comment bloquer les intrusitons netcat sous windows?
42 réponses
Franck Danard
La question est dan le sujet :)
En fait j'ai un serveur apache + Mysql sur windows, sur ma station je met à
jour dyndns.org pour avoir un URL perso.
Ma station comporte ZA (fire wall) et deux antivirus, bitdefender et McAfee.
Bitdefender a détecté nc.exe à deux reprises. j'ai du supprimer la mise à
jour de dyndns pour éviter que le pleutre rentre encore un fois foutre sa
merde dans mon LAN!
Plus de nc.exe (Netcat) à ce jour.
Le problème c'est que le mode opératoire pour hacker un serveur semble très
facile (un script qui dépose netcat sur le serveur puis par telnet on fait
tout ce que l'on veut!)
Que faut-il activer au niveau de la sécurité reseau pour bloquer
l'installation de netcat?
plus de détaille sur netcat :
http://www.easyprogs.com/index.php?callPage=./Divers/CouteauxSuisses/batchRecupCodeSourceHTML.php
Je ne peux que te conseiller lorsque tu auras ADSL de ne pas laisser ton serveur Windows directement sur Internet, même avec 2 FW persos et 3 antivirus. (note que si tu y tiens quand même, F-Secure est un excellent produit Antivirus + Antivirus Mail + FW Applicatif.
Il vaudrait mieux que tu te trouves un vieux PC de récup (un PII/333 suffit pour ça) et y installer un Unix en passerelle. Outre que ton Windows est protégé de pas mal de saloperies -tu sais, l'histoire de poule et d'oeuf : comment ramener le Service Pack sans se faire véroler ?- c'est toujours une connnaissance utile à acquérir. Et une fois que la passerelle est installé, tu y trouves une foule d'autres utilistés : mail avec antispam/antivirus, par ex.
Je pense bien Pi les outils de configurations sous linux sont assez bien fait de ce côté là. Bon, ...pas évident de tout saisir mais bon.....petit à petit...
Conseil perso NetBSD 2.0.1 avec PF, mais d'autres te diront FreeBSD+IPFilter ou Linux, ou Hurd (aïe, non pastaper...)
Une Mandrake 10.1 Official sur Athlon 1,2 Ghz 786 Mo RAM PC133, DD 80 Go UDMA 100. çà devrait aller ;)
Je ne peux que te conseiller lorsque tu auras ADSL de ne pas laisser ton
serveur Windows directement sur Internet, même avec 2 FW persos et 3
antivirus. (note que si tu y tiens quand même, F-Secure est un excellent
produit Antivirus + Antivirus Mail + FW Applicatif.
Il vaudrait mieux que tu te trouves un vieux PC de récup (un PII/333
suffit pour ça) et y installer un Unix en passerelle. Outre que ton
Windows est protégé de pas mal de saloperies -tu sais, l'histoire de
poule et d'oeuf : comment ramener le Service Pack sans se faire véroler
?- c'est toujours une connnaissance utile à acquérir. Et une fois que la
passerelle est installé, tu y trouves une foule d'autres utilistés :
mail avec antispam/antivirus, par ex.
Je pense bien
Pi les outils de configurations sous linux sont assez bien fait de ce côté
là.
Bon, ...pas évident de tout saisir mais bon.....petit à petit...
Conseil perso NetBSD 2.0.1 avec PF, mais d'autres te diront
FreeBSD+IPFilter ou Linux, ou Hurd (aïe, non pastaper...)
Une Mandrake 10.1 Official sur Athlon 1,2 Ghz 786 Mo RAM PC133, DD 80 Go
UDMA 100.
çà devrait aller ;)
Je ne peux que te conseiller lorsque tu auras ADSL de ne pas laisser ton serveur Windows directement sur Internet, même avec 2 FW persos et 3 antivirus. (note que si tu y tiens quand même, F-Secure est un excellent produit Antivirus + Antivirus Mail + FW Applicatif.
Il vaudrait mieux que tu te trouves un vieux PC de récup (un PII/333 suffit pour ça) et y installer un Unix en passerelle. Outre que ton Windows est protégé de pas mal de saloperies -tu sais, l'histoire de poule et d'oeuf : comment ramener le Service Pack sans se faire véroler ?- c'est toujours une connnaissance utile à acquérir. Et une fois que la passerelle est installé, tu y trouves une foule d'autres utilistés : mail avec antispam/antivirus, par ex.
Je pense bien Pi les outils de configurations sous linux sont assez bien fait de ce côté là. Bon, ...pas évident de tout saisir mais bon.....petit à petit...
Conseil perso NetBSD 2.0.1 avec PF, mais d'autres te diront FreeBSD+IPFilter ou Linux, ou Hurd (aïe, non pastaper...)
Une Mandrake 10.1 Official sur Athlon 1,2 Ghz 786 Mo RAM PC133, DD 80 Go UDMA 100. çà devrait aller ;)
Fabien LE LEZ
On 20 Feb 2005 20:02:21 GMT, Franck Danard :
petit à petit...
Ce qui veut dire qu'il ne faut pas être pressé de rendre son serveur web accessible au monde ?..
-- ;-)
On 20 Feb 2005 20:02:21 GMT, Franck Danard <nospam@com.com>:
petit à petit...
Ce qui veut dire qu'il ne faut pas être pressé de rendre son serveur
web accessible au monde ?..
Ce qui veut dire qu'il ne faut pas être pressé de rendre son serveur web accessible au monde ?..
-- ;-)
Rakotomandimby (R12y) Mihamina
( Sun, 20 Feb 2005 17:09:06 +0000 ) LaDDL :
Configurer ton firewall de telle manière que tous les ports sensibles (eg : 21, etc) soient fermés.
Pourquoi est ce que 21 est un port sensible? Si aucun service ne tourne dessus, et sauf si une backdoor ou autre saloperie écoute dessus (c'est peut-etre là qui fait que c'est dangereux?), il n'est pas plus dangereux non? J'ai tort?
-- L'ASPO a pour but de démocratiser l'acces a l'informatique. Une de ses activité est l'infogerance (http://aspo.rktmb.org/activites/infogerance) Tél: + 33 2 38 04 26 04 ou + 33 6 33 26 13 14 (France)
( Sun, 20 Feb 2005 17:09:06 +0000 ) LaDDL :
Configurer ton firewall de telle manière que tous les ports sensibles
(eg : 21, etc) soient fermés.
Pourquoi est ce que 21 est un port sensible?
Si aucun service ne tourne dessus, et sauf si une backdoor ou autre
saloperie écoute dessus (c'est peut-etre là qui fait que c'est
dangereux?), il n'est pas plus dangereux non? J'ai tort?
--
L'ASPO a pour but de démocratiser l'acces a l'informatique. Une de ses
activité est l'infogerance (http://aspo.rktmb.org/activites/infogerance)
Tél: + 33 2 38 04 26 04 ou + 33 6 33 26 13 14 (France)
Configurer ton firewall de telle manière que tous les ports sensibles (eg : 21, etc) soient fermés.
Pourquoi est ce que 21 est un port sensible? Si aucun service ne tourne dessus, et sauf si une backdoor ou autre saloperie écoute dessus (c'est peut-etre là qui fait que c'est dangereux?), il n'est pas plus dangereux non? J'ai tort?
-- L'ASPO a pour but de démocratiser l'acces a l'informatique. Une de ses activité est l'infogerance (http://aspo.rktmb.org/activites/infogerance) Tél: + 33 2 38 04 26 04 ou + 33 6 33 26 13 14 (France)
LaDDL
On 20 Feb 2005 22:17:06 GMT, Rakotomandimby (R12y) Mihamina wrote:
( Sun, 20 Feb 2005 17:09:06 +0000 ) LaDDL :
Configurer ton firewall de telle manière que tous les ports sensibles (eg : 21, etc) soient fermés.
Autrement, ce n'était qu'un exemple ici pour illustrer mon propos, j'aurai pu en citer un autre.
Si aucun service ne tourne dessus, et sauf si une backdoor ou autre saloperie écoute dessus (c'est peut-etre là qui fait que c'est dangereux?), il n'est pas plus dangereux non? J'ai tort?
Non, mais comment es-tu sûr que rien ne tourne dessus ?
Le meilleur moyen c'est de carrément interdire le FTP. C'est un des plus vieux protocole sur Internet et une cible privilègiée des attaquants : http://www.osvdb.org/searchdb.php?vuln_title=FTP
On 20 Feb 2005 22:17:06 GMT, Rakotomandimby (R12y) Mihamina
<mihamina@mail.rktmb.org> wrote:
( Sun, 20 Feb 2005 17:09:06 +0000 ) LaDDL :
Configurer ton firewall de telle manière que tous les ports sensibles
(eg : 21, etc) soient fermés.
Autrement, ce n'était qu'un exemple ici pour illustrer mon propos, j'aurai
pu en citer un autre.
Si aucun service ne tourne dessus, et sauf si une backdoor ou autre
saloperie écoute dessus (c'est peut-etre là qui fait que c'est
dangereux?), il n'est pas plus dangereux non? J'ai tort?
Non, mais comment es-tu sûr que rien ne tourne dessus ?
Le meilleur moyen c'est de carrément interdire le FTP. C'est un des plus
vieux protocole sur Internet et une cible privilègiée des attaquants :
http://www.osvdb.org/searchdb.php?vuln_title=FTP
Autrement, ce n'était qu'un exemple ici pour illustrer mon propos, j'aurai pu en citer un autre.
Si aucun service ne tourne dessus, et sauf si une backdoor ou autre saloperie écoute dessus (c'est peut-etre là qui fait que c'est dangereux?), il n'est pas plus dangereux non? J'ai tort?
Non, mais comment es-tu sûr que rien ne tourne dessus ?
Le meilleur moyen c'est de carrément interdire le FTP. C'est un des plus vieux protocole sur Internet et une cible privilègiée des attaquants : http://www.osvdb.org/searchdb.php?vuln_title=FTP
Franck Danard
"Fabien LE LEZ" a écrit dans le message de news:
On 20 Feb 2005 20:02:21 GMT, Franck Danard :
petit à petit...
Ce qui veut dire qu'il ne faut pas être pressé de rendre son serveur web accessible au monde ?.. non je ne pense pas mais il faut connaitre les bse de la CQ reseau lol
"Fabien LE LEZ" <gramster@gramster.com> a écrit dans le message de news:
n9rh11pllaoh6p52v8fpfioir2chltapbo@4ax.com...
On 20 Feb 2005 20:02:21 GMT, Franck Danard <nospam@com.com>:
petit à petit...
Ce qui veut dire qu'il ne faut pas être pressé de rendre son serveur
web accessible au monde ?..
non je ne pense pas mais il faut connaitre les bse de la CQ reseau lol
Ce qui veut dire qu'il ne faut pas être pressé de rendre son serveur web accessible au monde ?.. non je ne pense pas mais il faut connaitre les bse de la CQ reseau lol
LaDDL
On 20 Feb 2005 17:09:06 GMT, Franck Danard wrote:
Par curiosité, y avait-il d'autres fichiers dans le répertoire où était présent Netcat ?
Visiblement pas non..! Enfin pour l'instant, c'est pas granve, je suis en RTC56k donc ....
Tu as quand même chopé NetCat !
Mais le jour ou je vais avoir l'ADSL, là l'utilité de me sécuriser va être là.
Commences dès maintenant. Voici un site qui devrait t'aider : http://www.devside.net/
Pour l'instant, comme j'ai expliqué tout à l'heure, j'ai un serveur en beta test, en quelque sorte. C'est juste pour faire "mumuse". Mais si le "mumuse me coute chere au niveau config, c'est pas top!
Bon de toute façon, je pense mettre un linux à la longue avec des mises à jour de CQ fréquente. potasser les modalités de la CQ reseau et pi voilà
Si tu souhaites migrer vers Linux, voici un lien vers un excellent papier publié récemment par IBM (amha une lecture indispensable et à faire connaître) : http://www.redbooks.ibm.com/Redbooks.nsf/45a7b1440f1455ec85256ce000775fa5/da2e9ede96762eff85256eba005a14da?OpenDocument
On 20 Feb 2005 17:09:06 GMT, Franck Danard <nospam@com.com> wrote:
Par curiosité, y avait-il d'autres fichiers dans le répertoire où était
présent Netcat ?
Visiblement pas non..!
Enfin pour l'instant, c'est pas granve, je suis en RTC56k donc ....
Tu as quand même chopé NetCat !
Mais le jour ou je vais avoir l'ADSL, là l'utilité de me sécuriser va
être
là.
Commences dès maintenant. Voici un site qui devrait t'aider :
http://www.devside.net/
Pour l'instant, comme j'ai expliqué tout à l'heure, j'ai un serveur en
beta
test, en quelque sorte.
C'est juste pour faire "mumuse".
Mais si le "mumuse me coute chere au niveau config, c'est pas top!
Bon de toute façon, je pense mettre un linux à la longue avec des mises à
jour de CQ fréquente.
potasser les modalités de la CQ reseau et pi voilà
Si tu souhaites migrer vers Linux, voici un lien vers un excellent papier
publié récemment par IBM (amha une lecture indispensable et à faire
connaître) :
http://www.redbooks.ibm.com/Redbooks.nsf/45a7b1440f1455ec85256ce000775fa5/da2e9ede96762eff85256eba005a14da?OpenDocument
Par curiosité, y avait-il d'autres fichiers dans le répertoire où était présent Netcat ?
Visiblement pas non..! Enfin pour l'instant, c'est pas granve, je suis en RTC56k donc ....
Tu as quand même chopé NetCat !
Mais le jour ou je vais avoir l'ADSL, là l'utilité de me sécuriser va être là.
Commences dès maintenant. Voici un site qui devrait t'aider : http://www.devside.net/
Pour l'instant, comme j'ai expliqué tout à l'heure, j'ai un serveur en beta test, en quelque sorte. C'est juste pour faire "mumuse". Mais si le "mumuse me coute chere au niveau config, c'est pas top!
Bon de toute façon, je pense mettre un linux à la longue avec des mises à jour de CQ fréquente. potasser les modalités de la CQ reseau et pi voilà
Si tu souhaites migrer vers Linux, voici un lien vers un excellent papier publié récemment par IBM (amha une lecture indispensable et à faire connaître) : http://www.redbooks.ibm.com/Redbooks.nsf/45a7b1440f1455ec85256ce000775fa5/da2e9ede96762eff85256eba005a14da?OpenDocument
Cedric Blancher
Le Mon, 21 Feb 2005 18:19:19 +0000, LaDDL a écrit :
Le meilleur moyen c'est de carrément interdire le FTP. C'est un des plus vieux protocole sur Internet et une cible privilègiée des attaquants : http://www.osvdb.org/searchdb.php?vuln_title=FTP
Une des dernières études que j'ai lue faisait état de 70% de machines piratées via des sites web, donc TCP/80...
-- SYBEX ORIGINAL SOFTWARE NOUVEAU KIT LINUX REDHAT 5.2 POUR WIN 95/98 -+- Sybex in Guide du linuxien pervers - "L'incompétance en action" -+-
Le Mon, 21 Feb 2005 18:19:19 +0000, LaDDL a écrit :
Le meilleur moyen c'est de carrément interdire le FTP. C'est un des plus
vieux protocole sur Internet et une cible privilègiée des attaquants :
http://www.osvdb.org/searchdb.php?vuln_title=FTP
Une des dernières études que j'ai lue faisait état de 70% de machines
piratées via des sites web, donc TCP/80...
--
SYBEX ORIGINAL SOFTWARE
NOUVEAU KIT LINUX REDHAT 5.2 POUR WIN 95/98
-+- Sybex in Guide du linuxien pervers - "L'incompétance en action" -+-
Le Mon, 21 Feb 2005 18:19:19 +0000, LaDDL a écrit :
Le meilleur moyen c'est de carrément interdire le FTP. C'est un des plus vieux protocole sur Internet et une cible privilègiée des attaquants : http://www.osvdb.org/searchdb.php?vuln_title=FTP
Une des dernières études que j'ai lue faisait état de 70% de machines piratées via des sites web, donc TCP/80...
-- SYBEX ORIGINAL SOFTWARE NOUVEAU KIT LINUX REDHAT 5.2 POUR WIN 95/98 -+- Sybex in Guide du linuxien pervers - "L'incompétance en action" -+-
Snarf
On 2005-02-21, LaDDL wrote:
Pourquoi est ce que 21 est un port sensible? http://www.iss.net/security_center/advice/Exploits/Ports/21/default.htm
http://www.iss.net/security_center/advice/Exploits/Services/FTP/default.htm Autrement, ce n'était qu'un exemple ici pour illustrer mon propos, j'aurai pu en citer un autre.
Le port 21 est pas plus senbible que le 32423... ce qui importe, c'est ce que tu met derreire..
Si aucun service ne tourne dessus, et sauf si une backdoor ou autre saloperie écoute dessus (c'est peut-etre là qui fait que c'est dangereux?), il n'est pas plus dangereux non? J'ai tort? yep . ut peux même jouer avec ça pour leurrer les vilains_pas_beau_qui_jouent
_avec_des_kiddies
en bricolant, tu peux même faire un attrape_spammeur en logguant les demande sur le port 25 (hein ... auré ;)
dans 98% des cas le pb ne vient pas du soft lui même mais du truc entre le clavier et la chaise ;)
Snarf, un peu HS comme d'hab ;) -- "L'IRQ a été inventée par Murphy ; le partage des IRQ, par quelqu'un voulant le defier " echo '[q]sa[ln0=aln256%Pln256/snlbx]sb3135071790101768542287578439snlbxq' | dc
On 2005-02-21, LaDDL <bounce@localhost.com> wrote:
Pourquoi est ce que 21 est un port sensible?
http://www.iss.net/security_center/advice/Exploits/Ports/21/default.htm
http://www.iss.net/security_center/advice/Exploits/Services/FTP/default.htm
Autrement, ce n'était qu'un exemple ici pour illustrer mon propos, j'aurai
pu en citer un autre.
Le port 21 est pas plus senbible que le 32423... ce qui importe, c'est
ce que tu met derreire..
Si aucun service ne tourne dessus, et sauf si une backdoor ou autre
saloperie écoute dessus (c'est peut-etre là qui fait que c'est
dangereux?), il n'est pas plus dangereux non? J'ai tort?
yep . ut peux même jouer avec ça pour leurrer les vilains_pas_beau_qui_jouent
_avec_des_kiddies
en bricolant, tu peux même faire un attrape_spammeur en logguant les
demande sur le port 25 (hein ... auré ;)
dans 98% des cas le pb ne vient pas du soft lui même mais du truc entre
le clavier et la chaise ;)
Snarf, un peu HS comme d'hab ;)
--
"L'IRQ a été inventée par Murphy ; le partage des IRQ, par quelqu'un
voulant le defier "
echo '[q]sa[ln0=aln256%Pln256/snlbx]sb3135071790101768542287578439snlbxq' | dc
Pourquoi est ce que 21 est un port sensible? http://www.iss.net/security_center/advice/Exploits/Ports/21/default.htm
http://www.iss.net/security_center/advice/Exploits/Services/FTP/default.htm Autrement, ce n'était qu'un exemple ici pour illustrer mon propos, j'aurai pu en citer un autre.
Le port 21 est pas plus senbible que le 32423... ce qui importe, c'est ce que tu met derreire..
Si aucun service ne tourne dessus, et sauf si une backdoor ou autre saloperie écoute dessus (c'est peut-etre là qui fait que c'est dangereux?), il n'est pas plus dangereux non? J'ai tort? yep . ut peux même jouer avec ça pour leurrer les vilains_pas_beau_qui_jouent
_avec_des_kiddies
en bricolant, tu peux même faire un attrape_spammeur en logguant les demande sur le port 25 (hein ... auré ;)
dans 98% des cas le pb ne vient pas du soft lui même mais du truc entre le clavier et la chaise ;)
Snarf, un peu HS comme d'hab ;) -- "L'IRQ a été inventée par Murphy ; le partage des IRQ, par quelqu'un voulant le defier " echo '[q]sa[ln0=aln256%Pln256/snlbx]sb3135071790101768542287578439snlbxq' | dc
LaDDL
On 21 Feb 2005 21:03:46 GMT, Cedric Blancher wrote:
Le Mon, 21 Feb 2005 18:19:19 +0000, LaDDL a écrit :
Le meilleur moyen c'est de carrément interdire le FTP. C'est un des plus vieux protocole sur Internet et une cible privilègiée des attaquants : http://www.osvdb.org/searchdb.php?vuln_title=FTP
Une des dernières études que j'ai lue faisait état de 70% de machines piratées via des sites web, donc TCP/80...
Ca ne me surprend guère. Mais comment arrivent-ils à ce chiffre de 70% ? Combien de machines ont-ils étudié ? As-tu un lien stp concernant cette étude ?
Enfin soyons bien d'accord je n'ai pas prétendu que le port 21 et le service FTP étaient le plus attaqué. J'ai simplement illustré mon propos avec un exemple de port. J'ai choisi le port 21 cela aurait pu être le port 80.
Pour ceux qui veulent suivre la tendance des "attaques" : http://www.dshield.org/
On 21 Feb 2005 21:03:46 GMT, Cedric Blancher <blancher@cartel-securite.fr>
wrote:
Le Mon, 21 Feb 2005 18:19:19 +0000, LaDDL a écrit :
Le meilleur moyen c'est de carrément interdire le FTP. C'est un des plus
vieux protocole sur Internet et une cible privilègiée des attaquants :
http://www.osvdb.org/searchdb.php?vuln_title=FTP
Une des dernières études que j'ai lue faisait état de 70% de machines
piratées via des sites web, donc TCP/80...
Ca ne me surprend guère.
Mais comment arrivent-ils à ce chiffre de 70% ? Combien de machines
ont-ils étudié ?
As-tu un lien stp concernant cette étude ?
Enfin soyons bien d'accord je n'ai pas prétendu que le port 21 et le
service FTP étaient le plus attaqué. J'ai simplement illustré mon propos
avec un exemple de port. J'ai choisi le port 21 cela aurait pu être le
port 80.
Pour ceux qui veulent suivre la tendance des "attaques" :
http://www.dshield.org/
On 21 Feb 2005 21:03:46 GMT, Cedric Blancher wrote:
Le Mon, 21 Feb 2005 18:19:19 +0000, LaDDL a écrit :
Le meilleur moyen c'est de carrément interdire le FTP. C'est un des plus vieux protocole sur Internet et une cible privilègiée des attaquants : http://www.osvdb.org/searchdb.php?vuln_title=FTP
Une des dernières études que j'ai lue faisait état de 70% de machines piratées via des sites web, donc TCP/80...
Ca ne me surprend guère. Mais comment arrivent-ils à ce chiffre de 70% ? Combien de machines ont-ils étudié ? As-tu un lien stp concernant cette étude ?
Enfin soyons bien d'accord je n'ai pas prétendu que le port 21 et le service FTP étaient le plus attaqué. J'ai simplement illustré mon propos avec un exemple de port. J'ai choisi le port 21 cela aurait pu être le port 80.
Pour ceux qui veulent suivre la tendance des "attaques" : http://www.dshield.org/
Sebastien Vincent
NetBSD 2.0.1 avec PF, mais d'autres te diront FreeBSD+IPFilter ou Linux, ou Hurd (aïe, non pastaper...)
J'aurais dis OpenBSD + Packet Filter puisqu'il est natif de ce système. De plus on parle de sécurité (tout a rajoutant quelques services si je te suis) alors je recommande OpenBSD (protection contre les buffer Overflow, securité par défaut, créateur de Packet Filter).
XAv
Amicalement,
Seb :)
NetBSD 2.0.1 avec PF, mais d'autres te diront
FreeBSD+IPFilter ou Linux, ou Hurd (aïe, non pastaper...)
J'aurais dis OpenBSD + Packet Filter puisqu'il est natif de ce
système. De plus on parle de sécurité (tout a rajoutant quelques
services si je te suis) alors je recommande OpenBSD (protection
contre les buffer Overflow, securité par défaut, créateur de
Packet Filter).
NetBSD 2.0.1 avec PF, mais d'autres te diront FreeBSD+IPFilter ou Linux, ou Hurd (aïe, non pastaper...)
J'aurais dis OpenBSD + Packet Filter puisqu'il est natif de ce système. De plus on parle de sécurité (tout a rajoutant quelques services si je te suis) alors je recommande OpenBSD (protection contre les buffer Overflow, securité par défaut, créateur de Packet Filter).
