A la première ligne des filtres de configuration de mon Kerio,
je trouve une entrée inconnue nommée "interne" (en français
apparemment!) qui a pour effet de laisser passer toutes les
demandes sortantes en TCP et UDP pour toutes les applications.
Voilà qui doit bien faire l'affaire d'un troyen.
Est-ce que ça vous parle?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Useur lambda
Ainsi parla Jean-Francois Ortolo :
Bonjour Monsieur
Ben, le problème, c'est que dans uen connexion initiée par le client, le port du client est imprévisible, et supérieur à 1024. On connait l'adresse IP, mais pas le port. Impossible donc de faire une règle valide d'après le poste client.
Si on devait faire une règle sortante d'après les coordonnées du serveur, ce serait galère - l'adresse IP n'en parlons pas - pour les ports, car celà reviendrait à s'interdire d'utiliser certaines applications situées sur les serveurs à distance.
Effectivement on pourrait, mais ce seraient des règles d'interdiction ciblées, avec ce que celà sous-entend de multiplication des règles suivant les applications, et la nécessité d'être informé d'abord, des application serveur posant problème.
Si vous prévoyer de traiter les troyens d'un certain type avec un certain comportement, il est probable, que vous vous interdisiez aussi, d'accéder à ce même port serveur, avec une application correcte celle-là, de votre ordinateur.
La seule différence étant le nom de votre application sur votre ordi comportant ou non le troyen, celà voudrait dire que vous savez au départ les noms des applications sur votre ordinateur, qui sont infectées...
... ;)
Bien à vous.
Amicalement.
Jean-Francois Ortolo
Euh, sans doute, bien que je n'ai pas tout saisi.
Peut-être la question manquait-elle de clarté :
Dans mon pare-feu est soudain apparue une règle énigmatiquement nommée "interne" qui a tout bonnement pour effet de le désactiver complètement en sortie, pour toutes les applications, toutes les adresses IP et tous les ports.
Serait-ce l'oeuvre de quelque "malware", auriez-vous un nom ? (quelque chose l'a bien créée cette règle, et c'est pas moi, je le jure!)
Ainsi parla Jean-Francois Ortolo :
Bonjour Monsieur
Ben, le problème, c'est que dans uen connexion initiée par le client,
le port du client est imprévisible, et supérieur à 1024. On connait
l'adresse IP, mais pas le port. Impossible donc de faire une règle
valide d'après le poste client.
Si on devait faire une règle sortante d'après les coordonnées du
serveur, ce serait galère - l'adresse IP n'en parlons pas - pour les
ports, car celà reviendrait à s'interdire d'utiliser certaines
applications situées sur les serveurs à distance.
Effectivement on pourrait, mais ce seraient des règles d'interdiction
ciblées, avec ce que celà sous-entend de multiplication des règles
suivant les applications, et la nécessité d'être informé d'abord, des
application serveur posant problème.
Si vous prévoyer de traiter les troyens d'un certain type avec un
certain comportement, il est probable, que vous vous interdisiez aussi,
d'accéder à ce même port serveur, avec une application correcte
celle-là, de votre ordinateur.
La seule différence étant le nom de votre application sur votre ordi
comportant ou non le troyen, celà voudrait dire que vous savez au départ
les noms des applications sur votre ordinateur, qui sont infectées...
... ;)
Bien à vous.
Amicalement.
Jean-Francois Ortolo
Euh, sans doute, bien que je n'ai pas tout saisi.
Peut-être la question manquait-elle de clarté :
Dans mon pare-feu est soudain apparue une règle énigmatiquement
nommée "interne" qui a tout bonnement pour effet de le désactiver
complètement en sortie, pour toutes les applications, toutes les
adresses IP et tous les ports.
Serait-ce l'oeuvre de quelque "malware", auriez-vous un nom ?
(quelque chose l'a bien créée cette règle, et c'est pas moi,
je le jure!)
Ben, le problème, c'est que dans uen connexion initiée par le client, le port du client est imprévisible, et supérieur à 1024. On connait l'adresse IP, mais pas le port. Impossible donc de faire une règle valide d'après le poste client.
Si on devait faire une règle sortante d'après les coordonnées du serveur, ce serait galère - l'adresse IP n'en parlons pas - pour les ports, car celà reviendrait à s'interdire d'utiliser certaines applications situées sur les serveurs à distance.
Effectivement on pourrait, mais ce seraient des règles d'interdiction ciblées, avec ce que celà sous-entend de multiplication des règles suivant les applications, et la nécessité d'être informé d'abord, des application serveur posant problème.
Si vous prévoyer de traiter les troyens d'un certain type avec un certain comportement, il est probable, que vous vous interdisiez aussi, d'accéder à ce même port serveur, avec une application correcte celle-là, de votre ordinateur.
La seule différence étant le nom de votre application sur votre ordi comportant ou non le troyen, celà voudrait dire que vous savez au départ les noms des applications sur votre ordinateur, qui sont infectées...
... ;)
Bien à vous.
Amicalement.
Jean-Francois Ortolo
Euh, sans doute, bien que je n'ai pas tout saisi.
Peut-être la question manquait-elle de clarté :
Dans mon pare-feu est soudain apparue une règle énigmatiquement nommée "interne" qui a tout bonnement pour effet de le désactiver complètement en sortie, pour toutes les applications, toutes les adresses IP et tous les ports.
Serait-ce l'oeuvre de quelque "malware", auriez-vous un nom ? (quelque chose l'a bien créée cette règle, et c'est pas moi, je le jure!)
Jean-Francois Ortolo
Salut,
A la première ligne des filtres de configuration de mon Kerio, je trouve une entrée inconnue nommée "interne" (en français apparemment!) qui a pour effet de laisser passer toutes les demandes sortantes en TCP et UDP pour toutes les applications.
Voilà qui doit bien faire l'affaire d'un troyen. Est-ce que ça vous parle?
Bonjour Monsieur
Ben, le problème, c'est que dans uen connexion initiée par le client, le port du client est imprévisible, et supérieur à 1024. On connait l'adresse IP, mais pas le port. Impossible donc de faire une règle valide d'après le poste client.
Si on devait faire une règle sortante d'après les coordonnées du serveur, ce serait galère - l'adresse IP n'en parlons pas - pour les ports, car celà reviendrait à s'interdire d'utiliser certaines applications situées sur les serveurs à distance.
Effectivement on pourrait, mais ce seraient des règles d'interdiction ciblées, avec ce que celà sous-entend de multiplication des règles suivant les applications, et la nécessité d'être informé d'abord, des application serveur posant problème.
Si vous prévoyer de traiter les troyens d'un certain type avec un certain comportement, il est probable, que vous vous interdisiez aussi, d'accéder à ce même port serveur, avec une application correcte celle-là, de votre ordinateur.
La seule différence étant le nom de votre application sur votre ordi comportant ou non le troyen, celà voudrait dire que vous savez au départ les noms des applications sur votre ordinateur, qui sont infectées...
... ;)
Bien à vous.
Amicalement.
Jean-Francois Ortolo
Salut,
A la première ligne des filtres de configuration de mon Kerio,
je trouve une entrée inconnue nommée "interne" (en français
apparemment!) qui a pour effet de laisser passer toutes les
demandes sortantes en TCP et UDP pour toutes les applications.
Voilà qui doit bien faire l'affaire d'un troyen.
Est-ce que ça vous parle?
Bonjour Monsieur
Ben, le problème, c'est que dans uen connexion initiée par le client,
le port du client est imprévisible, et supérieur à 1024. On connait
l'adresse IP, mais pas le port. Impossible donc de faire une règle
valide d'après le poste client.
Si on devait faire une règle sortante d'après les coordonnées du
serveur, ce serait galère - l'adresse IP n'en parlons pas - pour les
ports, car celà reviendrait à s'interdire d'utiliser certaines
applications situées sur les serveurs à distance.
Effectivement on pourrait, mais ce seraient des règles d'interdiction
ciblées, avec ce que celà sous-entend de multiplication des règles
suivant les applications, et la nécessité d'être informé d'abord, des
application serveur posant problème.
Si vous prévoyer de traiter les troyens d'un certain type avec un
certain comportement, il est probable, que vous vous interdisiez aussi,
d'accéder à ce même port serveur, avec une application correcte
celle-là, de votre ordinateur.
La seule différence étant le nom de votre application sur votre ordi
comportant ou non le troyen, celà voudrait dire que vous savez au départ
les noms des applications sur votre ordinateur, qui sont infectées...
A la première ligne des filtres de configuration de mon Kerio, je trouve une entrée inconnue nommée "interne" (en français apparemment!) qui a pour effet de laisser passer toutes les demandes sortantes en TCP et UDP pour toutes les applications.
Voilà qui doit bien faire l'affaire d'un troyen. Est-ce que ça vous parle?
Bonjour Monsieur
Ben, le problème, c'est que dans uen connexion initiée par le client, le port du client est imprévisible, et supérieur à 1024. On connait l'adresse IP, mais pas le port. Impossible donc de faire une règle valide d'après le poste client.
Si on devait faire une règle sortante d'après les coordonnées du serveur, ce serait galère - l'adresse IP n'en parlons pas - pour les ports, car celà reviendrait à s'interdire d'utiliser certaines applications situées sur les serveurs à distance.
Effectivement on pourrait, mais ce seraient des règles d'interdiction ciblées, avec ce que celà sous-entend de multiplication des règles suivant les applications, et la nécessité d'être informé d'abord, des application serveur posant problème.
Si vous prévoyer de traiter les troyens d'un certain type avec un certain comportement, il est probable, que vous vous interdisiez aussi, d'accéder à ce même port serveur, avec une application correcte celle-là, de votre ordinateur.
La seule différence étant le nom de votre application sur votre ordi comportant ou non le troyen, celà voudrait dire que vous savez au départ les noms des applications sur votre ordinateur, qui sont infectées...
... ;)
Bien à vous.
Amicalement.
Jean-Francois Ortolo
DePassage
Useur lambda wrote:
Euh, sans doute, bien que je n'ai pas tout saisi.
Peut-être la question manquait-elle de clarté :
Sa réponse ne l'est pas moins :-)
Dans mon pare-feu est soudain apparue une règle énigmatiquement nommée "interne" qui a tout bonnement pour effet de le désactiver complètement en sortie, pour toutes les applications, toutes les adresses IP et tous les ports.
Serait-ce l'oeuvre de quelque "malware", auriez-vous un nom ? (quelque chose l'a bien créée cette règle, et c'est pas moi, je le jure!)
Et si dans un premier temps tu virais cette règle ?
En théorie, ton firewall, si tu procèdes par liste blanche, devrait te poser la question de savoir si il doit laisser sortir cette application "interne"
Il faudrait y adjoindre quelques outils qui seraient plus parlant que Kerio qui dit "Application interne" :
Sans lancer la grosse artillerie, peut ete qu'un simple "Tcpview" suffit...
sans oublier les Process monitor http://www.clubic.com/telecharger-fiche27722-process-monitor.html
ou Starter (peut etre plus facile à lire et comprendre pour qui est noyé sous les listes pas toujours facile à décoder pour non-averti) http://www.clubic.com/telecharger-fiche12492-starter.html
Useur lambda wrote:
Euh, sans doute, bien que je n'ai pas tout saisi.
Peut-être la question manquait-elle de clarté :
Sa réponse ne l'est pas moins :-)
Dans mon pare-feu est soudain apparue une règle énigmatiquement
nommée "interne" qui a tout bonnement pour effet de le désactiver
complètement en sortie, pour toutes les applications, toutes les
adresses IP et tous les ports.
Serait-ce l'oeuvre de quelque "malware", auriez-vous un nom ?
(quelque chose l'a bien créée cette règle, et c'est pas moi,
je le jure!)
Et si dans un premier temps tu virais cette règle ?
En théorie, ton firewall, si tu procèdes par liste blanche, devrait te
poser la question de savoir si il doit laisser sortir cette application
"interne"
Il faudrait y adjoindre quelques outils qui seraient plus parlant que
Kerio qui dit "Application interne" :
Sans lancer la grosse artillerie, peut ete qu'un simple "Tcpview" suffit...
sans oublier les Process monitor
http://www.clubic.com/telecharger-fiche27722-process-monitor.html
ou Starter (peut etre plus facile à lire et comprendre pour qui est noyé
sous les listes pas toujours facile à décoder pour non-averti)
http://www.clubic.com/telecharger-fiche12492-starter.html
Dans mon pare-feu est soudain apparue une règle énigmatiquement nommée "interne" qui a tout bonnement pour effet de le désactiver complètement en sortie, pour toutes les applications, toutes les adresses IP et tous les ports.
Serait-ce l'oeuvre de quelque "malware", auriez-vous un nom ? (quelque chose l'a bien créée cette règle, et c'est pas moi, je le jure!)
Et si dans un premier temps tu virais cette règle ?
En théorie, ton firewall, si tu procèdes par liste blanche, devrait te poser la question de savoir si il doit laisser sortir cette application "interne"
Il faudrait y adjoindre quelques outils qui seraient plus parlant que Kerio qui dit "Application interne" :
Sans lancer la grosse artillerie, peut ete qu'un simple "Tcpview" suffit...
sans oublier les Process monitor http://www.clubic.com/telecharger-fiche27722-process-monitor.html
ou Starter (peut etre plus facile à lire et comprendre pour qui est noyé sous les listes pas toujours facile à décoder pour non-averti) http://www.clubic.com/telecharger-fiche12492-starter.html
Useur lambda
Ainsi parla DePassage :
Et si dans un premier temps tu virais cette règle ?
Sûr que j'ai pas attendu pour le faire :-)
En théorie, ton firewall, si tu procèdes par liste blanche, devrait te poser la question de savoir si il doit laisser sortir cette application "interne"
Certes, certes... mais le vilain cafard pourrait bien recréer la règle à l'insu de mon plein gré juste avant de se livrer à ses sournoises besognes et passer ainsi toujours inaperçu, n'est-il pas?
Il faudrait y adjoindre quelques outils qui seraient plus parlant que Kerio qui dit "Application interne" :
Sans lancer la grosse artillerie, peut ete qu'un simple "Tcpview" suffit...
sans oublier les Process monitor http://www.clubic.com/telecharger-fiche27722-process-monitor.html
ou Starter (peut etre plus facile à lire et comprendre pour qui est noyé sous les listes pas toujours facile à décoder pour non-averti) http://www.clubic.com/telecharger-fiche12492-starter.html
Bien, merci, je vais essayer tout ça et je reviendrai en rendre compte si les recherches sont "fructueuses".
Ainsi parla DePassage :
Et si dans un premier temps tu virais cette règle ?
Sûr que j'ai pas attendu pour le faire :-)
En théorie, ton firewall, si tu procèdes par liste blanche, devrait te
poser la question de savoir si il doit laisser sortir cette application
"interne"
Certes, certes... mais le vilain cafard pourrait bien recréer la
règle à l'insu de mon plein gré juste avant de se livrer à ses
sournoises besognes et passer ainsi toujours inaperçu, n'est-il pas?
Il faudrait y adjoindre quelques outils qui seraient plus parlant que
Kerio qui dit "Application interne" :
Sans lancer la grosse artillerie, peut ete qu'un simple "Tcpview" suffit...
sans oublier les Process monitor
http://www.clubic.com/telecharger-fiche27722-process-monitor.html
ou Starter (peut etre plus facile à lire et comprendre pour qui est noyé
sous les listes pas toujours facile à décoder pour non-averti)
http://www.clubic.com/telecharger-fiche12492-starter.html
Bien, merci, je vais essayer tout ça et je reviendrai en rendre
compte si les recherches sont "fructueuses".
Et si dans un premier temps tu virais cette règle ?
Sûr que j'ai pas attendu pour le faire :-)
En théorie, ton firewall, si tu procèdes par liste blanche, devrait te poser la question de savoir si il doit laisser sortir cette application "interne"
Certes, certes... mais le vilain cafard pourrait bien recréer la règle à l'insu de mon plein gré juste avant de se livrer à ses sournoises besognes et passer ainsi toujours inaperçu, n'est-il pas?
Il faudrait y adjoindre quelques outils qui seraient plus parlant que Kerio qui dit "Application interne" :
Sans lancer la grosse artillerie, peut ete qu'un simple "Tcpview" suffit...
sans oublier les Process monitor http://www.clubic.com/telecharger-fiche27722-process-monitor.html
ou Starter (peut etre plus facile à lire et comprendre pour qui est noyé sous les listes pas toujours facile à décoder pour non-averti) http://www.clubic.com/telecharger-fiche12492-starter.html
Bien, merci, je vais essayer tout ça et je reviendrai en rendre compte si les recherches sont "fructueuses".
DePassage
Useur lambda wrote:
Ainsi parla DePassage :
Et si dans un premier temps tu virais cette règle ?
Sûr que j'ai pas attendu pour le faire :-)
Ben comme tu ne le précisais pas... :-)
En théorie, ton firewall, si tu procèdes par liste blanche, devrait te poser la question de savoir si il doit laisser sortir cette application "interne"
Certes, certes... mais le vilain cafard pourrait bien recréer la règle à l'insu de mon plein gré juste avant de se livrer à ses sournoises besognes et passer ainsi toujours inaperçu, n'est-il pas?
Oui mais (je connais mal Kerio), en procédant par liste blanche, un bon firewall t'indiquera de suite si tel programme ou application essaie de communiquer sournoisement
Néanmoins meme en couplant avec des programmes d'analyse, tout cela a ses limites. Preuve en est qu'il est difficile de savoir ce qui transite réellement
http://cryptome.org/nsa-ssl-email.htm
"Zone Alarm, Symantec, MacAfee: All facilitate Microsoft's NSA-controlled remote admin access via IP/TCP ports 1024 through 1030; ie will allow access without security flag. Unknown whether or not software port forward routing by these same programs will defeat NSA access."
Pourtant pour ZA, ce n'est pas la première fois que cela est évoqué (y a 2 ans) Mais bon on pourrait aussi parler de MSN et autres qui continuent de "baver" meme après désinstallation :-)
Sans lancer la grosse artillerie, peut ete qu'un simple "Tcpview" suffit... Bien, merci, je vais essayer tout ça et je reviendrai en rendre
compte si les recherches sont "fructueuses".
Sans aller jusqu'à un Ethereal tu peux tester aussi (propre car simple .exe) :
site d'origine :
http://www.nirsoft.net/utils/cports.html
Avec son compagnon http://www.nirsoft.net/utils/ipnetinfo.html
Descriptif à : http://www.clubic.com/telecharger-fiche31635-currports.html
Useur lambda wrote:
Ainsi parla DePassage :
Et si dans un premier temps tu virais cette règle ?
Sûr que j'ai pas attendu pour le faire :-)
Ben comme tu ne le précisais pas... :-)
En théorie, ton firewall, si tu procèdes par liste blanche, devrait te
poser la question de savoir si il doit laisser sortir cette application
"interne"
Certes, certes... mais le vilain cafard pourrait bien recréer la
règle à l'insu de mon plein gré juste avant de se livrer à ses
sournoises besognes et passer ainsi toujours inaperçu, n'est-il pas?
Oui mais (je connais mal Kerio), en procédant par liste blanche, un bon
firewall t'indiquera de suite si tel programme ou application essaie de
communiquer sournoisement
Néanmoins meme en couplant avec des programmes d'analyse, tout cela a
ses limites.
Preuve en est qu'il est difficile de savoir ce qui transite réellement
http://cryptome.org/nsa-ssl-email.htm
"Zone Alarm, Symantec, MacAfee: All facilitate Microsoft's
NSA-controlled remote admin access via IP/TCP ports 1024 through 1030;
ie will allow access without security flag. Unknown whether or not
software port forward routing by these same programs will defeat NSA
access."
Pourtant pour ZA, ce n'est pas la première fois que cela est évoqué (y a
2 ans)
Mais bon on pourrait aussi parler de MSN et autres qui continuent de
"baver" meme après désinstallation :-)
Sans lancer la grosse artillerie, peut ete qu'un simple "Tcpview" suffit...
Bien, merci, je vais essayer tout ça et je reviendrai en rendre
compte si les recherches sont "fructueuses".
Sans aller jusqu'à un Ethereal tu peux tester aussi (propre car simple
.exe) :
site d'origine :
http://www.nirsoft.net/utils/cports.html
Avec son compagnon
http://www.nirsoft.net/utils/ipnetinfo.html
Descriptif à :
http://www.clubic.com/telecharger-fiche31635-currports.html
Et si dans un premier temps tu virais cette règle ?
Sûr que j'ai pas attendu pour le faire :-)
Ben comme tu ne le précisais pas... :-)
En théorie, ton firewall, si tu procèdes par liste blanche, devrait te poser la question de savoir si il doit laisser sortir cette application "interne"
Certes, certes... mais le vilain cafard pourrait bien recréer la règle à l'insu de mon plein gré juste avant de se livrer à ses sournoises besognes et passer ainsi toujours inaperçu, n'est-il pas?
Oui mais (je connais mal Kerio), en procédant par liste blanche, un bon firewall t'indiquera de suite si tel programme ou application essaie de communiquer sournoisement
Néanmoins meme en couplant avec des programmes d'analyse, tout cela a ses limites. Preuve en est qu'il est difficile de savoir ce qui transite réellement
http://cryptome.org/nsa-ssl-email.htm
"Zone Alarm, Symantec, MacAfee: All facilitate Microsoft's NSA-controlled remote admin access via IP/TCP ports 1024 through 1030; ie will allow access without security flag. Unknown whether or not software port forward routing by these same programs will defeat NSA access."
Pourtant pour ZA, ce n'est pas la première fois que cela est évoqué (y a 2 ans) Mais bon on pourrait aussi parler de MSN et autres qui continuent de "baver" meme après désinstallation :-)
Sans lancer la grosse artillerie, peut ete qu'un simple "Tcpview" suffit... Bien, merci, je vais essayer tout ça et je reviendrai en rendre
compte si les recherches sont "fructueuses".
Sans aller jusqu'à un Ethereal tu peux tester aussi (propre car simple .exe) :
site d'origine :
http://www.nirsoft.net/utils/cports.html
Avec son compagnon http://www.nirsoft.net/utils/ipnetinfo.html
Descriptif à : http://www.clubic.com/telecharger-fiche31635-currports.html