attaques a tout prix

Le 3 juin 2004

Bonjour bruno

dans le msg<news:uc7FCYZSEHA.3756@TK2MSFTNGP11.phx.gbl>

juste une question en passant aux utilisateurs de firewall..
!!! J'espère que tout le monde a un pare-feu !!!

depuis 2 ou
trois jours je subit un nombre impresessionnant d attaques les soirs vers
20h + ou - .. des lsass rpc, des bho , et en grand nombre..
apparement cela vient de l exterieurs.. qq un subit il la meme chose, et qu
en est t il ?

*Simple : FOUTAISES !*

La plupart des prétendues attaques sont en réalité des signaux parasites en
provenances de systèmes sans PF ou dont le PF est mal configuré ...(99.9 %)

Pour qu'il y ait "attaque" cela prend 3 choses :

1- votre PF est mal configuré ET votre système n'est pas furtif
ET
2- il y a dans votre système soit un service non-sécuritaire exploitable
ou
PIRE : le serveur d'un cheval de Troie
ET
votre PF n'a pas été vérifié par des test de "leak" et est mal sécurisé
de l'intérieur
ET
3- il y a une série de scan vers un ou des ports déterminés de votre PC
en provenence de la même adresse IP....

»Quand toutes les conditions d'une chose sont réunies,cette chose passe à
l'existence.» G.W.F. Hegel , Die Wissenschaft der Logik , 1831

Suggestions :

a) Vérifiez votre PF là:
https://grc.com/x/ne.dll?bh0bkyd2
et là :
http://www.pcflank.com/

b) Vérifiez les services lancés :
http://www.blackviper.com/WinXP/servicecfg.htm
ET
Comprenez comment marche un cheval de Troie (Étude de cas de J.C. Bellamy)
http://www.bellamyjc.org/ cherchez pour Back Orifice...
ET
faites des Leak Tests :
http://www.firewallleaktester.com/index.html
Si votre FW ne les passe pas tous utilisez System Safety Monitor de
MaxComputing...(utilisez-le même s'il passe le test !!!)
ET
scannez tout avec un anti-trojan , par exemple A²
là:
http://www.emsisoft.net/fr/

c) configurez votre PF pour ne pas vous alerter inutilement ,
à moins d'avoir l'ambition de devenir fou.Journalisation OK
mais pas d'"AAAALLLLEERRRTTEEEE!!!!!" à tout ping reçu.

Voilà.Pas d'autres idées pour le moment.

Amicalement.

--
[tenez le forum au courant ...]
[faire le suivi sur le même fil de discussion s.v.p.]

Aide en DIRECT sur IRC:irc://irc.akro-net.org:6667 canal:#mschat
Aide en DIRECT sur Internet : http://communautes-ms.akro-net.org/

Les meilleures infos sur la "Bushie" www.markfiore.com

Claude LaFrenière 2004-06-03 14:17:45 HAE GMT -05:00

Courriel : http://cerbermail.com/?FslokTsjQ7
Courriel + PGP : http://pgpkeys.mit.edu:11371/ 0xC3C0E2C2
{les courriels avec pièce attachée sont supprimés du serveur}

bonjour claude,

vous dire merci est une habitude .. j ai bien conscience de ce que tu me
dis et tu vas trouver certainement que j exagere un peu mais meme si les
sites en questions sont certainement tres bien fait et performant, ils sont
en anglais ..
alors je lis bien l anglais, comme un scolaire apres des annees d etudes,
mais de la a tout saisir, j avoue que je m y perds ..
il faut qd meme bien saisir ce que l on te dis si tu veux bien "parametrer "
tel ou tel logiciel ..
ca n empeche que j apprecie ton aide, ca change rien de ce cote la ..

j ai passe a2 et rien trouve ..
surement que mon FW est "mal configuré" et je cherche a mieux comprendre
tout ca .. mais comme bcp j utilise l informatique sans etre informaticien
.. nombreux lecteur des news ont besoin d etre precis dans les termes et
simples car il "debutent" et bien moi c est pour mon FW en cherchant a bien
faire les choses, sans etre parfait .. sutout eviter les "gourdes"
monumentales ..

sur ce je te remercie et vais regarder tout ca un peu plus doucement .. je m
etonne de cette flopee d attaques "vrai ou fausse" alors qu avant c etait
moindre ..

j en appelle donc au utlisateur de norton, avant de prendre la decision de
tout desinstaller haha.. ce que je ferai si ca continue ainsi .. donc aux
utilis de norton 2003 FW et AV pour configurer mon FW sur des points
cruciaux..

un ex tout bete .. je voulais creer un "derniere regle" bloquant tout les
ports entrant et sortant, arrivant a la fin de toutes les autres.. je l ai
fait et ca me bloque mon web, mes telechargement etc.. j ai fait que les
entrants .. web ok mais telechagement encore ralenti..
dans norton il y a des regles application : avant browers, ie, etc.. et une
partie regle generales..
je pensais que rajouter une derniere regles generales ne viendrais pas
contrarier les applic mais apparement si ..

voila donc un ex de ce que j ai du mal a assimuler et resoudre

solution : bloquer uniquement port 135, 139 et 445 ? (de souvenir, je ne
suis pas sur ma becane)

sur ce je te laisse, et excuse moi de la naivete de mes propos..

ps : je suis bloque ici sur les news microsoft.. une adresse de new "es
norton" ?

amicalement votre claude

bruno



--
-----------------------------------------------
"si tous les gars du monde ..."
-----------------------------------------------


"Claude LaFrenière [climenole]" <"Claude_LaFrenière"@gulliver.org> a écrit
dans le message de news: HgKvc.111734$tb4.4364779@news20.bellglobal.com...

Le 3 juin 2004

Bonjour bruno

dans le msg<news:uc7FCYZSEHA.3756@TK2MSFTNGP11.phx.gbl>

juste une question en passant aux utilisateurs de firewall..
!!! J'espère que tout le monde a un pare-feu !!!

depuis 2 ou
trois jours je subit un nombre impresessionnant d attaques les soirs
vers

20h + ou - .. des lsass rpc, des bho , et en grand nombre..
apparement cela vient de l exterieurs.. qq un subit il la meme chose, et
qu

en est t il ?

*Simple : FOUTAISES !*

La plupart des prétendues attaques sont en réalité des signaux parasites
en

provenances de systèmes sans PF ou dont le PF est mal configuré ...(99.9
%)

Pour qu'il y ait "attaque" cela prend 3 choses :

1- votre PF est mal configuré ET votre système n'est pas furtif
ET
2- il y a dans votre système soit un service non-sécuritaire exploitable
ou
PIRE : le serveur d'un cheval de Troie
ET
votre PF n'a pas été vérifié par des test de "leak" et est mal sécurisé
de l'intérieur
ET
3- il y a une série de scan vers un ou des ports déterminés de votre PC
en provenence de la même adresse IP....

»Quand toutes les conditions d'une chose sont réunies,cette chose passe à
l'existence.» G.W.F. Hegel , Die Wissenschaft der Logik , 1831

Suggestions :

a) Vérifiez votre PF là:
https://grc.com/x/ne.dll?bh0bkyd2
et là :
http://www.pcflank.com/

b) Vérifiez les services lancés :
http://www.blackviper.com/WinXP/servicecfg.htm
ET
Comprenez comment marche un cheval de Troie (Étude de cas de J.C. Bellamy)
http://www.bellamyjc.org/ cherchez pour Back Orifice...
ET
faites des Leak Tests :
http://www.firewallleaktester.com/index.html
Si votre FW ne les passe pas tous utilisez System Safety Monitor de
MaxComputing...(utilisez-le même s'il passe le test !!!)
ET
scannez tout avec un anti-trojan , par exemple A²
là:
http://www.emsisoft.net/fr/

c) configurez votre PF pour ne pas vous alerter inutilement ,
à moins d'avoir l'ambition de devenir fou.Journalisation OK
mais pas d'"AAAALLLLEERRRTTEEEE!!!!!" à tout ping reçu.

Voilà.Pas d'autres idées pour le moment.

Amicalement.

--
[tenez le forum au courant ...]
[faire le suivi sur le même fil de discussion s.v.p.]

Aide en DIRECT sur IRC:irc://irc.akro-net.org:6667 canal:#mschat
Aide en DIRECT sur Internet : http://communautes-ms.akro-net.org/

Les meilleures infos sur la "Bushie" www.markfiore.com

Claude LaFrenière 2004-06-03 14:17:45 HAE GMT -05:00

Courriel : http://cerbermail.com/?FslokTsjQ7
Courriel + PGP : http://pgpkeys.mit.edu:11371/ 0xC3C0E2C2
{les courriels avec pièce attachée sont supprimés du serveur}

Le 4 juin 2004

Bonjour bruno

dans le msg<news:#Gi53UgSEHA.3944@tk2msftngp13.phx.gbl>

bonjour claude,
Bonjout là,bonjour :-)

vous dire merci est une habitude ..
Hum... une bien mauvaise habitude !

etc

en anglais ..
Peut-être mais dans le cas du site de Steve Gibson, le test de "stealth"

(furtif) est graphique : si tout est vert c'est bien , si ce ne l'est pas
(rouge ou bleu)y'a un problème.
Tu n'a qu'à passer le pointeur du mulot dessus pour voir de quel port il
s'agit.
Prend note du port et de la couleur et reviens sur le forum avec la
question...

j ai passe a2 et rien trouve ..
Super !

sur ce je te remercie et vais regarder tout ca un peu plus doucement .. je m
etonne de cette flopee d attaques "vrai ou fausse" alors qu avant c etait
moindre ..
Ce n'est pas de ta faute : sur le web le mot "attaque" est utilisé à toutes

les sauces.Les américains adorent ce vocabulaire d'assiégé ...

Pour qu'une véritable attaque soit lancée contre le PC d'un individu il faut
une combinaison d'imprudence et de malchance.

Si ton PC est "stealth" = furtif cela signifie que si quelqu'un envoi des
signaux vers l'adresse IP qui lui correspond,ton PC ne réponds pas.
Pour tout Système extérieur cette adresse IP est "inactive",derrière il n'y
a rien... etc.

etc.

je pensais que rajouter une derniere regles generales ne viendrais pas
contrarier les applic mais apparement si ..
voila donc un ex de ce que j ai du mal a assimuler et resoudre
Oui je comprend : malheureusement je ne connais pas NortonFW mais d'après

les posts sur ce forum et d'autres il semble pas mal compliqué à utiliser et
envoi des Messages ridicules qui font paniquer les gens...Ce genre de
message leur donne un air sérieux...

solution : bloquer uniquement port 135, 139 et 445 ? (de souvenir, je ne
suis pas sur ma becane)
Oui.

Pourquoi ne pas t'inspirer des règles de Kerio 2.1.5 et les adapter à ton FW
?
Va jeter un coup d'oeil là quand tu auras le temps :
http://kerio215.free.fr/

sur ce je te laisse, et excuse moi de la naivete de mes propos..
Pas naïf du tout.Avant de savoir qq chose ben on l'ignore c'est tout.

Dans peu de temps tu sera le champion des Firewall...

Bon W.E.

--
[tenez le forum au courant ...]
[faire le suivi sur le même fil de discussion s.v.p.]

Aide en DIRECT sur IRC:irc://irc.akro-net.org:6667 canal:#mschat
Aide en DIRECT sur Internet : http://communautes-ms.akro-net.org/

Les meilleures infos sur la "Bushie" www.markfiore.com

Claude LaFrenière 2004-06-04 09:09:43 HAE GMT -05:00

Courriel : http://cerbermail.com/?FslokTsjQ7
Courriel + PGP : http://pgpkeys.mit.edu:11371/ 0xC3C0E2C2
{les courriels avec pièce attachée sont supprimés du serveur}

bonjour claude

pas merci a ton msg ..
je comprend mieux ce que tu dis
hier je suis alles sur le site en question .. il scanait et tout etait vert
sauf le port (de souvenir 1045) et il me parlait a son sujet du 135 jecrois
.. donc cetait rouge .. j ai clique dessu .. je crois et il m a pose une
question .. j ai dis oui .. et apres tout etait vert ..

j en suis la .. j y retournerai pour aller plus loin ..
j aime bien apprendre mais je dois reconnaitre qu en englais "technique" je
peche un peu ..

ton idee de comparaison avec kerio est bonne .. je vais etudier ton idee de
plus pres

je te tiens au courant de mes progres ..
pour avoir forme des gens a une licence radio, j ai toujours eu comme
habitude de partir de tres bas dans mes explications, pas pour prendre les
gens comme des idiot mais pour faciliter la comprehension .. la c est pareil
pour moi .. ya pas si longtemps que je tourne en adsl et FW .. interessant,
tres interessant mais faut s accrocher au depart ..

amicalement claude

merci encore

bruno

ps : hier j ai mis une regle 999 qui ferme tout mais touts apres toute les
autres mais ca me bloquait totalement le web et mon prg de p2p.. je
comprends pas pourquoi poru l instant car l idee est bonne, la regle est en
dernier mais elle se situe dans les regles "generale" et sous un autre
onglets il ya regles "applications" qui se font en appelant les prg et en
donnant la regle .. cela semble poser pb si je ferme tout de l autre cote ..

je pense qd meme qu il y a une solution

peut etre sur un groupe de new norton ou symantec .. t en a sous la main ?

sur ce bonne journee claude

bruno

--
-----------------------------------------------
"si tous les gars du monde ..."
-----------------------------------------------


"Claude LaFrenière [climenole]" <"Claude_LaFrenière"@gulliver.org> a écrit
dans le message de news: tM_vc.37200$Hn.1217305@news20.bellglobal.com...

Le 4 juin 2004

Bonjour bruno

dans le msg<news:#Gi53UgSEHA.3944@tk2msftngp13.phx.gbl>

bonjour claude,
Bonjout là,bonjour :-)

vous dire merci est une habitude ..
Hum... une bien mauvaise habitude !

etc

en anglais ..
Peut-être mais dans le cas du site de Steve Gibson, le test de "stealth"

(furtif) est graphique : si tout est vert c'est bien , si ce ne l'est pas
(rouge ou bleu)y'a un problème.
Tu n'a qu'à passer le pointeur du mulot dessus pour voir de quel port il
s'agit.
Prend note du port et de la couleur et reviens sur le forum avec la
question...

j ai passe a2 et rien trouve ..
Super !

sur ce je te remercie et vais regarder tout ca un peu plus doucement ..
je m

etonne de cette flopee d attaques "vrai ou fausse" alors qu avant c
etait

moindre ..
Ce n'est pas de ta faute : sur le web le mot "attaque" est utilisé à

toutes

les sauces.Les américains adorent ce vocabulaire d'assiégé ...

Pour qu'une véritable attaque soit lancée contre le PC d'un individu il
faut

une combinaison d'imprudence et de malchance.

Si ton PC est "stealth" = furtif cela signifie que si quelqu'un envoi des
signaux vers l'adresse IP qui lui correspond,ton PC ne réponds pas.
Pour tout Système extérieur cette adresse IP est "inactive",derrière il
n'y

a rien... etc.

etc.

je pensais que rajouter une derniere regles generales ne viendrais pas
contrarier les applic mais apparement si ..
voila donc un ex de ce que j ai du mal a assimuler et resoudre
Oui je comprend : malheureusement je ne connais pas NortonFW mais d'après

les posts sur ce forum et d'autres il semble pas mal compliqué à utiliser
et

envoi des Messages ridicules qui font paniquer les gens...Ce genre de
message leur donne un air sérieux...

solution : bloquer uniquement port 135, 139 et 445 ? (de souvenir, je ne
suis pas sur ma becane)
Oui.

Pourquoi ne pas t'inspirer des règles de Kerio 2.1.5 et les adapter à ton
FW

?
Va jeter un coup d'oeil là quand tu auras le temps :
http://kerio215.free.fr/

sur ce je te laisse, et excuse moi de la naivete de mes propos..
Pas naïf du tout.Avant de savoir qq chose ben on l'ignore c'est tout.

Dans peu de temps tu sera le champion des Firewall...

Bon W.E.

--
[tenez le forum au courant ...]
[faire le suivi sur le même fil de discussion s.v.p.]

Aide en DIRECT sur IRC:irc://irc.akro-net.org:6667 canal:#mschat
Aide en DIRECT sur Internet : http://communautes-ms.akro-net.org/

Les meilleures infos sur la "Bushie" www.markfiore.com

Claude LaFrenière 2004-06-04 09:09:43 HAE GMT -05:00

Courriel : http://cerbermail.com/?FslokTsjQ7
Courriel + PGP : http://pgpkeys.mit.edu:11371/ 0xC3C0E2C2
{les courriels avec pièce attachée sont supprimés du serveur}

Le 4 juin 2004

Bonjour bruno

dans le msg<news:uXhmM3jSEHA.3660@tk2msftngp13.phx.gbl>

bonjour claude

pas merci a ton msg ..
( ah ah ah ! elle est bonne :-D )

Pas de problèmes Bruno.
Pour des questions etc retour sur le forum.

Bon W.E.

--
[tenez le forum au courant ...]
[faire le suivi sur le même fil de discussion s.v.p.]

6 juin 1944-6 juin 2004 :
http://archives.radio-canada.ca/300c.asp?id=0-9-1313

Recherches sur JCBoogle : http://www.bellamyjc.org/searchsite.html
Aide en DIRECT sur IRC:irc://irc.akro-net.org:6667 canal:#mschat
Aide en DIRECT sur Internet : http://communautes-ms.akro-net.org/

Claude LaFrenière 2004-06-05 13:41:30 HAE GMT -05:00

Courriel : http://cerbermail.com/?FslokTsjQ7
Courriel + PGP : http://pgpkeys.mit.edu:11371/ 0xC3C0E2C2
{les courriels avec pièce attachée sont supprimés du serveur}

bonjour claude

aux derniere nouvelles, j ai desinstalle nav et frewall et reisntalle comme
il faut sans le package systeme works..
ca a l air de tourner correctement .. a surveiller tout de meme

a tu un tuyau pour mon pti souci de rasautou.. je pense pas que ca soit trop
"grave" mais je cherche la bonne manip a faire ..
les infos recoltees jusqu a la me semblent un peu confuse notamment sur les
solutions ..

tu m a tourjours bien conseille alors je me disait que "rasautou" devait
bien dire qq chose a claude non ?,

amicalement votre claude

bonne journee

bruno

--
-----------------------------------------------
"si tous les gars du monde ..."
-----------------------------------------------


"Claude LaFrenière [climenole]" <"Claude_LaFrenière"@gulliver.org> a écrit
dans le message de news: HgKvc.111734$tb4.4364779@news20.bellglobal.com...

Le 3 juin 2004

Bonjour bruno

dans le msg<news:uc7FCYZSEHA.3756@TK2MSFTNGP11.phx.gbl>

juste une question en passant aux utilisateurs de firewall..
!!! J'espère que tout le monde a un pare-feu !!!

depuis 2 ou
trois jours je subit un nombre impresessionnant d attaques les soirs
vers

20h + ou - .. des lsass rpc, des bho , et en grand nombre..
apparement cela vient de l exterieurs.. qq un subit il la meme chose, et
qu

en est t il ?

*Simple : FOUTAISES !*

La plupart des prétendues attaques sont en réalité des signaux parasites
en

provenances de systèmes sans PF ou dont le PF est mal configuré ...(99.9
%)

Pour qu'il y ait "attaque" cela prend 3 choses :

1- votre PF est mal configuré ET votre système n'est pas furtif
ET
2- il y a dans votre système soit un service non-sécuritaire exploitable
ou
PIRE : le serveur d'un cheval de Troie
ET
votre PF n'a pas été vérifié par des test de "leak" et est mal sécurisé
de l'intérieur
ET
3- il y a une série de scan vers un ou des ports déterminés de votre PC
en provenence de la même adresse IP....

»Quand toutes les conditions d'une chose sont réunies,cette chose passe à
l'existence.» G.W.F. Hegel , Die Wissenschaft der Logik , 1831

Suggestions :

a) Vérifiez votre PF là:
https://grc.com/x/ne.dll?bh0bkyd2
et là :
http://www.pcflank.com/

b) Vérifiez les services lancés :
http://www.blackviper.com/WinXP/servicecfg.htm
ET
Comprenez comment marche un cheval de Troie (Étude de cas de J.C. Bellamy)
http://www.bellamyjc.org/ cherchez pour Back Orifice...
ET
faites des Leak Tests :
http://www.firewallleaktester.com/index.html
Si votre FW ne les passe pas tous utilisez System Safety Monitor de
MaxComputing...(utilisez-le même s'il passe le test !!!)
ET
scannez tout avec un anti-trojan , par exemple A²
là:
http://www.emsisoft.net/fr/

c) configurez votre PF pour ne pas vous alerter inutilement ,
à moins d'avoir l'ambition de devenir fou.Journalisation OK
mais pas d'"AAAALLLLEERRRTTEEEE!!!!!" à tout ping reçu.

Voilà.Pas d'autres idées pour le moment.

Amicalement.

--
[tenez le forum au courant ...]
[faire le suivi sur le même fil de discussion s.v.p.]

Aide en DIRECT sur IRC:irc://irc.akro-net.org:6667 canal:#mschat
Aide en DIRECT sur Internet : http://communautes-ms.akro-net.org/

Les meilleures infos sur la "Bushie" www.markfiore.com

Claude LaFrenière 2004-06-03 14:17:45 HAE GMT -05:00

Courriel : http://cerbermail.com/?FslokTsjQ7
Courriel + PGP : http://pgpkeys.mit.edu:11371/ 0xC3C0E2C2
{les courriels avec pièce attachée sont supprimés du serveur}

bonjour claude

une question stp sur le site grc.com
je lance un scan des port usuel et il me marque failed car il me dit le port
1025 open .. ok
mon firewall reagit bien sur et bloque pdt 1/2 h une ip .. et bien sur
lorsque je rescan derriere, c est au vert .. je viens de comprendre
seulement maintenant que c est l ip bloque qui doit rendre le port 1025
inacessible .. je pense sinon je vois pas pourquoi toutles les 1er fois sont
rouge et la deuxieme st verte ..
d ou ma question : port 1025 .. pourqoui lui ? ou peut etre ma failles ..
dois je simplement interdire le port 1025 ? a quoi peut il servir .il
faudrait le savoir a vant que je le fassse non ?

qu en pense tu monseigneuurrrrrrrrrr .. :-): -)

amicalement claude

bruno


--
----------------------------------------------------
"Si tous les gars du monde ......"
----------------------------------------------------


"Claude LaFrenière [climenole]" <"Claude_LaFrenière"@gulliver.org> a écrit
dans le message de news:HgKvc.111734$tb4.4364779@news20.bellglobal.com...

Le 3 juin 2004

Bonjour bruno

dans le msg<news:uc7FCYZSEHA.3756@TK2MSFTNGP11.phx.gbl>

juste une question en passant aux utilisateurs de firewall..
!!! J'espère que tout le monde a un pare-feu !!!

depuis 2 ou
trois jours je subit un nombre impresessionnant d attaques les soirs
vers

20h + ou - .. des lsass rpc, des bho , et en grand nombre..
apparement cela vient de l exterieurs.. qq un subit il la meme chose, et
qu

en est t il ?

*Simple : FOUTAISES !*

La plupart des prétendues attaques sont en réalité des signaux parasites
en

provenances de systèmes sans PF ou dont le PF est mal configuré ...(99.9
%)

Pour qu'il y ait "attaque" cela prend 3 choses :

1- votre PF est mal configuré ET votre système n'est pas furtif
ET
2- il y a dans votre système soit un service non-sécuritaire exploitable
ou
PIRE : le serveur d'un cheval de Troie
ET
votre PF n'a pas été vérifié par des test de "leak" et est mal sécurisé
de l'intérieur
ET
3- il y a une série de scan vers un ou des ports déterminés de votre PC
en provenence de la même adresse IP....

»Quand toutes les conditions d'une chose sont réunies,cette chose passe à
l'existence.» G.W.F. Hegel , Die Wissenschaft der Logik , 1831

Suggestions :

a) Vérifiez votre PF là:
https://grc.com/x/ne.dll?bh0bkyd2
et là :
http://www.pcflank.com/

b) Vérifiez les services lancés :
http://www.blackviper.com/WinXP/servicecfg.htm
ET
Comprenez comment marche un cheval de Troie (Étude de cas de J.C. Bellamy)
http://www.bellamyjc.org/ cherchez pour Back Orifice...
ET
faites des Leak Tests :
http://www.firewallleaktester.com/index.html
Si votre FW ne les passe pas tous utilisez System Safety Monitor de
MaxComputing...(utilisez-le même s'il passe le test !!!)
ET
scannez tout avec un anti-trojan , par exemple A²
là:
http://www.emsisoft.net/fr/

c) configurez votre PF pour ne pas vous alerter inutilement ,
à moins d'avoir l'ambition de devenir fou.Journalisation OK
mais pas d'"AAAALLLLEERRRTTEEEE!!!!!" à tout ping reçu.

Voilà.Pas d'autres idées pour le moment.

Amicalement.

--
[tenez le forum au courant ...]
[faire le suivi sur le même fil de discussion s.v.p.]

Aide en DIRECT sur IRC:irc://irc.akro-net.org:6667 canal:#mschat
Aide en DIRECT sur Internet : http://communautes-ms.akro-net.org/

Les meilleures infos sur la "Bushie" www.markfiore.com

Claude LaFrenière 2004-06-03 14:17:45 HAE GMT -05:00

Courriel : http://cerbermail.com/?FslokTsjQ7
Courriel + PGP : http://pgpkeys.mit.edu:11371/ 0xC3C0E2C2
{les courriels avec pièce attachée sont supprimés du serveur}

bonjour claude

une question stp sur le site grc.com
je lance un scan des port usuel et il me marque failed car il me dit le port
1025 open .. ok
mon firewall reagit bien sur et bloque pdt 1/2 h une ip .. et bien sur
lorsque je rescan derriere, c est au vert .. je viens de comprendre
seulement maintenant que c est l ip bloque qui doit rendre le port 1025
inacessible .. je pense sinon je vois pas pourquoi toutles les 1er fois sont
rouge et la deuxieme st verte ..
d ou ma question : port 1025 .. pourqoui lui ? ou peut etre ma failles ..
dois je simplement interdire le port 1025 ? a quoi peut il servir .il
faudrait le savoir a vant que je le fassse non ?

qu en pense tu monseigneuurrrrrrrrrr .. :-): -)

amicalement claude

bruno


--
----------------------------------------------------
"Si tous les gars du monde ......"
----------------------------------------------------


"Claude LaFrenière [climenole]" <"Claude_LaFrenière"@gulliver.org> a écrit
dans le message de news:HgKvc.111734$tb4.4364779@news20.bellglobal.com...

Le 3 juin 2004

Bonjour bruno

dans le msg<news:uc7FCYZSEHA.3756@TK2MSFTNGP11.phx.gbl>

juste une question en passant aux utilisateurs de firewall..
!!! J'espère que tout le monde a un pare-feu !!!

depuis 2 ou
trois jours je subit un nombre impresessionnant d attaques les soirs
vers

20h + ou - .. des lsass rpc, des bho , et en grand nombre..
apparement cela vient de l exterieurs.. qq un subit il la meme chose, et
qu

en est t il ?

*Simple : FOUTAISES !*

La plupart des prétendues attaques sont en réalité des signaux parasites
en

provenances de systèmes sans PF ou dont le PF est mal configuré ...(99.9
%)

Pour qu'il y ait "attaque" cela prend 3 choses :

1- votre PF est mal configuré ET votre système n'est pas furtif
ET
2- il y a dans votre système soit un service non-sécuritaire exploitable
ou
PIRE : le serveur d'un cheval de Troie
ET
votre PF n'a pas été vérifié par des test de "leak" et est mal sécurisé
de l'intérieur
ET
3- il y a une série de scan vers un ou des ports déterminés de votre PC
en provenence de la même adresse IP....

»Quand toutes les conditions d'une chose sont réunies,cette chose passe à
l'existence.» G.W.F. Hegel , Die Wissenschaft der Logik , 1831

Suggestions :

a) Vérifiez votre PF là:
https://grc.com/x/ne.dll?bh0bkyd2
et là :
http://www.pcflank.com/

b) Vérifiez les services lancés :
http://www.blackviper.com/WinXP/servicecfg.htm
ET
Comprenez comment marche un cheval de Troie (Étude de cas de J.C. Bellamy)
http://www.bellamyjc.org/ cherchez pour Back Orifice...
ET
faites des Leak Tests :
http://www.firewallleaktester.com/index.html
Si votre FW ne les passe pas tous utilisez System Safety Monitor de
MaxComputing...(utilisez-le même s'il passe le test !!!)
ET
scannez tout avec un anti-trojan , par exemple A²
là:
http://www.emsisoft.net/fr/

c) configurez votre PF pour ne pas vous alerter inutilement ,
à moins d'avoir l'ambition de devenir fou.Journalisation OK
mais pas d'"AAAALLLLEERRRTTEEEE!!!!!" à tout ping reçu.

Voilà.Pas d'autres idées pour le moment.

Amicalement.

--
[tenez le forum au courant ...]
[faire le suivi sur le même fil de discussion s.v.p.]

Aide en DIRECT sur IRC:irc://irc.akro-net.org:6667 canal:#mschat
Aide en DIRECT sur Internet : http://communautes-ms.akro-net.org/

Les meilleures infos sur la "Bushie" www.markfiore.com

Claude LaFrenière 2004-06-03 14:17:45 HAE GMT -05:00

Courriel : http://cerbermail.com/?FslokTsjQ7
Courriel + PGP : http://pgpkeys.mit.edu:11371/ 0xC3C0E2C2
{les courriels avec pièce attachée sont supprimés du serveur}

--
----------------------------------------------------
"Si tous les gars du monde ......"
----------------------------------------------------


"Claude LaFrenière [climenole]" <"Claude_LaFrenière"@gulliver.org> a écrit
dans le message de news:bDnwc.54359$Hn.1444908@news20.bellglobal.com...

Le 4 juin 2004

Bonjour bruno

dans le msg<news:uXhmM3jSEHA.3660@tk2msftngp13.phx.gbl>

bonjour claude

pas merci a ton msg ..
( ah ah ah ! elle est bonne :-D )

Pas de problèmes Bruno.
Pour des questions etc retour sur le forum.

Bon W.E.

--
[tenez le forum au courant ...]
[faire le suivi sur le même fil de discussion s.v.p.]

6 juin 1944-6 juin 2004 :
http://archives.radio-canada.ca/300c.asp?id=0-9-1313

Recherches sur JCBoogle : http://www.bellamyjc.org/searchsite.html
Aide en DIRECT sur IRC:irc://irc.akro-net.org:6667 canal:#mschat
Aide en DIRECT sur Internet : http://communautes-ms.akro-net.org/

Claude LaFrenière 2004-06-05 13:41:30 HAE GMT -05:00

Courriel : http://cerbermail.com/?FslokTsjQ7
Courriel + PGP : http://pgpkeys.mit.edu:11371/ 0xC3C0E2C2
{les courriels avec pièce attachée sont supprimés du serveur}