Logo GNT
Actualités Tests & Guides Bons Plans
GTA 6 iPhone 17 Copilot Switch 2 Temu ChatGPT Tesla
OVH Cloud OVH Cloud
Entraide Windows Windows NT Discussions Générales [securite] On veut communiquer avec "SYSTEM"

[securite] On veut communiquer avec "SYSTEM"

6 réponses
Avatar
lionel.paugam
bonjour,

Hier mon firewall m'a indiqué une demande de communication entrante en
TCP sur le port 1033 avec "system" qui se situe dans
c:/windows/system32/config.
Mon firewall (outpost V1) m'indique en outre que "system" ecoute sur
differnet ports et protocoles:
SYSTEM n/a n/a GRE 0 bytes 0 bytes 28/02/2004
10:47:26 Listening 12032 n/a
SYSTEM n/a n/a RAWSOCKET 0 bytes 0 bytes 28/02/2004
10:47:26 Listening n/a n/a
SYSTEM *.*.*.* n/a UDP 0 bytes 0 bytes 28/02/2004
10:47:04 Listening 445 *.*.*.*

La tentative de connection rentrante indique-t'elle un trou dans mon
systeme ?
Est-ce une tentative "au hasard" de vouloir rentrer en contact avec un
fichier sensible ?
Le fait que "system" ecoute est-t'il normal ?

Je viens de fr.comp.securite.virus (je pensais a un spyware) où on m'a
redirigé vers ici ...avec l'espoir que jc bellamy lise ce message ;-)

merci d'avance :-)

FU2 microsoft.public.fr.windowsxp

--
kenavo
lionel
Signaler un problème avec ce contenu

6 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Avatar
Claude LaFrenière
Le Sat, 28 Feb 2004 23:55:49 +0100
dans le msg <news:
lionel.paugam a écrit :

bonjour,


Bonjour Lionel Paugam :-)

Hier mon firewall m'a indiqué une demande de communication entrante en
TCP sur le port 1033 avec "system" qui se situe dans
c:/windows/system32/config.


? c'est pas plutôt C:WINDOWSSystem32svchost.exe ???
Pas important : bloque ça dans les 2 directions en TCP et UDP...

Mon firewall (outpost V1) m'indique en outre que "system" ecoute sur
differnet ports et protocoles:


Oui svchost fait ça...
Sans importance mais vérifie qu'il n'y a pas de services démarrés
inutilement dans ton système...
Un truc : met tous tes services en démarrage manuel, reboot puis utilise
ton PC normalement pendant quelques heures...Vérifie à nouveau lesquels
sont démarrés et met les en automatique , laisse les autres en manuel sauf
s'il est évident qu'il ne servirons jamais ( le machin micro-puce si t'en a
pas par exemple...)
Pour un paramétrage plus précis voir FAQ d'Alain Vouillon et le site de
Black Viper (doc en Eng mais en PDF : très bien documenté mais un peu
parano...)

SYSTEM n/a n/a GRE 0 bytes 0 bytes 28/02/2004
10:47:26 Listening 12032 n/a


Port 12032 : pas de trojan connus sur ce port ...

SYSTEM n/a n/a RAWSOCKET 0 bytes 0 bytes 28/02/2004
10:47:26 Listening n/a n/a


? ! Pas d'accès aux RawSockets (Voir le site de Steve Gibson là-dessus :
www.grc.com ....)

SYSTEM *.*.*.* n/a UDP 0 bytes 0 bytes 28/02/2004
10:47:04 Listening 445 *.*.*.*


Port 445 C'est le "Direct Hosting du Service Message Block" : un machin de
W 2000 pour le partage des fichiers (NetBios).
Bloque ça en entrée et sortie TCP et UDP.C'est pas plus compliqué que ça...

La tentative de connection rentrante indique-t'elle un trou dans mon
systeme ?


Non : ne t'alerte pas inutilement avec ça ! Si le SIGNAL reçu par ton
système a bloqué ce machin "attaque" ou pas : pas de différence!
De machins comme ça j'en ai plusieurs centaines par jours...
Par exemple : provenant d'un IP xxxx envoi d'un "packet" TCP sur un port
utilisé par certains trojan exemple SubSeven Port 34763...

1) C'est peut être un taré du ouaibe qui essai de voir si à ton adresse IP
il y a le serveur de ce trojan ...
2) un signal "perdu" sur la toile par des PC sans FW et qui émettent des
parasites...C'est du bruit mais pas une "attaque".

Un trojan agit comme un serveur sur ton PC : s'il n'y a pas ce "serveur"
pas de problème...

Est-ce une tentative "au hasard" de vouloir rentrer en contact avec un
fichier sensible ?


Oui probablement.

Le fait que "system" ecoute est-t'il normal ?


Oui car c'est McWindows... (Hum là je suis méchant :D )

Je viens de fr.comp.securite.virus (je pensais a un spyware) où on m'a
redirigé vers ici ...avec l'espoir que jc bellamy lise ce message ;-)


Pas de trace de M.Jean-Claude Bellamy : il doit être sorti avec sa
charmante épouse et j'espère qu'ils prennent du bon temps.

merci d'avance :-)


Pas de quoi.

Liens intéressants pour vous :

Site de JacK[MVP] : infos sécurité : info Outpost et aussi (je crois) forum
pour Outpost...
http://optimix.be.tf/

Pour tester votre FW :

https://www.grc.com/x/ne.dll?bh0bkyd2
et
http://www.pcflank.com/

Aussi : ton FW doit de protéger de ce qui vient de l'intérieur ...
Cherche avec google pour des "leak Tests" : la plupart des FW en passent
quelques uns mais pas tous...

Combine SystemSafety Monitor avec ton Outpost et ce sera au poil...

(cherche MaxComputing : c'est en Russie : site l e n t mais ça vaut la
peine : SSM en français...de plus le gars qui a fait ça ça est sympa : j'ai
déjà eu un problème et il m'a répondu dans l'heure : si l'argent te brûle
les poches ne l'oublie pas...)

En cas de problème ou de questions reviens ici et tu receveras de l'aide.
Bon W.E. :D

Amicalement.

--
Claude LaFrenière 2004-02-28 18:19:31 EST
http://cerbermail.com/?FslokTsjQ7 (cliquez ici pour courriel)
PGP Clé Publique 0xC3C0E2C2

«COLÈRE : Fouette le sang ; hygiénique de s'y mettre de temps en temps.»
Gustave Flaubert , Dict. des idées reçues.

Pour m'engueuler en direct sur Messenger :
http://cerbermail.com/?Oh14QiaR2y
Pour m'envoyer une carte d'insultes (Balai à chiottes,enfoiré etc):
http://www.waloa.com/Cartes/?r=Insultes&m
Avatar
lionel.paugam
bonjour,
Il se trouve que Claude LaFrenière a formulé :

tout d'abord merci pour ta réponse si complète :-)

? c'est pas plutôt C:WINDOWSSystem32svchost.exe ???
Pas important : bloque ça dans les 2 directions en TCP et UDP...



heu, je verifie...non,non : c'est bien system qui a reçu la demande de
connection et system qui écoute.

pour "svchost" je le bride complètement ? je vois qu'il a un outil de
synchronisation de l'heure...

Un truc : met tous tes services en démarrage manuel, reboot puis utilise
ton PC normalement pendant quelques heures...Vérifie à nouveau lesquels
sont démarrés et met les en automatique , laisse les autres en manuel sauf
s'il est évident qu'il ne servirons jamais



merci pour l'astuce , je vais l'appliquer.


? ! Pas d'accès aux RawSockets (Voir le site de Steve Gibson là-dessus :
www.grc.com ....)



Je ne comprends pas "pas d'accès" :-/
CAD il n'y a jamais d'accès possible ?
je fouille le site mais ..heu... :-/

SYSTEM *.*.*.* n/a UDP 0 bytes 0 bytes 28/02/2004
10:47:04 Listening 445 *.*.*.*


Port 445 C'est le "Direct Hosting du Service Message Block" : un machin de
W 2000 pour le partage des fichiers (NetBios).
Bloque ça en entrée et sortie TCP et UDP.C'est pas plus compliqué que ça...




ce qui me gène un peu c'est que je viens de mettre "system" comme
"application bloquée" (pour voir) et c'est pareil...probablement une
astuce a chopper avec Outpost.

Le fait que "system" ecoute est-t'il normal ? Oui car c'est McWindows...
(Hum là je suis méchant :D )





je commence a me demander ;-)

http://optimix.be.tf/



Il parle de oupost V21 mais c'est vrai que la philosophie est la même .

Pour tester votre FW :



http://www.pcflank.com/



là il y a un port qui apparait comme bloqué (au lieu de furtif) mais je
veux essayer de trouver tout seul :-)

Aussi : ton FW doit de protéger de ce qui vient de l'intérieur ...
Cherche avec google pour des "leak Tests" : la plupart des FW en passent
quelques uns mais pas tous...



j'avais testé celui de http://www.grc.com/lt/leaktest.htm je vais en
chercher d'autres c'est une idée.

Combine SystemSafety Monitor avec ton Outpost et ce sera au poil...



??? je vais voir le bidule.

En cas de problème ou de questions reviens ici et tu receveras de l'aide.



je garde l'invitation au chaud, encore merci.

--
kenavo
lionel
Avatar
Marc-Antoine
>Je viens de fr.comp.securite.virus (je pensais a un spyware) où on m'a
redirigé vers ici ...avec l'espoir que jc bellamy lise ce message ;-)



Parce que tu crois qu'une buse de la sorte connait quoi que ce soit aux virus ou
a NT ?!
Son attitude de m'as-tu-vu à l'extrême a déjà été dénoncée plusieurs fois ici ou
ailleurs par des professionnels (des vrais, eux) en démontrant qu'il ne savait
rien faire d'autre que du copier-coller de Msdn, avec appropriation de
l'information.

Une loi en informatique : la prétention est inversement
proportionnelle à la compétence : s'applique Ô combien parfaitement avec cette
tanche.

Et un virus, ça s'écrit en assembleur, pas en vbscript à 2F50 pour ados
boutonneux.

--
Ce message a été posté via la plateforme Web club-Internet.fr
This message has been posted by the Web platform club-Internet.fr

http://forums.club-internet.fr/
Avatar
lionel.paugam
bonjour,
Marc-Antoine vient de nous annoncer :

Et un virus, ça s'écrit en assembleur, pas en vbscript à 2F50 pour ados
boutonneux.



En attendant aurais-tu une réponse a donner a ma question ?

--
kenavo
lionel
Avatar
Michel Guillou
Marc-Antoine écrivait :

Son attitude de m'as-tu-vu à l'extrême



Tiens, un con !


--
Michel Guillou
Avatar
Un amateur
Le 02 Mar 2004 15:25:20 GMT, Marc-Antoine écrivait:

Parce que tu crois qu'une buse de la sorte connait quoi que ce soit aux virus ou
a NT ?!



Sans doute bien plus que vous.

Son attitude de m'as-tu-vu à l'extrême a déjà été dénoncée plusieurs fois ici ou
ailleurs par des professionnels (des vrais, eux) en démontrant qu'il ne savait
rien faire d'autre que du copier-coller de Msdn, avec appropriation de
l'information.



Mais oui, c'est cela. Il n'y a en fait jamais eu qu'un pseudo
professionnel prenant différentes identités dans son lecteur
de news, incapable de répondre autre chose que "c'est dans
msdn" par manque de compétences flagrantes et ne sachant par
simple jalousie que dénigrer le travail des autres.

Et un virus, ça s'écrit en assembleur, pas en vbscript à 2F50 pour ados
boutonneux.



Merci de nous démontrer une foi de plus votre manque de
compétences et votre absence de connaissances.