Proto Adresse locale Adresse distante Etat TCP OURANOS:epmap carras-1-82-66-199-167.fbx.proxad.net:4909 ESTABLISHED
J'aimerais juste savoir ce que le monsieur essaie de faire ou fait à mon pc, merci.
salut,
pour la petite histoire, epmap (endpoint mapper) est le portmapper RPC de microsoft (Remote Procedure Call, un protocole de type client/serveur utilisé pour la réalisation d'applications réparties)
Quand un client veut communiquer avec un service RPC particulier, comme il ne connaît pas à coup sûr le port sur lequel il s'exécute, il se connecte d'abord au service portmapper (port 135 TCP ou UDP) et demande à communiquer avec le service dont il donne l'UUID . Le portmapper retourne le numéro de port correspondant à l'UUID fourni par le client et ferme la connexion le concernant. Ce dernier peut enfin se connecter au service voulu en établissant une nouvelle connexion avec le port que lui a fourni le portmapper.
ce service de windows est assez buggué et de nombreux virus existent. .. alors que peut-etre que le monsieur en face de toi est tout simplement virusé par blaster (ce virus scanne une plage d'adresse IP aléatoire à la recherche de machines vulnérables et se reproduit :-)
une des solutions les plus simples est d'avoir un ptit firewall basique qui refuse les connexions sur le port 135 (et même 139) depuis internet.
A+ Nico
Proto Adresse locale Adresse distante Etat
TCP OURANOS:epmap carras-1-82-66-199-167.fbx.proxad.net:4909
ESTABLISHED
J'aimerais juste savoir ce que le monsieur essaie de faire ou fait à mon
pc, merci.
salut,
pour la petite histoire, epmap (endpoint mapper) est le portmapper RPC de
microsoft (Remote Procedure Call, un protocole de type client/serveur
utilisé pour la réalisation d'applications réparties)
Quand un client veut communiquer avec un service RPC particulier, comme il
ne connaît pas à coup sûr le port sur lequel il s'exécute, il se connecte
d'abord au service portmapper (port 135 TCP ou UDP) et demande à communiquer
avec le service dont il donne l'UUID . Le portmapper retourne le numéro de
port correspondant à l'UUID fourni par le client et ferme la connexion le
concernant. Ce dernier peut enfin se connecter au service voulu en
établissant une nouvelle connexion avec le port que lui a fourni le
portmapper.
ce service de windows est assez buggué et de nombreux virus existent. ..
alors que peut-etre que le monsieur en face de toi est tout simplement
virusé par blaster (ce virus scanne une plage d'adresse IP aléatoire à la
recherche de machines vulnérables et se reproduit :-)
une des solutions les plus simples est d'avoir un ptit firewall basique qui
refuse les connexions sur le port 135 (et même 139) depuis internet.
Proto Adresse locale Adresse distante Etat TCP OURANOS:epmap carras-1-82-66-199-167.fbx.proxad.net:4909 ESTABLISHED
J'aimerais juste savoir ce que le monsieur essaie de faire ou fait à mon pc, merci.
salut,
pour la petite histoire, epmap (endpoint mapper) est le portmapper RPC de microsoft (Remote Procedure Call, un protocole de type client/serveur utilisé pour la réalisation d'applications réparties)
Quand un client veut communiquer avec un service RPC particulier, comme il ne connaît pas à coup sûr le port sur lequel il s'exécute, il se connecte d'abord au service portmapper (port 135 TCP ou UDP) et demande à communiquer avec le service dont il donne l'UUID . Le portmapper retourne le numéro de port correspondant à l'UUID fourni par le client et ferme la connexion le concernant. Ce dernier peut enfin se connecter au service voulu en établissant une nouvelle connexion avec le port que lui a fourni le portmapper.
ce service de windows est assez buggué et de nombreux virus existent. .. alors que peut-etre que le monsieur en face de toi est tout simplement virusé par blaster (ce virus scanne une plage d'adresse IP aléatoire à la recherche de machines vulnérables et se reproduit :-)
une des solutions les plus simples est d'avoir un ptit firewall basique qui refuse les connexions sur le port 135 (et même 139) depuis internet.
A+ Nico
Xavier Roche
wrote:
Connexions actives TCP OURANOS:epmap carras-1-82-66-199-167.fbx.proxad.net:4909 J'aimerais juste savoir ce que le monsieur essaie de faire ou fait à mon pc, merci.
A priori, port 135, donc à priori aussi injection d'un virus ou d'un trojan (ce n'est pas non plus -à priori- la faute du gugus en face qui doit être infecté)
Placer un windows sans firewall en direct, c'est un peu risqué, si vous voulez mon avis..
doyoudoo@news.free.fr wrote:
Connexions actives
TCP OURANOS:epmap carras-1-82-66-199-167.fbx.proxad.net:4909
J'aimerais juste savoir ce que le monsieur essaie de faire ou fait à mon pc,
merci.
A priori, port 135, donc à priori aussi injection d'un virus ou d'un
trojan (ce n'est pas non plus -à priori- la faute du gugus en face qui
doit être infecté)
Placer un windows sans firewall en direct, c'est un peu risqué, si vous
voulez mon avis..
Connexions actives TCP OURANOS:epmap carras-1-82-66-199-167.fbx.proxad.net:4909 J'aimerais juste savoir ce que le monsieur essaie de faire ou fait à mon pc, merci.
A priori, port 135, donc à priori aussi injection d'un virus ou d'un trojan (ce n'est pas non plus -à priori- la faute du gugus en face qui doit être infecté)
Placer un windows sans firewall en direct, c'est un peu risqué, si vous voulez mon avis..
Kevin
Le 24 Nov 2003 15:57:54 GMT, a ecrit: | | Microsoft Windows XP [version 5.1.2600] | (C) Copyright 1985-2001 Microsoft Corp. | | C:Documents and SettingsStandard>netstat | | Connexions actives | | Proto Adresse locale Adresse distante Etat | TCP OURANOS:epmap carras-1-82-66-199-167.fbx.proxad.net:4909 | ESTA | BLISHED | | J'aimerais juste savoir ce que le monsieur essaie de faire ou fait à mon pc, | merci.
epmap, port tcp 135 de memoire. C'est le ver blaster (ou ses variantes) qui se promene en direction de ton XP. Si tu es a jour -> rien a craindre (enfin, jusqu'a la prochaine faille windows, quoi), si tu n'es pas a jour, tu es infecte. fais un netstat -n -a pour voir si tu as le port 4444 en LISTENING. si oui --> tu es infecte.
solution: nettoyage, patch, mise a jour, firewall avant de te reconnecter sur internet.
J'en profite pour poser une question: ce ver ouvre un shell administrateur sur le port 4444. Y a t'il moyen d'eteindre a distance une machine "agacante" Genre qui me pourrit ma liaison a force de scans repetes, un espece de echo "shutdown -h now" | nc IP_WIN 4444 histoire de faire cesser tout ca? (et deja, est-ce possible d'eteindre une machine win en ligne de commande sans l'installation de programme tiers?)
Je sais, ce n'est pas tres "propre", mais 1. ca n'a aucune consequence sur la machine en face (pas de piratage, pas de modification de donnees); je ne parle pas de la patcher a distance comme il avait ete indique sur ce ng il y a quelques temps. 2. ca pourrait eventuellement au bout d'un moment mettre la puce a l'oreille de l'utilisateur de la machine
Pas de troll, SVP, juste pour avoir votre avis, l'envie me titille serieusement certaines fois. -- Kevin [regard sur la station de travail]. Et c'est quelle version de DOS, la? -+- Les 100 choses que vous n'aimez pas entendre de la part du sysadmin -+-
Le 24 Nov 2003 15:57:54 GMT, doyoudoo@news.free.fr a ecrit:
|
| Microsoft Windows XP [version 5.1.2600]
| (C) Copyright 1985-2001 Microsoft Corp.
|
| C:Documents and SettingsStandard>netstat
|
| Connexions actives
|
| Proto Adresse locale Adresse distante Etat
| TCP OURANOS:epmap carras-1-82-66-199-167.fbx.proxad.net:4909
| ESTA
| BLISHED
|
| J'aimerais juste savoir ce que le monsieur essaie de faire ou fait à mon pc,
| merci.
epmap, port tcp 135 de memoire.
C'est le ver blaster (ou ses variantes) qui se promene en direction de
ton XP.
Si tu es a jour -> rien a craindre (enfin, jusqu'a la prochaine faille
windows, quoi), si tu n'es pas a jour, tu es infecte.
fais un netstat -n -a pour voir si tu as le port 4444 en LISTENING.
si oui --> tu es infecte.
solution: nettoyage, patch, mise a jour, firewall avant de te reconnecter
sur internet.
J'en profite pour poser une question:
ce ver ouvre un shell administrateur sur le port 4444.
Y a t'il moyen d'eteindre a distance une machine "agacante" Genre qui
me pourrit ma liaison a force de scans repetes, un espece de
echo "shutdown -h now" | nc IP_WIN 4444
histoire de faire cesser tout ca? (et deja, est-ce possible d'eteindre
une machine win en ligne de commande sans l'installation de programme
tiers?)
Je sais, ce n'est pas tres "propre", mais
1. ca n'a aucune consequence sur la machine en face (pas de piratage,
pas de modification de donnees); je ne parle pas de la patcher a distance
comme il avait ete indique sur ce ng il y a quelques temps.
2. ca pourrait eventuellement au bout d'un moment mettre la puce a
l'oreille de l'utilisateur de la machine
Pas de troll, SVP, juste pour avoir votre avis, l'envie me titille
serieusement certaines fois.
--
Kevin
[regard sur la station de travail]. Et c'est quelle version de DOS, la?
-+- Les 100 choses que vous n'aimez pas entendre de la part du sysadmin -+-
Le 24 Nov 2003 15:57:54 GMT, a ecrit: | | Microsoft Windows XP [version 5.1.2600] | (C) Copyright 1985-2001 Microsoft Corp. | | C:Documents and SettingsStandard>netstat | | Connexions actives | | Proto Adresse locale Adresse distante Etat | TCP OURANOS:epmap carras-1-82-66-199-167.fbx.proxad.net:4909 | ESTA | BLISHED | | J'aimerais juste savoir ce que le monsieur essaie de faire ou fait à mon pc, | merci.
epmap, port tcp 135 de memoire. C'est le ver blaster (ou ses variantes) qui se promene en direction de ton XP. Si tu es a jour -> rien a craindre (enfin, jusqu'a la prochaine faille windows, quoi), si tu n'es pas a jour, tu es infecte. fais un netstat -n -a pour voir si tu as le port 4444 en LISTENING. si oui --> tu es infecte.
solution: nettoyage, patch, mise a jour, firewall avant de te reconnecter sur internet.
J'en profite pour poser une question: ce ver ouvre un shell administrateur sur le port 4444. Y a t'il moyen d'eteindre a distance une machine "agacante" Genre qui me pourrit ma liaison a force de scans repetes, un espece de echo "shutdown -h now" | nc IP_WIN 4444 histoire de faire cesser tout ca? (et deja, est-ce possible d'eteindre une machine win en ligne de commande sans l'installation de programme tiers?)
Je sais, ce n'est pas tres "propre", mais 1. ca n'a aucune consequence sur la machine en face (pas de piratage, pas de modification de donnees); je ne parle pas de la patcher a distance comme il avait ete indique sur ce ng il y a quelques temps. 2. ca pourrait eventuellement au bout d'un moment mettre la puce a l'oreille de l'utilisateur de la machine
Pas de troll, SVP, juste pour avoir votre avis, l'envie me titille serieusement certaines fois. -- Kevin [regard sur la station de travail]. Et c'est quelle version de DOS, la? -+- Les 100 choses que vous n'aimez pas entendre de la part du sysadmin -+-
noobus
Si tu es a jour -> rien a craindre
à priori il n'est pas à jour ou n'utilise pas de ptit firewall..sinon je vois pas comment il pourrait avoir une connexion depuis le net sur le port 135...
A+
Si tu es a jour -> rien a craindre
à priori il n'est pas à jour ou n'utilise pas de ptit firewall..sinon je
vois pas comment il pourrait avoir une connexion depuis le net sur le port
135...
à priori il n'est pas à jour ou n'utilise pas de ptit firewall..sinon je vois pas comment il pourrait avoir une connexion depuis le net sur le port 135...
A+
Kevin
Le 27 Nov 2003 00:54:23 GMT, noobus a ecrit: |> Si tu es a jour -> rien a craindre | | à priori il n'est pas à jour ou n'utilise pas de ptit firewall..sinon je | vois pas comment il pourrait avoir une connexion depuis le net sur le port | 135... | S'il est a jour, son port 135 est toujours en ecoute. Donc si le ver vient passer par la, il aura une connection. S'il est jour, sa machine ne se fera pas pourrir, c'est la difference.
Par contre s'il a un firewall, effectivement, les connections ne devraient pas apparaitre (s'il est bien configure)
-- Kevin Et merd, je viens de l'acheter.. -+- Les 100 choses que vous n'aimez pas entendre de la part du sysadmin -+-
Le 27 Nov 2003 00:54:23 GMT, noobus a ecrit:
|> Si tu es a jour -> rien a craindre
|
| à priori il n'est pas à jour ou n'utilise pas de ptit firewall..sinon je
| vois pas comment il pourrait avoir une connexion depuis le net sur le port
| 135...
|
S'il est a jour, son port 135 est toujours en ecoute. Donc si le ver vient
passer par la, il aura une connection.
S'il est jour, sa machine ne se fera pas pourrir, c'est la difference.
Par contre s'il a un firewall, effectivement, les connections ne devraient
pas apparaitre (s'il est bien configure)
--
Kevin
Et merd, je viens de l'acheter..
-+- Les 100 choses que vous n'aimez pas entendre de la part du sysadmin -+-
Le 27 Nov 2003 00:54:23 GMT, noobus a ecrit: |> Si tu es a jour -> rien a craindre | | à priori il n'est pas à jour ou n'utilise pas de ptit firewall..sinon je | vois pas comment il pourrait avoir une connexion depuis le net sur le port | 135... | S'il est a jour, son port 135 est toujours en ecoute. Donc si le ver vient passer par la, il aura une connection. S'il est jour, sa machine ne se fera pas pourrir, c'est la difference.
Par contre s'il a un firewall, effectivement, les connections ne devraient pas apparaitre (s'il est bien configure)
-- Kevin Et merd, je viens de l'acheter.. -+- Les 100 choses que vous n'aimez pas entendre de la part du sysadmin -+-
noobus
S'il est a jour, son port 135 est toujours en ecoute. Donc si le ver vient
si être à jour, c'est avoir le port 135 ouvert sur l'interface internet, je ne te suis pas vraiment d'accord ...
passer par la, il aura une connection. S'il est jour, sa machine ne se fera pas pourrir, c'est la difference.
comme tout OS, le temps que qq personnes te pourrisessent la vie varie.......
Par contre s'il a un firewall, effectivement, les connections ne devraient pas apparaitre (s'il est bien configure)
tu parles seulement de firewall ;-p
-- si je suis censurer,je veux savoir pourquoi.. !!
S'il est a jour, son port 135 est toujours en ecoute. Donc si le ver vient
si être à jour, c'est avoir le port 135 ouvert sur l'interface internet, je
ne te suis pas vraiment d'accord ...
passer par la, il aura une connection.
S'il est jour, sa machine ne se fera pas pourrir, c'est la difference.
comme tout OS, le temps que qq personnes te pourrisessent la vie
varie.......
Par contre s'il a un firewall, effectivement, les connections ne devraient
pas apparaitre (s'il est bien configure)
tu parles seulement de firewall ;-p
--
si je suis censurer,je veux savoir pourquoi.. !!
S'il est a jour, son port 135 est toujours en ecoute. Donc si le ver vient
si être à jour, c'est avoir le port 135 ouvert sur l'interface internet, je ne te suis pas vraiment d'accord ...
passer par la, il aura une connection. S'il est jour, sa machine ne se fera pas pourrir, c'est la difference.
comme tout OS, le temps que qq personnes te pourrisessent la vie varie.......
Par contre s'il a un firewall, effectivement, les connections ne devraient pas apparaitre (s'il est bien configure)
tu parles seulement de firewall ;-p
-- si je suis censurer,je veux savoir pourquoi.. !!
Kevin
Le 28 Nov 2003 23:07:59 GMT, noobus a ecrit: |> S'il est a jour, son port 135 est toujours en ecoute. Donc si le ver vient | | si être à jour, c'est avoir le port 135 ouvert sur l'interface internet, je | ne te suis pas vraiment d'accord ... | mettre a jour, c'est supprimer dans les programmes les defauts de fonctionnement. Ce n'est pas empecher son fonctionnement. Donc si le windows est a jour, le 135 ecoute encore sur le 'ternet.
Ensuite, on peut parler de configuration, de firewall, etc..
Mais *par* *principe*, si les demons sont a jour (notion relative), on est tranquille. Je peux mettre 350 serveurs sur ma machine sans risque de compromission s'ils n'ont aucune faille de securite et qu'ils sont bien configures.
La question etait "netstat -a me montre une connection sur le port 135, suis je infecte?" La reponse n'est pas obligatoirement "oui".
|> Par contre s'il a un firewall, effectivement, les connections ne devraient |> pas apparaitre (s'il est bien configure) | | tu parles seulement de firewall ;-p | Chuis pas sur de bien comprendre la phrase, la. Tu parles de l'arreter depuis la console de gestion? Tu veux vraiment voir un windows marcher sur une patte et demi? rpc, moi je laisse tourner. Il y a combien? 20, 30 services qui dependent de lui?
-- Kevin Euhh.. Tu ne m'avais pas dit que tu l'avais eteint? -+- Les 100 choses que vous n'aimez pas entendre de la part du sysadmin -+-
Le 28 Nov 2003 23:07:59 GMT, noobus a ecrit:
|> S'il est a jour, son port 135 est toujours en ecoute. Donc si le ver vient
|
| si être à jour, c'est avoir le port 135 ouvert sur l'interface internet, je
| ne te suis pas vraiment d'accord ...
|
mettre a jour, c'est supprimer dans les programmes les defauts de
fonctionnement. Ce n'est pas empecher son fonctionnement.
Donc si le windows est a jour, le 135 ecoute encore sur le 'ternet.
Ensuite, on peut parler de configuration, de firewall, etc..
Mais *par* *principe*, si les demons sont a jour (notion relative), on est
tranquille. Je peux mettre 350 serveurs sur ma machine sans risque de
compromission s'ils n'ont aucune faille de securite et qu'ils sont
bien configures.
La question etait "netstat -a me montre une connection sur le port 135,
suis je infecte?"
La reponse n'est pas obligatoirement "oui".
|> Par contre s'il a un firewall, effectivement, les connections ne devraient
|> pas apparaitre (s'il est bien configure)
|
| tu parles seulement de firewall ;-p
|
Chuis pas sur de bien comprendre la phrase, la. Tu parles de
l'arreter depuis la console de gestion? Tu veux vraiment voir
un windows marcher sur une patte et demi?
rpc, moi je laisse tourner. Il y a combien? 20, 30 services qui dependent
de lui?
--
Kevin
Euhh.. Tu ne m'avais pas dit que tu l'avais eteint?
-+- Les 100 choses que vous n'aimez pas entendre de la part du sysadmin -+-
Le 28 Nov 2003 23:07:59 GMT, noobus a ecrit: |> S'il est a jour, son port 135 est toujours en ecoute. Donc si le ver vient | | si être à jour, c'est avoir le port 135 ouvert sur l'interface internet, je | ne te suis pas vraiment d'accord ... | mettre a jour, c'est supprimer dans les programmes les defauts de fonctionnement. Ce n'est pas empecher son fonctionnement. Donc si le windows est a jour, le 135 ecoute encore sur le 'ternet.
Ensuite, on peut parler de configuration, de firewall, etc..
Mais *par* *principe*, si les demons sont a jour (notion relative), on est tranquille. Je peux mettre 350 serveurs sur ma machine sans risque de compromission s'ils n'ont aucune faille de securite et qu'ils sont bien configures.
La question etait "netstat -a me montre une connection sur le port 135, suis je infecte?" La reponse n'est pas obligatoirement "oui".
|> Par contre s'il a un firewall, effectivement, les connections ne devraient |> pas apparaitre (s'il est bien configure) | | tu parles seulement de firewall ;-p | Chuis pas sur de bien comprendre la phrase, la. Tu parles de l'arreter depuis la console de gestion? Tu veux vraiment voir un windows marcher sur une patte et demi? rpc, moi je laisse tourner. Il y a combien? 20, 30 services qui dependent de lui?
-- Kevin Euhh.. Tu ne m'avais pas dit que tu l'avais eteint? -+- Les 100 choses que vous n'aimez pas entendre de la part du sysadmin -+-
Cedric Blancher
Dans sa prose, Kevin DENIS nous ecrivait :
Mais *par* *principe*, si les demons sont a jour (notion relative), on est tranquille. Je peux mettre 350 serveurs sur ma machine sans risque de compromission s'ils n'ont aucune faille de securite et qu'ils sont bien configures.
Ça fait beaucoup de si, non ? Et si un 0day concernant tes 350 machines pointe le bout de son nez, t'es pas dans la merde... Sans compter le temps qu'il va te falloir pour les mettre tous à jour. Pour info, la faille RPC/DCOM avait son petit exploit private qui tournait 4 jours après.
En supposant qu'il te faille accorder 15 min à chaque machine pour la patcher, il te faudra 87 heures de taff non-stop pour arriver à tout gérer, soit plus de trois jours. Si tu ajoutes à cela le temps de validation du patch (en environnement de production, on ne patch pas à l'aveugle), tu en as pour la semaine. Donc dans le cas présent, t'es mort.
1. On bloque. L'utilité d'avoir son port 135 accessible depuis Internet me semble proche de 0. 2. On patche. Même si les services ne sont pas accessibles depuis Internet, il faut tout de même avoir des machines à jour.
Je tiens quand même à rappeler que contrairement à CodeRed et Nimda qui exploitaient des failles sur un service destiné à Internet, c'était loin d'être le cas de Slammer et Blaster. Bref, que les gens qui avaient un firewall, même configuré par défaut, n'ont pas été infecté. Et dans le cas de Slammer, c'est encore pire, puisque ce sont des applications _professionnelles_ qui se sont majoritairement faite infecter... Aucune excuse pour ces "professionnels" pas foutu de configurer un firewall devant leur backend de BDD... Limite bien fait pour leur gueule (4 jours d'indisponibilité pour je ne sais plus quel fournisseur de mail, ça laisse rêveur...).
--
Et le port ISA avec des port serie ? ;-) Le bus ISA est géré par un pont avec le bus PCI et part donc lui aussi
dans la stratosphère. -+- TP in GFA : "Comment envoyer Linux sur orbite" -+-
Dans sa prose, Kevin DENIS nous ecrivait :
Mais *par* *principe*, si les demons sont a jour (notion relative), on est
tranquille. Je peux mettre 350 serveurs sur ma machine sans risque de
compromission s'ils n'ont aucune faille de securite et qu'ils sont bien
configures.
Ça fait beaucoup de si, non ?
Et si un 0day concernant tes 350 machines pointe le bout de son nez, t'es
pas dans la merde... Sans compter le temps qu'il va te falloir pour les
mettre tous à jour. Pour info, la faille RPC/DCOM avait son petit exploit
private qui tournait 4 jours après.
En supposant qu'il te faille accorder 15 min à chaque machine pour la
patcher, il te faudra 87 heures de taff non-stop pour arriver à tout
gérer, soit plus de trois jours. Si tu ajoutes à cela le temps de
validation du patch (en environnement de production, on ne patch pas
à l'aveugle), tu en as pour la semaine. Donc dans le cas présent, t'es
mort.
1. On bloque. L'utilité d'avoir son port 135 accessible depuis Internet
me semble proche de 0.
2. On patche. Même si les services ne sont pas accessibles depuis
Internet, il faut tout de même avoir des machines à jour.
Je tiens quand même à rappeler que contrairement à CodeRed et Nimda qui
exploitaient des failles sur un service destiné à Internet, c'était
loin d'être le cas de Slammer et Blaster. Bref, que les gens qui avaient
un firewall, même configuré par défaut, n'ont pas été infecté. Et
dans le cas de Slammer, c'est encore pire, puisque ce sont des
applications _professionnelles_ qui se sont majoritairement faite
infecter... Aucune excuse pour ces "professionnels" pas foutu de
configurer un firewall devant leur backend de BDD... Limite bien fait pour
leur gueule (4 jours d'indisponibilité pour je ne sais plus quel
fournisseur de mail, ça laisse rêveur...).
--
Et le port ISA avec des port serie ? ;-)
Le bus ISA est géré par un pont avec le bus PCI et part donc lui aussi
dans la stratosphère.
-+- TP in GFA : "Comment envoyer Linux sur orbite" -+-
Mais *par* *principe*, si les demons sont a jour (notion relative), on est tranquille. Je peux mettre 350 serveurs sur ma machine sans risque de compromission s'ils n'ont aucune faille de securite et qu'ils sont bien configures.
Ça fait beaucoup de si, non ? Et si un 0day concernant tes 350 machines pointe le bout de son nez, t'es pas dans la merde... Sans compter le temps qu'il va te falloir pour les mettre tous à jour. Pour info, la faille RPC/DCOM avait son petit exploit private qui tournait 4 jours après.
En supposant qu'il te faille accorder 15 min à chaque machine pour la patcher, il te faudra 87 heures de taff non-stop pour arriver à tout gérer, soit plus de trois jours. Si tu ajoutes à cela le temps de validation du patch (en environnement de production, on ne patch pas à l'aveugle), tu en as pour la semaine. Donc dans le cas présent, t'es mort.
1. On bloque. L'utilité d'avoir son port 135 accessible depuis Internet me semble proche de 0. 2. On patche. Même si les services ne sont pas accessibles depuis Internet, il faut tout de même avoir des machines à jour.
Je tiens quand même à rappeler que contrairement à CodeRed et Nimda qui exploitaient des failles sur un service destiné à Internet, c'était loin d'être le cas de Slammer et Blaster. Bref, que les gens qui avaient un firewall, même configuré par défaut, n'ont pas été infecté. Et dans le cas de Slammer, c'est encore pire, puisque ce sont des applications _professionnelles_ qui se sont majoritairement faite infecter... Aucune excuse pour ces "professionnels" pas foutu de configurer un firewall devant leur backend de BDD... Limite bien fait pour leur gueule (4 jours d'indisponibilité pour je ne sais plus quel fournisseur de mail, ça laisse rêveur...).
--
Et le port ISA avec des port serie ? ;-) Le bus ISA est géré par un pont avec le bus PCI et part donc lui aussi
dans la stratosphère. -+- TP in GFA : "Comment envoyer Linux sur orbite" -+-
Kevin
Le 01 Dec 2003 10:09:38 GMT, Cedric Blancher a ecrit: |> Mais *par* *principe*, si les demons sont a jour (notion relative), on est |> tranquille. Je peux mettre 350 serveurs sur ma machine sans risque de |> compromission s'ils n'ont aucune faille de securite et qu'ils sont bien |> configures. | | Ça fait beaucoup de si, non ?
dans une declaration de principe, non.
Mais par rapport a ma question initiale d'arreter les machines a distance via le port 4444, pas de commentaires? -- Kevin
Le 01 Dec 2003 10:09:38 GMT, Cedric Blancher a ecrit:
|> Mais *par* *principe*, si les demons sont a jour (notion relative), on est
|> tranquille. Je peux mettre 350 serveurs sur ma machine sans risque de
|> compromission s'ils n'ont aucune faille de securite et qu'ils sont bien
|> configures.
|
| Ça fait beaucoup de si, non ?
dans une declaration de principe, non.
Mais par rapport a ma question initiale d'arreter les machines a
distance via le port 4444, pas de commentaires?
--
Kevin
Le 01 Dec 2003 10:09:38 GMT, Cedric Blancher a ecrit: |> Mais *par* *principe*, si les demons sont a jour (notion relative), on est |> tranquille. Je peux mettre 350 serveurs sur ma machine sans risque de |> compromission s'ils n'ont aucune faille de securite et qu'ils sont bien |> configures. | | Ça fait beaucoup de si, non ?
dans une declaration de principe, non.
Mais par rapport a ma question initiale d'arreter les machines a distance via le port 4444, pas de commentaires? -- Kevin
Cedric Blancher
Dans sa prose, Kevin DENIS nous ecrivait :
dans une declaration de principe, non.
En sécurité, les principes doivent être confrontés à la dure réalité...
Mais par rapport a ma question initiale d'arreter les machines a distance via le port 4444, pas de commentaires?
Pourquoi les arrêter alors que tu peux les désinfecter et les patcher par ce même moyen ? voir "Honeyd Vs MSBLAST.EXE" :
