Bonjour a tous,
A ma grande surprise en faisant un nmap sur mes serveur W2000 j'ai les
port 6667 et 6668 qui sont ouvert et ce uniquement sur les deux contrôleur
de domaine.
J'ai l'impression qu'il s'agit d'un troyen mais je ne trouve aucune doc!!
De plus j'ai la suite complete 'Trend Micro' et il n'a rien detecté!!
Quelqu'un peut il m'aider?
Merci par avance
Bien cordialement!
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
JacK
sur les news:, joke0 signalait:
Salut,
HENNINOT FRÉDÉRIC:
A ma grande surprise en faisant un nmap sur mes serveur W2000 j'ai les port 6667 et 6668 qui sont ouvert et ce uniquement sur les deux contrôleur de domaine.
Tu n'as pas accés aux serveurs? Sinon le plus simple c'est encore d'aller voir quel processus écoute sur ces ports.
Quelqu'un peut il m'aider?
Tu devrais trouver plus d'aide sur news:fr.comp.securite (forum modéré) revient nous voir si tout cela est du à une bestiole.
Hello,
Très mauvais signe ;(
Copie d'un post que je viens de faire sur différents groupes à ce sujet :
La faille RPC/TFTP corrigée par MS03-026 a donné des idées aux SK : Backdoor.IRC.Cirebot (Alias Worm.Win32.Autorooter.a) sorti il y a qq jours déjà (et dans les DB des AV) et d'autres suivront très probablement.
Mesure de protection complémentaire pour prévenir les fuites en cas d'infection :
Dans votre FW à règles rajouter ces règles : Bloquer TCP/UDP local 135 IN Bloquer TCP/UDP local 69 IN/OUT (tftp) Bloquer TCP/UDP local 6667 OUT (irc)
Remarque : le port irc peut facilement être changé pour utiliser en un autre sur le serveur trojan....
De nombreuses machines sont déjà infectées et en veilleuse, probablement en vue d'une attaque massive. -- http://www.optimix.be.tf MVP WindowsXP http://websec.arcady.fr/ Helping you void your warranty since 2000 ---**ANTISPAM**--- Click on the link to answer - Cliquez sur le lien pour répondre http://www.cerbermail.com/?69YaMlVdJS @(0)@ JacK
sur les news:XnF93D17D32C34E84164N@joke0.net,
joke0 <404pagenotfound@caramail.com> signalait:
Salut,
HENNINOT FRÉDÉRIC:
A ma grande surprise en faisant un nmap sur mes serveur W2000 j'ai
les port 6667 et 6668 qui sont ouvert et ce uniquement sur les
deux contrôleur de domaine.
Tu n'as pas accés aux serveurs? Sinon le plus simple c'est encore
d'aller voir quel processus écoute sur ces ports.
Quelqu'un peut il m'aider?
Tu devrais trouver plus d'aide sur news:fr.comp.securite (forum
modéré) revient nous voir si tout cela est du à une bestiole.
Hello,
Très mauvais signe ;(
Copie d'un post que je viens de faire sur différents groupes à ce sujet :
La faille RPC/TFTP corrigée par MS03-026 a donné des idées aux SK :
Backdoor.IRC.Cirebot (Alias Worm.Win32.Autorooter.a) sorti il y a qq jours
déjà (et dans les DB des AV) et d'autres suivront très probablement.
Mesure de protection complémentaire pour prévenir les fuites en cas
d'infection :
Dans votre FW à règles rajouter ces règles :
Bloquer TCP/UDP local 135 IN
Bloquer TCP/UDP local 69 IN/OUT
(tftp)
Bloquer TCP/UDP local 6667 OUT (irc)
Remarque : le port irc peut facilement être changé pour utiliser en un
autre sur le serveur trojan....
De nombreuses machines sont déjà infectées et en veilleuse, probablement en
vue d'une attaque massive.
--
http://www.optimix.be.tf MVP WindowsXP http://websec.arcady.fr/
Helping you void your warranty since 2000
---**ANTISPAM**---
Click on the link to answer - Cliquez sur le lien pour répondre
http://www.cerbermail.com/?69YaMlVdJS
@(0)@ JacK
A ma grande surprise en faisant un nmap sur mes serveur W2000 j'ai les port 6667 et 6668 qui sont ouvert et ce uniquement sur les deux contrôleur de domaine.
Tu n'as pas accés aux serveurs? Sinon le plus simple c'est encore d'aller voir quel processus écoute sur ces ports.
Quelqu'un peut il m'aider?
Tu devrais trouver plus d'aide sur news:fr.comp.securite (forum modéré) revient nous voir si tout cela est du à une bestiole.
Hello,
Très mauvais signe ;(
Copie d'un post que je viens de faire sur différents groupes à ce sujet :
La faille RPC/TFTP corrigée par MS03-026 a donné des idées aux SK : Backdoor.IRC.Cirebot (Alias Worm.Win32.Autorooter.a) sorti il y a qq jours déjà (et dans les DB des AV) et d'autres suivront très probablement.
Mesure de protection complémentaire pour prévenir les fuites en cas d'infection :
Dans votre FW à règles rajouter ces règles : Bloquer TCP/UDP local 135 IN Bloquer TCP/UDP local 69 IN/OUT (tftp) Bloquer TCP/UDP local 6667 OUT (irc)
Remarque : le port irc peut facilement être changé pour utiliser en un autre sur le serveur trojan....
De nombreuses machines sont déjà infectées et en veilleuse, probablement en vue d'une attaque massive. -- http://www.optimix.be.tf MVP WindowsXP http://websec.arcady.fr/ Helping you void your warranty since 2000 ---**ANTISPAM**--- Click on the link to answer - Cliquez sur le lien pour répondre http://www.cerbermail.com/?69YaMlVdJS @(0)@ JacK
LaDDL
HENNINOT FRÉDÉRIC wrote:
Bonjour a tous, A ma grande surprise en faisant un nmap sur mes serveur W2000 j'ai les port 6667 et 6668 qui sont ouvert et ce uniquement sur les deux contrôleur de domaine. J'ai l'impression qu'il s'agit d'un troyen mais je ne trouve aucune doc!! De plus j'ai la suite complete 'Trend Micro' et il n'a rien detecté!! Quelqu'un peut il m'aider? Merci par avance Bien cordialement!
Bonjour,
Voici ma réponse que j'ai posté sur fr.comp.securite.
En général les ports 6665 à 6669 sont utilisés par IRC.
Sur le tcp port 6667 on trouve quand même : 6667 tcp DarkFTP [trojan] Dark FTP 6667 tcp EGO [trojan] EGO 6667 tcp irc Internet Relay Chat 6667 tcp ircu IRCU 6667 tcp kaitex Kaitex Trojan 6667 tcp Maniacrootkit [trojan] Maniac rootkit 6667 tcp Moses [trojan] Moses 6667 tcp ScheduleAgent [trojan] ScheduleAgent 6667 tcp ScheduleAgent [trojan] ScheduleAgent 6667 tcp Subseven2.1.4DefCon8 [trojan] Subseven 2.1.4 DefCon 8 6667 tcp SubSeven [trojan] SubSeven 6667 tcp TheThing [trojan] The Thing (modified) 6667 tcp Trinity [trojan] Trinity 6667 tcp WinSatan [trojan] WinSatan
Et sur le tcp port 6668 on trouve : 6668 tcp irc Internet Relay Chat 6668 tcp ircu IRCU
Donc vérifies les processus ouverts tu peux utiliser au choix : TCPview ; Active Ports ; Netstat Viewer ; Foundstone: fport ; G-Lock AATools.
Après ça utilises ton AV en faisant un scan.
HENNINOT FRÉDÉRIC wrote:
Bonjour a tous,
A ma grande surprise en faisant un nmap sur mes serveur W2000 j'ai les
port 6667 et 6668 qui sont ouvert et ce uniquement sur les deux contrôleur
de domaine.
J'ai l'impression qu'il s'agit d'un troyen mais je ne trouve aucune doc!!
De plus j'ai la suite complete 'Trend Micro' et il n'a rien detecté!!
Quelqu'un peut il m'aider?
Merci par avance
Bien cordialement!
Bonjour,
Voici ma réponse que j'ai posté sur fr.comp.securite.
En général les ports 6665 à 6669 sont utilisés par IRC.
Sur le tcp port 6667 on trouve quand même :
6667 tcp DarkFTP [trojan] Dark FTP
6667 tcp EGO [trojan] EGO
6667 tcp irc Internet Relay Chat
6667 tcp ircu IRCU
6667 tcp kaitex Kaitex Trojan
6667 tcp Maniacrootkit [trojan] Maniac rootkit
6667 tcp Moses [trojan] Moses
6667 tcp ScheduleAgent [trojan] ScheduleAgent
6667 tcp ScheduleAgent [trojan] ScheduleAgent
6667 tcp Subseven2.1.4DefCon8 [trojan] Subseven 2.1.4 DefCon 8
6667 tcp SubSeven [trojan] SubSeven
6667 tcp TheThing [trojan] The Thing (modified)
6667 tcp Trinity [trojan] Trinity
6667 tcp WinSatan [trojan] WinSatan
Et sur le tcp port 6668 on trouve :
6668 tcp irc Internet Relay Chat
6668 tcp ircu IRCU
Donc vérifies les processus ouverts tu peux utiliser au choix :
TCPview ; Active Ports ; Netstat Viewer ; Foundstone: fport ; G-Lock
AATools.
Bonjour a tous, A ma grande surprise en faisant un nmap sur mes serveur W2000 j'ai les port 6667 et 6668 qui sont ouvert et ce uniquement sur les deux contrôleur de domaine. J'ai l'impression qu'il s'agit d'un troyen mais je ne trouve aucune doc!! De plus j'ai la suite complete 'Trend Micro' et il n'a rien detecté!! Quelqu'un peut il m'aider? Merci par avance Bien cordialement!
Bonjour,
Voici ma réponse que j'ai posté sur fr.comp.securite.
En général les ports 6665 à 6669 sont utilisés par IRC.
Sur le tcp port 6667 on trouve quand même : 6667 tcp DarkFTP [trojan] Dark FTP 6667 tcp EGO [trojan] EGO 6667 tcp irc Internet Relay Chat 6667 tcp ircu IRCU 6667 tcp kaitex Kaitex Trojan 6667 tcp Maniacrootkit [trojan] Maniac rootkit 6667 tcp Moses [trojan] Moses 6667 tcp ScheduleAgent [trojan] ScheduleAgent 6667 tcp ScheduleAgent [trojan] ScheduleAgent 6667 tcp Subseven2.1.4DefCon8 [trojan] Subseven 2.1.4 DefCon 8 6667 tcp SubSeven [trojan] SubSeven 6667 tcp TheThing [trojan] The Thing (modified) 6667 tcp Trinity [trojan] Trinity 6667 tcp WinSatan [trojan] WinSatan
Et sur le tcp port 6668 on trouve : 6668 tcp irc Internet Relay Chat 6668 tcp ircu IRCU
Donc vérifies les processus ouverts tu peux utiliser au choix : TCPview ; Active Ports ; Netstat Viewer ; Foundstone: fport ; G-Lock AATools.
