Sous XP à jour et derrière un firewall (Kerio 2.1.5), je n'avais à priori
aucun risque avec Sasser, et c'est bien ce qui s'est passé :o)
Mais y'a quand même quelques questions qui me turlupinent :
1/ "[Secuser.com] Sasser l'infecte via le port TCP 445 en utilisant la
faille LSASS de Windows" : chez moi, la règle bloquant le port 445 est
valide pour l'application dénommée "SYSTEM", c'est apparemment suffisant
d'après mes logs, mais ne devrais-je pas plutôt bloquer TCP 445 pour TOUS
les programmes ?
2/ LSASS a chez moi deux règles autorisant la sortie, en TCP et/ou UDP,
est-ce correct ? A quoi sert exactement ce lsass.exe ?
3/ ""[Secuser.com] Le virus provoque le téléchargement d'un fichier
AVSERVE.EXE dans le répertoire Windows via FTP et le port TCP 5554, puis son
exécution à distance sans aucune intervention de l'utilisateur" : s'agit-il
là d'une 2ème phase de l'infection ? Le firewall doit-il aussi bloquer le
port 5554 (c'est le cas chez moi, mais je pose la question pour essayer de
bien comprendre le truc).
Merci pour vos lumières
--
Speedy Z (pour m'écrire, c'est sans les spasmes)
http://membres.lycos.fr/speedyz/
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Faelan
"Speedy Z" a écrit dans le message de news:c74ntc$bm8$
Bonjour
Sous XP à jour et derrière un firewall (Kerio 2.1.5), je n'avais à priori aucun risque avec Sasser, et c'est bien ce qui s'est passé :o) Mais y'a quand même quelques questions qui me turlupinent : 1/ "[Secuser.com] Sasser l'infecte via le port TCP 445 en utilisant la faille LSASS de Windows" : chez moi, la règle bloquant le port 445 est valide pour l'application dénommée "SYSTEM", c'est apparemment suffisant d'après mes logs, mais ne devrais-je pas plutôt bloquer TCP 445 pour TOUS les programmes ? 2/ LSASS a chez moi deux règles autorisant la sortie, en TCP et/ou UDP, est-ce correct ? A quoi sert exactement ce lsass.exe ? 3/ ""[Secuser.com] Le virus provoque le téléchargement d'un fichier AVSERVE.EXE dans le répertoire Windows via FTP et le port TCP 5554, puis son
exécution à distance sans aucune intervention de l'utilisateur" : s'agit-il
là d'une 2ème phase de l'infection ? Le firewall doit-il aussi bloquer le port 5554 (c'est le cas chez moi, mais je pose la question pour essayer de bien comprendre le truc). Merci pour vos lumières
Réponse à une partie des questions. LSASS gère principalement l'authentification et l'accès au domaine et/ou à l'Active Directory. Il n'y a aucune raison pour que ce port 445 soit ouvert en entrée depuis l'internet. Un firewall doit être configuré selon le schéma : "je ferme tout sauf". Donc, la question du blocage de certains ports et pas d'autres ne devrait pas se poser. Tous les ports dont vous n'avez pas besoin doivent être bloqués par défaut, de toute façon.
--
F.
"Speedy Z" <speedyz974.spasmes@spasmes.yahoo.fr> a écrit dans le message de
news:c74ntc$bm8$1@news-reader5.wanadoo.fr...
Bonjour
Sous XP à jour et derrière un firewall (Kerio 2.1.5), je n'avais à priori
aucun risque avec Sasser, et c'est bien ce qui s'est passé :o)
Mais y'a quand même quelques questions qui me turlupinent :
1/ "[Secuser.com] Sasser l'infecte via le port TCP 445 en utilisant la
faille LSASS de Windows" : chez moi, la règle bloquant le port 445 est
valide pour l'application dénommée "SYSTEM", c'est apparemment suffisant
d'après mes logs, mais ne devrais-je pas plutôt bloquer TCP 445 pour TOUS
les programmes ?
2/ LSASS a chez moi deux règles autorisant la sortie, en TCP et/ou UDP,
est-ce correct ? A quoi sert exactement ce lsass.exe ?
3/ ""[Secuser.com] Le virus provoque le téléchargement d'un fichier
AVSERVE.EXE dans le répertoire Windows via FTP et le port TCP 5554, puis
son
exécution à distance sans aucune intervention de l'utilisateur" :
s'agit-il
là d'une 2ème phase de l'infection ? Le firewall doit-il aussi bloquer le
port 5554 (c'est le cas chez moi, mais je pose la question pour essayer de
bien comprendre le truc).
Merci pour vos lumières
Réponse à une partie des questions.
LSASS gère principalement l'authentification et l'accès au domaine et/ou à
l'Active Directory. Il n'y a aucune raison pour que ce port 445 soit ouvert
en entrée depuis l'internet. Un firewall doit être configuré selon le schéma
: "je ferme tout sauf". Donc, la question du blocage de certains ports et
pas d'autres ne devrait pas se poser. Tous les ports dont vous n'avez pas
besoin doivent être bloqués par défaut, de toute façon.
"Speedy Z" a écrit dans le message de news:c74ntc$bm8$
Bonjour
Sous XP à jour et derrière un firewall (Kerio 2.1.5), je n'avais à priori aucun risque avec Sasser, et c'est bien ce qui s'est passé :o) Mais y'a quand même quelques questions qui me turlupinent : 1/ "[Secuser.com] Sasser l'infecte via le port TCP 445 en utilisant la faille LSASS de Windows" : chez moi, la règle bloquant le port 445 est valide pour l'application dénommée "SYSTEM", c'est apparemment suffisant d'après mes logs, mais ne devrais-je pas plutôt bloquer TCP 445 pour TOUS les programmes ? 2/ LSASS a chez moi deux règles autorisant la sortie, en TCP et/ou UDP, est-ce correct ? A quoi sert exactement ce lsass.exe ? 3/ ""[Secuser.com] Le virus provoque le téléchargement d'un fichier AVSERVE.EXE dans le répertoire Windows via FTP et le port TCP 5554, puis son
exécution à distance sans aucune intervention de l'utilisateur" : s'agit-il
là d'une 2ème phase de l'infection ? Le firewall doit-il aussi bloquer le port 5554 (c'est le cas chez moi, mais je pose la question pour essayer de bien comprendre le truc). Merci pour vos lumières
Réponse à une partie des questions. LSASS gère principalement l'authentification et l'accès au domaine et/ou à l'Active Directory. Il n'y a aucune raison pour que ce port 445 soit ouvert en entrée depuis l'internet. Un firewall doit être configuré selon le schéma : "je ferme tout sauf". Donc, la question du blocage de certains ports et pas d'autres ne devrait pas se poser. Tous les ports dont vous n'avez pas besoin doivent être bloqués par défaut, de toute façon.
--
F.
Speedy Z
Faelan a écrit dans le message de news:c74ou2$ibcum$ :
LSASS gère principalement l'authentification et l'accès au domaine et/ou à l'Active Directory. Il n'y a aucune raison pour que ce port 445 soit ouvert en entrée depuis l'internet. Je précise : le 445 TCP est fermé pour SYSTEM, pas spécifiquement pour
LSASS.EXE. Mais justement, je ne sais pas ce que recouvre cette dénomination SYSTEM et c'était l'objet de ma question.
Un firewall doit être configuré selon le schéma "je ferme tout sauf". Donc, la question du blocage de certains ports et pas d'autres ne devrait pas se poser. Tous les ports dont vous n'avez pas besoin doivent être bloqués par défaut, de toute façon. OK avec ça, mais en plus de mes propres règles, il y avait des règles par
défaut que j'ai étoffé et c'est sur ces règles que j'ai des doutes. Mais je rappelle que les tentatives (nombreuses) de ce week-end sur le 445 ont été bloquées par mon Kerio, donc le SYSTEM semble être correct dans le cas de Sasser.
-- Speedy Z (pour m'écrire, c'est sans les spasmes) http://membres.lycos.fr/speedyz/
Faelan <me@privacy.net> a écrit
dans le message de news:c74ou2$ibcum$1@ID-215561.news.uni-berlin.de :
LSASS gère principalement l'authentification et l'accès au domaine
et/ou à l'Active Directory. Il n'y a aucune raison pour que ce port
445 soit ouvert en entrée depuis l'internet.
Je précise : le 445 TCP est fermé pour SYSTEM, pas spécifiquement pour
LSASS.EXE. Mais justement, je ne sais pas ce que recouvre cette dénomination
SYSTEM et c'était l'objet de ma question.
Un firewall doit être configuré selon le schéma "je ferme tout sauf".
Donc, la question du blocage de certains ports
et pas d'autres ne devrait pas se poser. Tous les ports dont vous n'avez
pas besoin doivent être bloqués par défaut, de toute façon.
OK avec ça, mais en plus de mes propres règles, il y avait des règles par
défaut que j'ai étoffé et c'est sur ces règles que j'ai des doutes. Mais je
rappelle que les tentatives (nombreuses) de ce week-end sur le 445 ont été
bloquées par mon Kerio, donc le SYSTEM semble être correct dans le cas de
Sasser.
--
Speedy Z (pour m'écrire, c'est sans les spasmes)
http://membres.lycos.fr/speedyz/
Faelan a écrit dans le message de news:c74ou2$ibcum$ :
LSASS gère principalement l'authentification et l'accès au domaine et/ou à l'Active Directory. Il n'y a aucune raison pour que ce port 445 soit ouvert en entrée depuis l'internet. Je précise : le 445 TCP est fermé pour SYSTEM, pas spécifiquement pour
LSASS.EXE. Mais justement, je ne sais pas ce que recouvre cette dénomination SYSTEM et c'était l'objet de ma question.
Un firewall doit être configuré selon le schéma "je ferme tout sauf". Donc, la question du blocage de certains ports et pas d'autres ne devrait pas se poser. Tous les ports dont vous n'avez pas besoin doivent être bloqués par défaut, de toute façon. OK avec ça, mais en plus de mes propres règles, il y avait des règles par
défaut que j'ai étoffé et c'est sur ces règles que j'ai des doutes. Mais je rappelle que les tentatives (nombreuses) de ce week-end sur le 445 ont été bloquées par mon Kerio, donc le SYSTEM semble être correct dans le cas de Sasser.
-- Speedy Z (pour m'écrire, c'est sans les spasmes) http://membres.lycos.fr/speedyz/
T0t0
"Speedy Z" wrote in message news:c74r28$plf$
Je précise : le 445 TCP est fermé pour SYSTEM, pas spécifiquement pour LSASS.EXE. Mais justement, je ne sais pas ce que recouvre cette dénomination SYSTEM et c'était l'objet de ma question.
Attention, là vous parlez de processus sortant de votre machine. Faelan vous conseille de fermer tous vos ports en entrée, et dans ce cas, il n'y a pas d'association à un processus local, vu qu'il ne peut s'agir de connexions que votre machine connait. En entrée, vous fermez tout.
OK avec ça, mais en plus de mes propres règles, il y avait des règles par défaut que j'ai étoffé et c'est sur ces règles que j'ai des doutes. Mais je rappelle que les tentatives (nombreuses) de ce week-end sur le 445 ont été bloquées par mon Kerio, donc le SYSTEM semble être correct dans le cas de Sasser.
Ce n'est à priori pas cette règle qui a bloqué Sasser vu qu'elle agit probablement sur des processus sortant.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Speedy Z" <speedyz974.spasmes@spasmes.yahoo.fr> wrote in message
news:c74r28$plf$1@news-reader3.wanadoo.fr
Je précise : le 445 TCP est fermé pour SYSTEM, pas spécifiquement pour
LSASS.EXE. Mais justement, je ne sais pas ce que recouvre cette dénomination
SYSTEM et c'était l'objet de ma question.
Attention, là vous parlez de processus sortant de votre machine.
Faelan vous conseille de fermer tous vos ports en entrée, et dans ce
cas, il n'y a pas d'association à un processus local, vu qu'il ne
peut s'agir de connexions que votre machine connait.
En entrée, vous fermez tout.
OK avec ça, mais en plus de mes propres règles, il y avait des règles par
défaut que j'ai étoffé et c'est sur ces règles que j'ai des doutes. Mais je
rappelle que les tentatives (nombreuses) de ce week-end sur le 445 ont été
bloquées par mon Kerio, donc le SYSTEM semble être correct dans le cas de
Sasser.
Ce n'est à priori pas cette règle qui a bloqué Sasser vu qu'elle
agit probablement sur des processus sortant.
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Je précise : le 445 TCP est fermé pour SYSTEM, pas spécifiquement pour LSASS.EXE. Mais justement, je ne sais pas ce que recouvre cette dénomination SYSTEM et c'était l'objet de ma question.
Attention, là vous parlez de processus sortant de votre machine. Faelan vous conseille de fermer tous vos ports en entrée, et dans ce cas, il n'y a pas d'association à un processus local, vu qu'il ne peut s'agir de connexions que votre machine connait. En entrée, vous fermez tout.
OK avec ça, mais en plus de mes propres règles, il y avait des règles par défaut que j'ai étoffé et c'est sur ces règles que j'ai des doutes. Mais je rappelle que les tentatives (nombreuses) de ce week-end sur le 445 ont été bloquées par mon Kerio, donc le SYSTEM semble être correct dans le cas de Sasser.
Ce n'est à priori pas cette règle qui a bloqué Sasser vu qu'elle agit probablement sur des processus sortant.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Speedy Z
T0t0 a écrit dans le message de news: :
"Speedy Z" wrote in message news:c74r28$plf$
Je précise : le 445 TCP est fermé pour SYSTEM, pas spécifiquement pour LSASS.EXE. Mais justement, je ne sais pas ce que recouvre cette dénomination SYSTEM et c'était l'objet de ma question.
Attention, là vous parlez de processus sortant de votre machine. Faelan vous conseille de fermer tous vos ports en entrée, et dans ce cas, il n'y a pas d'association à un processus local, vu qu'il ne peut s'agir de connexions que votre machine connait. En entrée, vous fermez tout.
Non, je parle bien de 445 TCP fermé en entrée. Sous Kerio, cela peut
concerner "Toutes les applications" ou une appli particulière. Dans mon cas, c'est une application identifiée par "SYSTEM" sans que je sache bien ce que cela recouvre.
OK avec ça, mais en plus de mes propres règles, il y avait des règles par défaut que j'ai étoffé et c'est sur ces règles que j'ai des doutes. Mais je rappelle que les tentatives (nombreuses) de ce week-end sur le 445 ont été bloquées par mon Kerio, donc le SYSTEM semble être correct dans le cas de Sasser.
Ce n'est à priori pas cette règle qui a bloqué Sasser vu qu'elle agit probablement sur des processus sortant.
Pas d'accord. Si Sasser m'infecte via le port TCP 445, c'est bien en entrée,
pas en sortie.
-- Speedy Z (pour m'écrire, c'est sans les spasmes) http://membres.lycos.fr/speedyz/
T0t0 <bibi@antionline.org> a écrit
dans le message de
news:7351c34618aecca104cacbe351cdcc4a.28089@mygate.mailgate.org :
"Speedy Z" <speedyz974.spasmes@spasmes.yahoo.fr> wrote in message
news:c74r28$plf$1@news-reader3.wanadoo.fr
Je précise : le 445 TCP est fermé pour SYSTEM, pas spécifiquement
pour LSASS.EXE. Mais justement, je ne sais pas ce que recouvre cette
dénomination SYSTEM et c'était l'objet de ma question.
Attention, là vous parlez de processus sortant de votre machine.
Faelan vous conseille de fermer tous vos ports en entrée, et dans ce
cas, il n'y a pas d'association à un processus local, vu qu'il ne
peut s'agir de connexions que votre machine connait.
En entrée, vous fermez tout.
Non, je parle bien de 445 TCP fermé en entrée. Sous Kerio, cela peut
concerner "Toutes les applications" ou une appli particulière. Dans mon cas,
c'est une application identifiée par "SYSTEM" sans que je sache bien ce que
cela recouvre.
OK avec ça, mais en plus de mes propres règles, il y avait des
règles par défaut que j'ai étoffé et c'est sur ces règles que j'ai
des doutes. Mais je rappelle que les tentatives (nombreuses) de ce
week-end sur le 445 ont été bloquées par mon Kerio, donc le SYSTEM
semble être correct dans le cas de Sasser.
Ce n'est à priori pas cette règle qui a bloqué Sasser vu qu'elle
agit probablement sur des processus sortant.
Pas d'accord. Si Sasser m'infecte via le port TCP 445, c'est bien en entrée,
pas en sortie.
--
Speedy Z (pour m'écrire, c'est sans les spasmes)
http://membres.lycos.fr/speedyz/
Je précise : le 445 TCP est fermé pour SYSTEM, pas spécifiquement pour LSASS.EXE. Mais justement, je ne sais pas ce que recouvre cette dénomination SYSTEM et c'était l'objet de ma question.
Attention, là vous parlez de processus sortant de votre machine. Faelan vous conseille de fermer tous vos ports en entrée, et dans ce cas, il n'y a pas d'association à un processus local, vu qu'il ne peut s'agir de connexions que votre machine connait. En entrée, vous fermez tout.
Non, je parle bien de 445 TCP fermé en entrée. Sous Kerio, cela peut
concerner "Toutes les applications" ou une appli particulière. Dans mon cas, c'est une application identifiée par "SYSTEM" sans que je sache bien ce que cela recouvre.
OK avec ça, mais en plus de mes propres règles, il y avait des règles par défaut que j'ai étoffé et c'est sur ces règles que j'ai des doutes. Mais je rappelle que les tentatives (nombreuses) de ce week-end sur le 445 ont été bloquées par mon Kerio, donc le SYSTEM semble être correct dans le cas de Sasser.
Ce n'est à priori pas cette règle qui a bloqué Sasser vu qu'elle agit probablement sur des processus sortant.
Pas d'accord. Si Sasser m'infecte via le port TCP 445, c'est bien en entrée,
pas en sortie.
-- Speedy Z (pour m'écrire, c'est sans les spasmes) http://membres.lycos.fr/speedyz/
Speedy Z
T0t0 a écrit dans le message de news: :
Ce n'est à priori pas cette règle qui a bloqué Sasser vu qu'elle agit probablement sur des processus sortant. Nan, elle agit sur les connexions entrantes, et je confirme que c'est bien
cette règle qui bloque les nombreuses tentatives de connexion sur TCP 445 depuis ce week-end
-- Speedy Z (pour m'écrire, c'est sans les spasmes) http://membres.lycos.fr/speedyz/
T0t0 <bibi@antionline.org> a écrit
dans le message de
news:7351c34618aecca104cacbe351cdcc4a.28089@mygate.mailgate.org :
Ce n'est à priori pas cette règle qui a bloqué Sasser vu qu'elle
agit probablement sur des processus sortant.
Nan, elle agit sur les connexions entrantes, et je confirme que c'est bien
cette règle qui bloque les nombreuses tentatives de connexion sur TCP 445
depuis ce week-end
--
Speedy Z (pour m'écrire, c'est sans les spasmes)
http://membres.lycos.fr/speedyz/
Ce n'est à priori pas cette règle qui a bloqué Sasser vu qu'elle agit probablement sur des processus sortant. Nan, elle agit sur les connexions entrantes, et je confirme que c'est bien
cette règle qui bloque les nombreuses tentatives de connexion sur TCP 445 depuis ce week-end
-- Speedy Z (pour m'écrire, c'est sans les spasmes) http://membres.lycos.fr/speedyz/
Steph
Bonjour
Sous XP à jour et derrière un firewall (Kerio 2.1.5), je n'avais à priori aucun risque avec Sasser, et c'est bien ce qui s'est passé :o) Mais y'a quand même quelques questions qui me turlupinent : 1/ "[Secuser.com] Sasser l'infecte via le port TCP 445 en utilisant la faille LSASS de Windows" : chez moi, la règle bloquant le port 445 est valide pour l'application dénommée "SYSTEM", c'est apparemment suffisant d'après mes logs, mais ne devrais-je pas plutôt bloquer TCP 445 pour TOUS les programmes ?
oui
2/ LSASS a chez moi deux règles autorisant la sortie, en TCP et/ou UDP, est-ce correct ? A quoi sert exactement ce lsass.exe ?
lsass est totalement bloqué en in comme en out
3/ ""[Secuser.com] Le virus provoque le téléchargement d'un fichier AVSERVE.EXE dans le répertoire Windows via FTP et le port TCP 5554, puis son exécution à distance sans aucune intervention de l'utilisateur" : s'agit-il là d'une 2ème phase de l'infection ? Le firewall doit-il aussi bloquer le port 5554 (c'est le cas chez moi, mais je pose la question pour essayer de
Il doit bloquer toutes les connections sortantes non autorisées.
Steph
-- Enlever l'adresse bidon invalide pour m'écrire
Bonjour
Sous XP à jour et derrière un firewall (Kerio 2.1.5), je n'avais à priori
aucun risque avec Sasser, et c'est bien ce qui s'est passé :o)
Mais y'a quand même quelques questions qui me turlupinent :
1/ "[Secuser.com] Sasser l'infecte via le port TCP 445 en utilisant la
faille LSASS de Windows" : chez moi, la règle bloquant le port 445 est
valide pour l'application dénommée "SYSTEM", c'est apparemment suffisant
d'après mes logs, mais ne devrais-je pas plutôt bloquer TCP 445 pour TOUS
les programmes ?
oui
2/ LSASS a chez moi deux règles autorisant la sortie, en TCP et/ou UDP,
est-ce correct ? A quoi sert exactement ce lsass.exe ?
lsass est totalement bloqué en in comme en out
3/ ""[Secuser.com] Le virus provoque le téléchargement d'un fichier
AVSERVE.EXE dans le répertoire Windows via FTP et le port TCP 5554, puis son
exécution à distance sans aucune intervention de l'utilisateur" : s'agit-il
là d'une 2ème phase de l'infection ? Le firewall doit-il aussi bloquer le
port 5554 (c'est le cas chez moi, mais je pose la question pour essayer de
Il doit bloquer toutes les connections sortantes non autorisées.
Sous XP à jour et derrière un firewall (Kerio 2.1.5), je n'avais à priori aucun risque avec Sasser, et c'est bien ce qui s'est passé :o) Mais y'a quand même quelques questions qui me turlupinent : 1/ "[Secuser.com] Sasser l'infecte via le port TCP 445 en utilisant la faille LSASS de Windows" : chez moi, la règle bloquant le port 445 est valide pour l'application dénommée "SYSTEM", c'est apparemment suffisant d'après mes logs, mais ne devrais-je pas plutôt bloquer TCP 445 pour TOUS les programmes ?
oui
2/ LSASS a chez moi deux règles autorisant la sortie, en TCP et/ou UDP, est-ce correct ? A quoi sert exactement ce lsass.exe ?
lsass est totalement bloqué en in comme en out
3/ ""[Secuser.com] Le virus provoque le téléchargement d'un fichier AVSERVE.EXE dans le répertoire Windows via FTP et le port TCP 5554, puis son exécution à distance sans aucune intervention de l'utilisateur" : s'agit-il là d'une 2ème phase de l'infection ? Le firewall doit-il aussi bloquer le port 5554 (c'est le cas chez moi, mais je pose la question pour essayer de
Il doit bloquer toutes les connections sortantes non autorisées.