Attaques répétées - Microsoft DS ...

Le
j-pascal
Bonjour,

Depuis 2 jours, mon PF m'affiche fréquemment des rapports d'attaques :
Type d'attaque : Analyse du port
Adresse IP : -- http://cjoint.com/?kkszFWKMAe
Analyser les détail de ports : TCP (Microsoft DS) parfois DS NetBios, ou
autre, mais toujours Microsoft !

Merci d'avance pour vos lumières,

Cordialement,

JP
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Steph
Le #784501
Le 10/10/2007 18:25, j-pascal disait:
Bonjour,

Depuis 2 jours, mon PF m'affiche fréquemment des rapports d'attaques :
Type d'attaque : Analyse du port
Adresse IP : ----- http://cjoint.com/?kkszFWKMAe
Analyser les détail de ports : TCP (Microsoft DS) parfois DS NetBios, ou
autre, mais toujours Microsoft !


Nan rien à voir, c'est le nom du port 445. Un vérolé Freeboxien par un
bot qui scanne ses voisins 82.225... (Turbigo attaque Longchamp :) ) en
cherchant une faille sur le port idoine (ms04-011...) il me semble. Si
tu es WinUpdaté tu ne risques rien (à ce jour à l'instant t).
Puisque tu as Outpost, tu as une fonction pour le bloquer pendant x minutes.

--
Steph
Enlever l'.adressebidon.invalid pour m'écrire en privé
Mon site est laid. Mon site en en cours de reconstruction.

j-pascal
Le #784500
Bonsoir Stéphane,

Depuis 2 jours, mon PF m'affiche fréquemment des rapports d'attaques :
Type d'attaque : Analyse du port
Adresse IP : ----- http://cjoint.com/?kkszFWKMAe
Analyser les détail de ports : TCP (Microsoft DS) parfois DS NetBios, ou
autre, mais toujours Microsoft !


Nan rien à voir, c'est le nom du port 445. Un vérolé Freeboxien par un bot
qui scanne ses voisins 82.225... (Turbigo attaque Longchamp :) ) en
cherchant une faille sur le port idoine (ms04-011...) il me semble. Si tu
es WinUpdaté tu ne risques rien (à ce jour à l'instant t).
Puisque tu as Outpost, tu as une fonction pour le bloquer pendant x
minutes.


1 On est d'accord que quand tu dis "voisin", tu fais réf à mon IP : 82.225.
etc de Free ?!
2 Oui, j'ai encore véfifié ce matin mon WU. Tout est ok ;-)
3 A propos d'Outpost, justement, je ne comprends pas pourquoi il me dit
"attaque bloquée pendant 3 minutes !". Que se passe-t-il après ces 3
minutes ??
4 Tu dis "un vérolé", mais a priori les IP des attaquants sont différentes à
l'exception du 82.225 ... S'agirait-il d'un "vérolé" avec des IP non fixes ?
Désolé, mais je ne comprends pas la nuance de ton propos.
5 Pourquoi ce port en particulier ? Aurait-il fait l'objet d'une faille
récente ?

Merci pour ton aide.

Cordialement,

JP

--
Steph
Enlever l'.adressebidon.invalid pour m'écrire en privé
Mon site est laid. Mon site en en cours de reconstruction.



Claude LaFrenière
Le #784499
Salut *j-pascal* :


1 On est d'accord que quand tu dis "voisin", tu fais réf à mon IP : 82.225.
etc de Free ?!
2 Oui, j'ai encore véfifié ce matin mon WU. Tout est ok ;-)
3 A propos d'Outpost, justement, je ne comprends pas pourquoi il me dit
"attaque bloquée pendant 3 minutes !". Que se passe-t-il après ces 3
minutes ??
4 Tu dis "un vérolé", mais a priori les IP des attaquants sont différentes à
l'exception du 82.225 ... S'agirait-il d'un "vérolé" avec des IP non fixes ?
Désolé, mais je ne comprends pas la nuance de ton propos.
5 Pourquoi ce port en particulier ? Aurait-il fait l'objet d'une faille
récente ?



Les tentative de connexions en TCP + flag syn sur le port 445 MS-SMB
sont souvent le résultat de PC vérolés comme décrit *par exemple*
dans cet article de Symantec:

W32.HLLW.Gaobot.gen
http://www.symantec.com/fr/fr/security_response/writeup.jsp?docid 03-112112-1102-99

Une fois le PC infecté le ver :

" tente de se propager sur d'autres ordinateurs en utilisant de nombreuses
vulnérabilités. Parmi lesquelles :

Vulnérabilité DCOM RPC port 135 utilisant le port TCP 135.*
Vulnérabilité WebDav utilisant le port TCP 80.
La vulnérabilité de saturation de la mémoire tampon dans le service Station de travail en utilisant le port TCP 445.
Vulnérabilité de débordement de tampon dans le service Affichage des messages de Microsoft .
Vulnérabilité du service Locator utilisant le port TCP 445. Le ver vise en particulier les postes Windows 2000 utilisant cet exploit. "

etc.

Ton W xp est à jour
ET
Ton pare-feu bloque les sollicitations de connexion
TCP in + flag syn ...

Alors il fait sont boulot et tu n'as pas à t'inquiéter inutilement.
Arrange-toi pour que ton pare-feu ne te balance pas d'alertes
aussi ennuyeuses qu'inutiles.

Bien cordialement.
:)
--
CL

Steph
Le #784495
Le 10/10/2007 22:14, j-pascal disait:
3 A propos d'Outpost, justement, je ne comprends pas pourquoi il me dit
"attaque bloquée pendant 3 minutes !". Que se passe-t-il après ces 3
minutes ??


Il te réalerte :)

La meilleure façon de se protéger de ces intrusions est un routeur avec
firewall SPI entre ta box et ton ordi. Tu verras à ce moment ton Outpost
aura un encéphalogramme plat.

--
Steph
Enlever l'.adressebidon.invalid pour m'écrire en privé
Mon site est laid. Mon site en en cours de reconstruction.

j-pascal
Le #781621
Bonjour Claude,

1 On est d'accord que quand tu dis "voisin", tu fais réf à mon IP :
82.225.
etc de Free ?!
2 Oui, j'ai encore véfifié ce matin mon WU. Tout est ok ;-)
3 A propos d'Outpost, justement, je ne comprends pas pourquoi il me dit
"attaque bloquée pendant 3 minutes !". Que se passe-t-il après ces 3
minutes ??
4 Tu dis "un vérolé", mais a priori les IP des attaquants sont
différentes à
l'exception du 82.225 ... S'agirait-il d'un "vérolé" avec des IP non
fixes ?
Désolé, mais je ne comprends pas la nuance de ton propos.
5 Pourquoi ce port en particulier ? Aurait-il fait l'objet d'une faille
récente ?



Les tentative de connexions en TCP + flag syn sur le port 445 MS-SMB
sont souvent le résultat de PC vérolés comme décrit *par exemple*
dans cet article de Symantec:

W32.HLLW.Gaobot.gen
http://www.symantec.com/fr/fr/security_response/writeup.jsp?docid 03-112112-1102-99

Une fois le PC infecté le ver :

" tente de se propager sur d'autres ordinateurs en utilisant de nombreuses
vulnérabilités. Parmi lesquelles :

Vulnérabilité DCOM RPC port 135 utilisant le port TCP 135.*
Vulnérabilité WebDav utilisant le port TCP 80.
La vulnérabilité de saturation de la mémoire tampon dans le service
Station de travail en utilisant le port TCP 445.
Vulnérabilité de débordement de tampon dans le service Affichage des
messages de Microsoft .
Vulnérabilité du service Locator utilisant le port TCP 445. Le ver vise en
particulier les postes Windows 2000 utilisant cet exploit. "


Ok, mais ce que je ne comprends pas c'est que l'IP de l'attaquant n'est
jamais la même ! Il s'agit donc de plusieurs PC vérolés ? Ou d'un PC avec
des IP non fixes (ce qui n'est pas standard chez Free) ?

etc.

Ton W xp est à jour
ET
Ton pare-feu bloque les sollicitations de connexion
TCP in + flag syn ...

Alors il fait sont boulot et tu n'as pas à t'inquiéter inutilement.
Arrange-toi pour que ton pare-feu ne te balance pas d'alertes
aussi ennuyeuses qu'inutiles.


J'ai coché "ne plus avertir ...", je n'ai plus le message sur l'écran, mais
encore un message sonore ; il faut que je regarde ça de plus près ...

Merci pour ce complément d'info.

Salutations,

JP

PS : je n'étais pas vraiment inquiet, mais comme ces alertes indiquait
"Microsoft", j'ai pensé un instant que j'avais bloqué qqch qui empêchait un
recueil d'info pour des MAJ Windows (ie). Je m'explique (au cas où) : si je
reçois un msg m'indiquant qu'il y a des MAJ Windows à effectuer, c'est bien
qu'il y a une connexion entre W et mon PC ?! Si pour une raison ou pour une
autre j'avais bloqué cette connexion, j'aurais peut-être eu un msg
similaire, non ? (je ne suis pas sûr que cette question soit intelligente,
mais bon, on ne se refait pas comme ça ...)


Bien cordialement.
:)
--
CL



j-pascal
Le #781620
Bonjour Stéphane,

"Steph" de news: u7LtQa%
Le 10/10/2007 22:14, j-pascal disait:
3 A propos d'Outpost, justement, je ne comprends pas pourquoi il me dit
"attaque bloquée pendant 3 minutes !". Que se passe-t-il après ces 3
minutes ??


Il te réalerte :)


Préconises-tu de modifier la durée indiquée ?

La meilleure façon de se protéger de ces intrusions est un routeur avec
firewall SPI entre ta box et ton ordi. Tu verras à ce moment ton Outpost
aura un encéphalogramme plat.


Je crains que ça soit trop compliqué pour moi ... et on va encore me traiter
de "Parano" ;-)
Je note au cas où ...

Merci

JP


--
Steph
Enlever l'.adressebidon.invalid pour m'écrire en privé
Mon site est laid. Mon site en en cours de reconstruction.



Steph
Le #781368
Le 12/10/2007 12:13, j-pascal disait:
Il te réalerte :)


Préconises-tu de modifier la durée indiquée ?


Tu peux. Passer à 24h, ou 48h :)

La meilleure façon de se protéger de ces intrusions est un routeur
avec firewall SPI entre ta box et ton ordi. Tu verras à ce moment ton
Outpost aura un encéphalogramme plat.


Je crains que ça soit trop compliqué pour moi ... et on va encore me
traiter de "Parano" ;-)
Je note au cas où ...


Pas du tout (compliqué ET parano) !
Eu Ethernet, rien à bidouiller, sauf à changer le pass/login par défaut
de ton routeur.
Perso j'ai le WGT624v3 car j'ai un portable en Wifi qui se balade. 60¤
bien investi.

--
Steph
Enlever l'.adressebidon.invalid pour m'écrire en privé
Mon site est laid. Mon site en en cours de reconstruction.


Claude LaFrenière
Le #781367
Salut *j-pascal* :

Bonjour Claude,
[...]


Ok, mais ce que je ne comprends pas c'est que l'IP de l'attaquant n'est
jamais la même ! Il s'agit donc de plusieurs PC vérolés ? Ou d'un PC avec
des IP non fixes (ce qui n'est pas standard chez Free) ?


Normal: il peut y avoir plusieurs PC vérolés et c'est pas plus grave.
C'est le cas fréquemment avec Blaster ou un équivalent sur le port 135...

Un PC infecté par le ver va tenter des connexions sur une gamme de port
à laquelle il appartient lui-même. Supposont que l'IP du PC vérolé est
71.51.39.189, le ver sur le PC vérolé va envoyer des tentatives de
connexions dans cette gamme : 71.51.0.0 à 71.51.255.255 si bien qu'il ne
doit pas être rare d'avoir plusieurs PC de la même gamme d'IP tenter de
balancer le ver à leurs "voisins" ...

Le "machin" sur le port 445 doit avoir un comportement similaire.

[...]

J'ai coché "ne plus avertir ...", je n'ai plus le message sur l'écran, mais
encore un message sonore ; il faut que je regarde ça de plus près ...


OK

[...]

PS : je n'étais pas vraiment inquiet, mais comme ces alertes indiquait
"Microsoft", j'ai pensé un instant que j'avais bloqué qqch qui empêchait un
recueil d'info pour des MAJ Windows (ie). Je m'explique (au cas où) : si je
reçois un msg m'indiquant qu'il y a des MAJ Windows à effectuer, c'est bien
qu'il y a une connexion entre W et mon PC ?! Si pour une raison ou pour une
autre j'avais bloqué cette connexion, j'aurais peut-être eu un msg
similaire, non ?


Non.

Il y a une différence entre une connexion Internet que ton PC
commence en envoyant une sollicitation de connexion comme avec les MàJ de W
(TCP + flag syn: OUT) {autorisées}
ET
des tentatives de connexions sur ton PC en provenance d'Internet
(TCP + flag syn: IN) {bloquées}

Les MàJ de W sont commencées (ou initiées ou débutées ou sollicitées)
par ton PC pas MS...

Une fois que la sollicitation provenant de ton PC est acceptée et qu'une
connexion est dans l'état "established", l'ensemble de cette connexion
suit une séquence que le pare-feu peut inspecter et différencier les
paquets faisant partie de CETTE connexion des autres n'en faisant pas
partie: c'est le Stateful Packet Inspection...

:)
--
CL

j-pascal
Le #781112
Re,


Ok, mais ce que je ne comprends pas c'est que l'IP de l'attaquant n'est
jamais la même ! Il s'agit donc de plusieurs PC vérolés ? Ou d'un PC avec
des IP non fixes (ce qui n'est pas standard chez Free) ?


Normal: il peut y avoir plusieurs PC vérolés et c'est pas plus grave.
C'est le cas fréquemment avec Blaster ou un équivalent sur le port 135...

Un PC infecté par le ver va tenter des connexions sur une gamme de port
à laquelle il appartient lui-même. Supposont que l'IP du PC vérolé est
71.51.39.189, le ver sur le PC vérolé va envoyer des tentatives de
connexions dans cette gamme : 71.51.0.0 à 71.51.255.255 si bien qu'il ne
doit pas être rare d'avoir plusieurs PC de la même gamme d'IP tenter de
balancer le ver à leurs "voisins" ...


Maintenant, c'est clair !

Le "machin" sur le port 445 doit avoir un comportement similaire.

[...]

J'ai coché "ne plus avertir ...", je n'ai plus le message sur l'écran,
mais
encore un message sonore ; il faut que je regarde ça de plus près ...


OK

[...]

PS : je n'étais pas vraiment inquiet, mais comme ces alertes indiquait
"Microsoft", j'ai pensé un instant que j'avais bloqué qqch qui empêchait
un
recueil d'info pour des MAJ Windows (ie). Je m'explique (au cas où) : si
je
reçois un msg m'indiquant qu'il y a des MAJ Windows à effectuer, c'est
bien
qu'il y a une connexion entre W et mon PC ?! Si pour une raison ou pour
une
autre j'avais bloqué cette connexion, j'aurais peut-être eu un msg
similaire, non ?


Non.

Il y a une différence entre une connexion Internet que ton PC
commence en envoyant une sollicitation de connexion comme avec les MàJ de
W
(TCP + flag syn: OUT) {autorisées}
ET
des tentatives de connexions sur ton PC en provenance d'Internet
(TCP + flag syn: IN) {bloquées}

Les MàJ de W sont commencées (ou initiées ou débutées ou sollicitées)
par ton PC pas MS...


C'est clair également.
(il faudrait que je remette le nez dans Packetyzer ;-) )

Une fois que la sollicitation provenant de ton PC est acceptée et qu'une
connexion est dans l'état "established", l'ensemble de cette connexion
suit une séquence que le pare-feu peut inspecter et différencier les
paquets faisant partie de CETTE connexion des autres n'en faisant pas
partie: c'est le Stateful Packet Inspection...


Le fameux SPI dont parlais Steph ! Merci d'avoir répondu indirectement à la
question :o)

A bientôt,

JP


:)
--
CL



Claude LaFrenière
Le #781106
Salut *j-pascal* :

Tu avais dit:

(je ne suis pas sûr que cette question soit intelligente,
mais bon, on ne se refait pas comme ça ...)


Tu vois bien qu'elle était intelligente ta question...

Sur un forum les bonnes questions sont aussi importantes
que les bonnes réponses. Ta curiosité est là pour en témoigner.

Alors merci pour tes bonnes questions.

Bien cordialement.

:)
--
CL

Publicité
Poster une réponse
Anonyme