam-Status: No, score=-2.394 tagged_above=-50 required=6.31
> > tests=[ADDR_FREE=0.205, BAYES_00=-2.599]
> >Date: Fri, 30 Mar 2007 09:58:17 +0200
> >From: Free - Service Abuse <abuse@free.fr>
> >User-Agent: Thunderbird 1.5.0.9 (X11/20061220)
.......
> >Subject: Re: 0143363823 # Avertissement: Tentatives d'intrusion
> >X-Virus-Scanned: ClamAV using ClamSMTP?
> >
> >Madame,
> >
> >Ces attaques qui ont été identifiées en provenance de votre accès free
> >haut débit sont le plus souvent liées à un défaut de sécurisation de
> >votre système informatique.
> >
> >C'est pourquoi nous vous invitons à effectuer toutes les vérifications
> >nécessaires afin d'éradiquer de votre système le ou les virus
> >responsables de ces attaques.
> >
> >Nous vous recommandons de vous équiper rapidement d'un:
> >
> >- Antivirus performant et à jour (il est toutefois recommandé de
> >scanner votre système à l'aide de plusieurs bases virales. Un antivirus
> >donné ne pourra jamais vous garantir une totale protection. Vous pouvez
> >également effectuer un scan à partir de www.secuser.com)
> >- Parefeu actif (tel que zonealarm)
> >- Antispyware (tel que spybot, adaware etc.)
> >
> >Mais au préalable vérifiez que votre système d'exploitation est
> >correctement à jour.
> >
> >En effet si celui-ci ne l'était pas ou si vous utilisez une version
> >pirate de windows, les outils de sécurisation (antivirus, parefeu etc)
> >seraient alors inefficaces.
> >
> >Si vous utilisez le wifi pour établir votre connexion internet, nous
> >vous recommandons d'opter pour un cryptage en WPA au lieu du WEP, ce
> >dernier étant très facilement piratable.
> >
> >Si nous étions saisis de nouvelles plaintes nous vous recontacterons.
> >
> >Vous remerciant par avance,
> >
> >Bien cordialement,
> >
> >
> >Free - Service Abuse
> >
> >abuse@free.fr
> >
> >IMPORTANT: Ce message est exclusivement destiné à la personne à laquelle
> >il est adressé et il est impératif d'en respecter l'intégrité. Les
> >informations qu'il contient peuvent être confidentielles et spécifiques au
> >cas qui nous a été signalé. Nous vous demandons donc de ne pas le
> >divulguer, totalement ou partiellement. Si vous l'avez reçu par erreur,
> >nous vous serions reconnaissants de le supprimer de votre système
> >informatique, sans le lire, en prendre copie ou l'envoyer à quiconque.
> >
> >
> >
.......
> > > Bonjour,
> > >
> > > J'ai bien pris note de votre message et je vous confirme que ce
> > > problème est lié uniquement à mes systèmes de protection car j'ai reçu
> > > souvent des messages m'avertissant des attaques d'un cheval de troie.
> > > Je vais prendre des dispositions nécessaires pour résoudre ce problème
> > > dans le plus bref délai.
> > >
> > > Cordialement
....
> > >
> > >
> > >
> > > A 13:03 29/03/2007, vous avez écrit :
.....
> > >> Abonnement: Free Haut Débit
.....
> > >>
> > >> Madame, Monsieur,
> > >>
> > >> Nous avons été saisis d'une plainte pour tentatives d'intrusion sur
> > >> plusieurs systèmes distants depuis votre accès haut débit.
> > >>
> > >> Extrait du fichier LOG:
> > >>
> > >> Source IP: 82.224.122.6 LastEvent?: 28 Mar 2007 18:45:57 UTC
> > >> Time Zone: UTC
> > >>
> > >> Event Date Time, Destination IP, IP Protocol, Target Port, Issue
> > >> Description, Source Port, Event Count
> > >> EventRecord?: 28 Mar 2007 18:45:57, 208.223.x.x, 6, 2967, Symantec
> > >> Exploit, 3203, 2
> > >> EventRecord?: 28 Mar 2007 12:26:29, 217.77.x.x, 6, 2967, Symantec
> > >> Exploit, 3232, 2
> > >> EventRecord?: 27 Mar 2007 18:41:37, 217.175.x.x, 6, 2967, Symantec
> > >> Exploit, 4157, 1
> > >> EventRecord?: 27 Mar 2007 18:39:18, 217.175.x.x, 6, 2967, Symantec
> > >> Exploit, 3137, 2
> > >> EventRecord?: 27 Mar 2007 18:35:15, 217.175.x.x, 6, 2967, Symantec
> > >> Exploit, 4322, 1
> > >> EventRecord?: 27 Mar 2007 17:42:26, 217.175.x.x, 6, 2967, Symantec
> > >> Exploit, 4410, 2
> > >>
> > >> Il est possible que ces intrusions découlent d'un défaut de
> sécurisation
> > >> de votre configuration informatique ayant permis l'installation à
> > >> distance
> > >> de programmes permettant le contrôle de votre système.
> > >>
> > >> Nous vous invitons par conséquent à procéder rapidement à une
> > >> vérification
> > >> minutieuse de votre configuration au moyen d'utilitaires appropriés
> afin
> > >> d'éradiquer ces sources de nuisance de nature à engager votre
> > >> responsabilité. En outre, pour vous permettre de faire face
> > >> efficacement à
> > >> l'avenir à de telles intrusions, nous vous recommandons fortement de
> > >> veiller
> > >> à ce que votre configuration informatique soit correctement sécurisée
> au
> > >> moyen de l'utilisation de pare-feu et systèmes anti-virus à jour : dans
> > >> cette optique, nous vous invitons à consulter la documentation
> > >> accompagnant
> > >> votre configuration informatique ou solliciter votre revendeur
> > >> informatique
> > >> pour de plus amples conseils.
> > >>
> > >> Sans agissement en ce sens de votre part, et dans l'hypothèse où nous
> > >> serions notifiés à nouveau de plaintes vous concernant, nous nous
> > >> verrions
> > >> alors contraints de prendre, conformément à la législation en vigueur,
> > >> toutes les mesures qui s'imposent pour mettre fin aux troubles
> > >> évoqués et à
> > >> ce titre nous nous réservons le droit de suspendre votre accès, sans
> > >> préjudice de toute action contentieuse pouvant être engagée à ce sujet.
> > >>
> > >> Nous restons à votre entière disposition pour toute autre information
> > >> complémentaire et vous demandons pour cela de simplement répondre à
> > >> ce message.
> > >>
> > >> En vous remerciant pour votre prompte réaction,
> > >> Cordialement,
> > >>
> > >> --
> > >> Free - Service Abuse
> > >>
> > >> IMPORTANT: Ce message est exclusivement destiné à la personne à
> > >> laquelle il est adressé et il est impératif d'en respecter
> > >> l'intégrité. Les informations qu'il contient peuvent être
> > >> confidentielles et spécifiques au cas qui nous a été signalé. Nous
> > >> vous demandons donc de ne pas le divulguer, totalement ou
> > >> partiellement. Si vous l'avez reçu par erreur, nous vous serions
> > >> reconnaissants de le supprimer de votre système informatique, sans le
> > >> lire, en prendre copie ou l'envoyer à quiconque.
> > >
....
> > > Web: www.inrets.fr <http://www.inrets.fr/>
> > >
>


autopsie (chronologique)
- Portable toshiba 14xx ??, 512 Lo Ram, disque partitionné en C (20 Go sans doute) et D (?? Go), FAT ou NTFS à préciser.
- Freebox V1 (donc modem simple, non routeur, la machine obtient l'IP internet Free)
- Windows SP1, Antivirus "Symantec Corporate X.X" client se serveur AV (première faute)
- Compte 'invité' (qui est sans mot de passe) non désactivé (deuxième faute: en cas de disque FAT, il n'y a dans ce cas AUCUNE protection inter-utilisateurs ni du système); y-a pire plus bas!
- quarantaine de Norton vidée (et de trois!), donc pas d'espoir d'avoir une histoire cohérente
- une dll qui manque à l'ouverture de session : ??????????
- Ok pour les MAJ des signatures (faites par Intelligent Updater) mais pas d'analyse complète récente

à moi maintenant:
- pas fait de sauvegarde du disque
- lancé une analyse complète, quelques captures

- montage d'un routeur trend, Ok coté réseau local, mais pas de connexion côté Wan, essai de config IP Wan en Fixe à l'adresse IP de Free, pas mieux.
(on verra plus bas qu'une fois aussi en direct, la connexion ne s'est pas établie)

- remis en connexion directe à la freebox
- installation de ZoneAlarm, 0k, arrête immédiatement les attaques et aussi les demandes de sortie illégitimes, venant de (............)
- pas mal, reste le pb du SP1, 400 Mo dispo sur C:, insuffisant

- création d'un swap sur D:, oubli de supprimer celui de C:, supprimé, effacement du fichier c:\pagefile.sys
- fait aussi un peu de ménage (temp d'IE, dossier %temp%)
- reboot, passe passe par un écran bleu, FUGITIF, pas possible de lire, à filmer!

- Ok en mode sans échec, demandé restauration système à mercredi puis mardi dernier, pas d'amélioration
- hypothèse vraisemblable: Norton a intercepté un fichier nécessaire à Windows en mode normal (pas essentiel, puisqu'il démarre en mode sans échec); ce fichier pouvait faire partie d'une 'chaîne' qui se trouve brisée. Possible aussi que le nettoyage est supprimé un fichier FRAUDULEUX mais appellé par un autre nuisible.
- miracle I. trouve finalement que depuis le menus de Boot, la sortie 'retour à la dernière bonne configuration' passe bien (mais pour l'instant, ce démarrage ne remet pas tout en ordre, il a fallu le refaire au coup suivant. (pas d'opinion pour l'instant sur ce que fait cette solution, jusqu'à maintenant, je croyais que c'était un retour au point de reprise le plus récent).

Bon, dans cet état, c'est reparti,
Utilisation d'internet impossible, vérification par ipconfig, l'adresse IP est en 169.254.xxx.xxx, donc pas reçue de la freebox, essais de la secouer (désactiver, ipconfig :renew ...). Finalement arret de Windows (lent) et reboot. Ca passe.

Reste à éduqyer Zone alarm:
- si arret sortant suite à une commande initiée par l'utilisateur: autoriser toujours
- si arret d'une sortie non demander, évaluer si il s'agit d'un composant sain de Windows, ou autre logiciel installé (Norton, Msn, etc...) avec une incertitude sur un msnmsgr.exe qui est vorace.
- pour les demandes entrantes, ZA les rejette sans hésiter, au bout d'un certain temps il est raisonable de désactiver cette alerte.

bon, à surveiller:
- mettre un antivirus licite
- sauvegarde
- retrouver le démarrage normal
- peut-être réparer/réinstaller Windows (en place pour ne pas perdres les logiciels installés)
- pour le passage en sp2, si possible, attendre que la machine soit saine.




diversion: entre deux, échec de démarrage avec le CD Knoppix, à voir.
2009-04-15 16:02:14 :: Propriétaire : PoF :: Commenter :: Recherche :
Recherche par Google (en travaux):
XHTML 1.0 valide ? :: CSS valide ? :: -- Fonctionne avec WikiNi 0.4.4 (interwiki)