j'ai un problème assez particulier à vous soumettre, problème sur
lequel je suis somme toute assez perplexe.
Sur une machine Win2k qui n'est pas dans mon périmètre classique d'admin
(et dont je ne sais pas le niveau de patchs), une connexion à distance
est apparue un beau jour. La machine est dans une DMZ et est censée être
plutôt bien filtrée. Seuls les admins y ont un accès légitime.
Cette connexion à distance à pour login "lg056243" et pour destination
"899111301". La destination semble être sous la forme de DWORD [1], et
donnerait auquel cas l'adresse IP 53.151.89.133 qui appartient à
Mercedes et n'est pas joignable.
Question : quelqu'un peut-il me confirmer qu'une connexion à
distance sous Win2k peut utiliser une adresse sous forme de DWORD ?
Pour info, Norton à jour ne voit rien. Ah oui, le nom de la connexion est
"nxosex82x_Connection", et il y a donc "sex" dedans (non, je ne suis pas
un obsédé :)
Un screenshot est dispo [2]
Ca vous parle ?
Nicob
[1] : http://www.samspade.org/t/url?u=http%3A%2F%2F899111301%2F
[2] : http://www.nicob.net/nxosex82x.png
NB : J'ai déjà cherché dans Google pour l'IP, le login, le nom de la
connexion ...
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Nicob
On Fri, 31 Oct 2003 17:39:19 +0000, Nicob wrote:
[1] : http://www.samspade.org/t/url?u=http%3A%2F%2F899111301%2F [2] : http://www.nicob.net/nxosex82x.png NB : J'ai déjà cherché dans Google pour l'IP, le login, le nom de la connexion ...
Arghhh ! Désolé pour la mise en page !
Nicob
On Fri, 31 Oct 2003 17:39:19 +0000, Nicob wrote:
[1] : http://www.samspade.org/t/url?u=http%3A%2F%2F899111301%2F [2] :
http://www.nicob.net/nxosex82x.png NB : J'ai déjà cherché dans Google
pour l'IP, le login, le nom de la connexion ...
[1] : http://www.samspade.org/t/url?u=http%3A%2F%2F899111301%2F [2] : http://www.nicob.net/nxosex82x.png NB : J'ai déjà cherché dans Google pour l'IP, le login, le nom de la connexion ...
Arghhh ! Désolé pour la mise en page !
Nicob
Alain Thivillon
Nicob wrote:
Cette connexion à distance à pour login "lg056243" et pour destination "899111301". La destination semble être sous la forme de DWORD [1], et donnerait auquel cas l'adresse IP 53.151.89.133 qui appartient à Mercedes et n'est pas joignable.
Pour moi ça ressemble plutot a un numéro de téléphone surtaxé d'accès à un serveur Audiotel porno qui s'est retrouvé dans une connexion VPN au lieu d'être dans une connexion RTC, suite sans doute à un bug de l'installeur.
Tu devrais ajouter un 0 et faire se numéro, et écouter s'il y a une porteuse (ca te coutera probablement quelques euros).
Pour info, Norton à jour ne voit rien. Ah oui, le nom de la connexion est "nxosex82x_Connection", et il y a donc "sex" dedans (non, je ne suis pas un obsédé :)
Oué ça confirme ce que je dis, probablement un admin qui est allé naviguer sur un site porno et qui a lancé un .exe (a moins qu'il ne se soit installé tout seul grâce à une des nombreuses failles d'IE en navigant sur le site) ...
-- Nom d'un chat de nom d'un chat !
Nicob <usenet@nicob.net> wrote:
Cette connexion à distance à pour login "lg056243" et pour destination
"899111301". La destination semble être sous la forme de DWORD [1], et
donnerait auquel cas l'adresse IP 53.151.89.133 qui appartient à
Mercedes et n'est pas joignable.
Pour moi ça ressemble plutot a un numéro de téléphone surtaxé d'accès à
un serveur Audiotel porno qui s'est retrouvé dans une connexion VPN au
lieu d'être dans une connexion RTC, suite sans doute à un bug de
l'installeur.
Tu devrais ajouter un 0 et faire se numéro, et écouter s'il y a une
porteuse (ca te coutera probablement quelques euros).
Pour info, Norton à jour ne voit rien. Ah oui, le nom de la connexion est
"nxosex82x_Connection", et il y a donc "sex" dedans (non, je ne suis pas
un obsédé :)
Oué ça confirme ce que je dis, probablement un admin qui est allé
naviguer sur un site porno et qui a lancé un .exe (a moins qu'il ne se
soit installé tout seul grâce à une des nombreuses failles d'IE en
navigant sur le site) ...
Cette connexion à distance à pour login "lg056243" et pour destination "899111301". La destination semble être sous la forme de DWORD [1], et donnerait auquel cas l'adresse IP 53.151.89.133 qui appartient à Mercedes et n'est pas joignable.
Pour moi ça ressemble plutot a un numéro de téléphone surtaxé d'accès à un serveur Audiotel porno qui s'est retrouvé dans une connexion VPN au lieu d'être dans une connexion RTC, suite sans doute à un bug de l'installeur.
Tu devrais ajouter un 0 et faire se numéro, et écouter s'il y a une porteuse (ca te coutera probablement quelques euros).
Pour info, Norton à jour ne voit rien. Ah oui, le nom de la connexion est "nxosex82x_Connection", et il y a donc "sex" dedans (non, je ne suis pas un obsédé :)
Oué ça confirme ce que je dis, probablement un admin qui est allé naviguer sur un site porno et qui a lancé un .exe (a moins qu'il ne se soit installé tout seul grâce à une des nombreuses failles d'IE en navigant sur le site) ...
Ça ressemble beaucoup à un virus nommé Dialer ou une de ses variantes, un truc qui fonctionne excatement comme ça.
L'une des versions d'ailleurs était très vicieuse car elle redonnait sur un numéro (au japon il me semble), a la tarification réellement abominable (genre 80 euro / mn, qui n'existe pas en france), tout en donnant un accès internet semblant "normal"...
Ça ressemble beaucoup à un virus nommé Dialer ou une de ses variantes,
un truc qui fonctionne excatement comme ça.
L'une des versions d'ailleurs était très vicieuse car elle redonnait sur
un numéro (au japon il me semble), a la tarification réellement abominable
(genre 80 euro / mn, qui n'existe pas en france), tout en donnant un accès
internet semblant "normal"...
Ça ressemble beaucoup à un virus nommé Dialer ou une de ses variantes, un truc qui fonctionne excatement comme ça.
L'une des versions d'ailleurs était très vicieuse car elle redonnait sur un numéro (au japon il me semble), a la tarification réellement abominable (genre 80 euro / mn, qui n'existe pas en france), tout en donnant un accès internet semblant "normal"...
j'ai un problème assez particulier à vous soumettre, problème sur lequel je suis somme toute assez perplexe.
Voici la conslusion à laquelle nous sommes arrivés :
- un utilisateur a surfé le site de cul [1] qui l'a redirigé vers [2], et s'est fait levé par le filtrage d'URL - l'admin chargé de l'affinage de la conf du filtrage d'URL a regardé ses logs et est allé vérifier si le site en question devait bel et bien être interdit - il a téléchargé/exécuté un exe [3] qui créé effectivement une connexion à distance (mais bon, avec un numéro à 9 chiffres, on ne craint pas grand chose en France) - la connexion à distance a été découverte, déclenchant cette "enquête"
Si j'attrappe cet admin ...
Nicob NB : Si vous êtes mineurs, n'allez pas plus loin ! [1] : http://fisting.nextoneserver.com [2] : http://pay.3000.it/adult/anal/ [3] : http://www.accessoveloce.com/nxo/x/nxosex82x.exe
On Fri, 31 Oct 2003 17:39:19 +0000, Nicob wrote:
Salut,
j'ai un problème assez particulier à vous soumettre, problème sur
lequel je suis somme toute assez perplexe.
Voici la conslusion à laquelle nous sommes arrivés :
- un utilisateur a surfé le site de cul [1] qui l'a redirigé vers [2],
et s'est fait levé par le filtrage d'URL
- l'admin chargé de l'affinage de la conf du filtrage d'URL a regardé
ses logs et est allé vérifier si le site en question devait bel et
bien être interdit
- il a téléchargé/exécuté un exe [3] qui créé effectivement une
connexion à distance (mais bon, avec un numéro à 9 chiffres, on ne
craint pas grand chose en France)
- la connexion à distance a été découverte, déclenchant cette "enquête"
Si j'attrappe cet admin ...
Nicob
NB : Si vous êtes mineurs, n'allez pas plus loin !
[1] : http://fisting.nextoneserver.com
[2] : http://pay.3000.it/adult/anal/
[3] : http://www.accessoveloce.com/nxo/x/nxosex82x.exe
j'ai un problème assez particulier à vous soumettre, problème sur lequel je suis somme toute assez perplexe.
Voici la conslusion à laquelle nous sommes arrivés :
- un utilisateur a surfé le site de cul [1] qui l'a redirigé vers [2], et s'est fait levé par le filtrage d'URL - l'admin chargé de l'affinage de la conf du filtrage d'URL a regardé ses logs et est allé vérifier si le site en question devait bel et bien être interdit - il a téléchargé/exécuté un exe [3] qui créé effectivement une connexion à distance (mais bon, avec un numéro à 9 chiffres, on ne craint pas grand chose en France) - la connexion à distance a été découverte, déclenchant cette "enquête"
Si j'attrappe cet admin ...
Nicob NB : Si vous êtes mineurs, n'allez pas plus loin ! [1] : http://fisting.nextoneserver.com [2] : http://pay.3000.it/adult/anal/ [3] : http://www.accessoveloce.com/nxo/x/nxosex82x.exe
Roland Garcia
On Fri, 31 Oct 2003 17:39:19 +0000, Nicob wrote:
Salut,
j'ai un problème assez particulier à vous soumettre, problème sur lequel je suis somme toute assez perplexe.
Voici la conslusion à laquelle nous sommes arrivés :
- un utilisateur a surfé le site de cul [1] qui l'a redirigé vers [2], et s'est fait levé par le filtrage d'URL - l'admin chargé de l'affinage de la conf du filtrage d'URL a regardé ses logs et est allé vérifier si le site en question devait bel et bien être interdit - il a téléchargé/exécuté un exe [3] qui créé effectivement une connexion à distance (mais bon, avec un numéro à 9 chiffres, on ne craint pas grand chose en France)
exe qui est d'ailleurs détectable en tant que pornware:
- la connexion à distance a été découverte, déclenchant cette "enquête"
Si j'attrappe cet admin ...
Nicob NB : Si vous êtes mineurs, n'allez pas plus loin ! [1] : http://fisting.nextoneserver.com [2] : http://pay.3000.it/adult/anal/ [3] : http://www.accessoveloce.com/nxo/x/nxosex82x.exe
Roland Garcia
On Fri, 31 Oct 2003 17:39:19 +0000, Nicob wrote:
Salut,
j'ai un problème assez particulier à vous soumettre, problème sur
lequel je suis somme toute assez perplexe.
Voici la conslusion à laquelle nous sommes arrivés :
- un utilisateur a surfé le site de cul [1] qui l'a redirigé vers [2],
et s'est fait levé par le filtrage d'URL
- l'admin chargé de l'affinage de la conf du filtrage d'URL a regardé
ses logs et est allé vérifier si le site en question devait bel et
bien être interdit
- il a téléchargé/exécuté un exe [3] qui créé effectivement une
connexion à distance (mais bon, avec un numéro à 9 chiffres, on ne
craint pas grand chose en France)
exe qui est d'ailleurs détectable en tant que pornware:
j'ai un problème assez particulier à vous soumettre, problème sur lequel je suis somme toute assez perplexe.
Voici la conslusion à laquelle nous sommes arrivés :
- un utilisateur a surfé le site de cul [1] qui l'a redirigé vers [2], et s'est fait levé par le filtrage d'URL - l'admin chargé de l'affinage de la conf du filtrage d'URL a regardé ses logs et est allé vérifier si le site en question devait bel et bien être interdit - il a téléchargé/exécuté un exe [3] qui créé effectivement une connexion à distance (mais bon, avec un numéro à 9 chiffres, on ne craint pas grand chose en France)
exe qui est d'ailleurs détectable en tant que pornware:
