Serveur FTP h@cké par J@ne :-(

Le
Didier Morandi
Bonsoir,

J'ai découvert avec consternation que "on" avait piraté mon PC via le
serveur FTP, pourtant protégé par un mdp théoriquement difficile à
deviner, et qui plus est j'ai Kaspersky pro qui veille.

J'ai maintenant dans le disque C: cinq dossiers vides, chacun avec 1, 2,
3, 4 et 5 espaces dans le nom et trois nommés com1, com2 et com3, vides
aussi. Ils sont ineffacables et toute tentative de faire quoi que ce
soit dessus me renvoie le message "fichier ou répertoire non trouvé" ou
un truc comme ça (le PC est au bureau, ici j'ai un iMac :-)

J'ai donc lancé mon bon copain TotalCommander.

Il m'a trouvé dans le com3 un sous dossier machin truc chouette vide
aussi et comme ça sur 6 ou 7 niveaux, puis des dossiers dont les noms
successifs donnent la phrase "h@cked/by/J@ne/for/the/forum" et dans le
répertoire forum il y a des mp3 parfaitement audibles quand on les
double clique.

Maintenant, les questions :

Quelqu'un a déjà vu ça ?
Suis-je en danger malgré Kaspersky ?
Comment les effacer ? Même TotalCommander n'y arrive pas. Il me dit
"aucun fichier n'a été sélectionné" alors que son nom apparaît en
surbrillance. Les mp3, eux, se sont laissés effacer gentiment.

Merci.

D.

PS: j'ai fermé le serveur FTP.
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
~Jean-Marc~ [MVP]
Le #385076
Salutations *Didier Morandi* !

tu nous disais :
J'ai découvert avec consternation que "on" avait piraté mon PC via le
serveur FTP, pourtant protégé par un mdp théoriquement difficile à
deviner, et qui plus est j'ai Kaspersky pro qui veille.

J'ai maintenant dans le disque C: cinq dossiers vides, chacun avec 1,
2, 3, 4 et 5 espaces dans le nom et trois nommés com1, com2 et com3,
vides aussi. Ils sont ineffacables et toute tentative de faire quoi
que ce soit dessus me renvoie le message "fichier ou répertoire non
trouvé" ou un truc comme ça (le PC est au bureau, ici j'ai un... iMac
:-)

J'ai donc lancé mon bon copain TotalCommander.

Il m'a trouvé dans le com3 un sous dossier machin truc chouette vide
aussi et comme ça sur 6 ou 7 niveaux, puis des dossiers dont les noms
successifs donnent la phrase "/by//for/the/forum" et dans le
répertoire forum il y a des mp3 parfaitement audibles quand on les
double clique.

Maintenant, les questions :

Quelqu'un a déjà vu ça ?


Vu, non, mais pas mal entendu parler... tu devais avoir un accès anonymous
ouvert en écriture...

Suis-je en danger malgré Kaspersky ?


Un anti-virus n'est pas un pare-feu et ne protège pas contre les "scanneurs"

Comment les effacer ?


Regarde ceci : http://support.microsoft.com/?kbid15226

@+

--
~Jean-Marc~ MSAE & MVP Windows XP Fr
- http://perso.wanadoo.fr/doc.jm/ - http://msmvps.com/docxp/ -
Aide en DIRECT sur IRC : irc://irc.akro-net.org:6667 canal : #mschat
Aide en DIRECT sur Internet : http://communautes-ms.akro-net.org/

Didier MORANDI
Le #384995
~Jean-Marc~ [MVP] wrote:
../..
Regarde ceci : http://support.microsoft.com/?kbid15226


Merci Jean-Marc, mais les fichiers comprenant (astucieusement) des
espaces dans leur nom, pas moyen d'utiliser DOS.

Autre idée stp ?
Merci.

D.

JF
Le #384972
Didier MORANDI a dit :
| Merci Jean-Marc, mais les fichiers comprenant (astucieusement) des
| espaces dans leur nom, pas moyen d'utiliser DOS.
|
| Autre idée stp ?
| Merci.
|
| D.

Bonjour Didier (et JM)
Et en mettant des guillemets ?
Habituellement dir /x affiche les noms courts.

--
Pour trouver des réponses :
1- http://perso.wanadoo.fr/doc.jm/liens.htm
2- http://groups.google.com
3- Outlook Express : faire [MAJ+F3], puis [F3]
4- Outlook Express : Suivez vos fils : [CTL+H]
- Salutations, JF
Phil
Le #384969
"Didier MORANDI" news:409f2bee$0$20744$
~Jean-Marc~ [MVP] wrote:
../..
Regarde ceci : http://support.microsoft.com/?kbid15226


Merci Jean-Marc, mais les fichiers comprenant (astucieusement) des
espaces dans leur nom, pas moyen d'utiliser DOS.

Autre idée stp ?


Bonjour !

Oui, la proposition de Jean Marc ne peut pas fonctionner car le hacking se
base sur des outils Unix la plupart du temps !
Il faut en fait utiliser les fonctions du sous système POSIX pour supprimer
ce genre de répertoires !
Un coup d'oeil ici devrait pouvoir vous aider je pense :

- http://support.microsoft.com/?kbid0716

Cordialement,

Phil


JF
Le #384960
Phil a dit :
| Il faut en fait utiliser les fonctions du sous système POSIX

Bonjour Phil
Ah voilà quelque chose qui semble inconnu de pgriffet:
http://forum.pcastuces.com/sujet.asp?SUJET_ID$46

Dans ce cas, est-ce que Knoppix peut être une aide ?

--
Pour trouver des réponses :
1- http://perso.wanadoo.fr/doc.jm/liens.htm
2- http://groups.google.com
3- Outlook Express : faire [MAJ+F3], puis [F3]
4- Outlook Express : Suivez vos fils : [CTL+H]
- Salutations, JF
Didier MORANDI
Le #384931
JF wrote:
Didier MORANDI a dit :
| Merci Jean-Marc, mais les fichiers comprenant (astucieusement) des
| espaces dans leur nom, pas moyen d'utiliser DOS.
|
| Autre idée stp ?
| Merci.
|
| D.

Bonjour Didier (et JM)
Et en mettant des guillemets ?
Habituellement dir /x affiche les noms courts.


C:> rd \.c:" "

"Le processus ne peut pas accéder au fichier car ce fichier est utilisé
par un autre processus".

Dois-je démarrer en DOS ? Si oui, comment ? A partir d'une disquette ?
Alors ma partition NTFS sera invisible ?

D.

JF
Le #384906
Didier MORANDI a dit :
| C:> rd \.c:" "
|
| "Le processus ne peut pas accéder au fichier car ce fichier est
| utilisé par un autre processus".

Il y a du mieux alors.

Voir cette méthode ci-dessous et surtout WhoLockMe, cette petite merveille.

Suppression en arrêtant Explorer
Le process qui empêche la suppression
est souvent Explorer lui-même:
- Quitter les programmes en cours
- CTL+ALT+Suppr pour démarrer le Gestionnaire
- Arrêter le Processus Explorer
- Menu Fichier>Nouvelle tâche
- Bouton Parcourir
- Naviguer jusqu'au fichier et ...
- Supprimer
Essayer de supprimer le dossier.
Ou passer par le mode Commande (CMD.exe)

Quel processus empêche la suppression ?
Réponse avec WhoLockMe:
www.dr-hoiby.com/tools.html


| Dois-je démarrer en DOS ? Si oui, comment ? A partir d'une disquette ?
| Alors ma partition NTFS sera invisible ?
Oui elle sera invisible.
Utiliser PE-Builder ou Knoppix.

PE-BUILDER
http://severinterrier.free.fr/Boot/PE-Builder

Knoppix
http://sebsauvage.net/logiciels/knoppix.html
http://www.framasoft.net/article1363.html
Attention avec NTFS:
http://www.tomshardware.fr/articleslg.php?IdArticleV8&NumPage=4
Mais pour supprimer des dossiers, je crois que c'est ok. Peux pas le garantir...


--
Pour trouver des réponses :
1- http://perso.wanadoo.fr/doc.jm/liens.htm
2- http://groups.google.com
3- Outlook Express : faire [MAJ+F3], puis [F3]
4- Outlook Express : Suivez vos fils : [CTL+H]
- Salutations, JF
Didier MORANDI
Le #384900
Phil wrote:


Oui, la proposition de Jean Marc ne peut pas fonctionner car le hacking se
base sur des outils Unix la plupart du temps !
Il faut en fait utiliser les fonctions du sous système POSIX pour supprimer
ce genre de répertoires !
Un coup d'oeil ici devrait pouvoir vous aider je pense :

- http://support.microsoft.com/?kbid0716


j'ai fouillé tous mes CD TechNet et MSDN, pas de Windows Resource Kit
!.. et gougle m'envoie 3070 pages à feuilleter pour rm.exe :-(

Qqun aurait une version downloadable svp ?

Merci.


D.

Gabriel
Le #384770
Dans le message:c7lqcl$9v5$,
Didier Morandi
Bonsoir,


Bonjour Didier,

J'ai découvert avec consternation que "on" avait piraté mon PC via le
serveur FTP, pourtant protégé par un mdp théoriquement difficile à


Piraté c'est un bien grand mot, un type a bêtement scanné des adresses
IP au hasard avec un logiciel qui permet de faire une tentative
d'écriture sur tous les FTP ou il peut se connecter en Anonymous...

deviner, et qui plus est j'ai Kaspersky pro qui veille.


Si tu parles de Kaspersky anti-hacker, que j'ai eu loisir de tester,
c'est un pur gadget que je te conseil de le désinstaller, ton système
n'en
sera que plus allégé. Active plutôt le firewall de Windows XP. Mais de
toute façon si le compte Anonymous est activé ça ne change pas grand
chose...

Si il s'agit de Kaspersky Anti virus, c'est un bon choix mais aucun
rapport avec le fait que l'on puisse se connecter à ton serveur FTP.

J'ai maintenant dans le disque C: cinq dossiers vides, chacun avec 1,
2, 3, 4 et 5 espaces dans le nom et trois nommés com1, com2 et com3,
vides aussi. Ils sont ineffacables et toute tentative de faire quoi
que ce soit dessus me renvoie le message "fichier ou répertoire non
trouvé" ou un truc comme ça (le PC est au bureau, ici j'ai un... iMac
:-)
[...]

Maintenant, les questions :
Quelqu'un a déjà vu ça ?


Bien sûr, c'est très répandu, un peu moins depuis la monté en puissance
du P2P mais c'est vieux comme internet.
Il ne s'agit que de personnes comme toi et moi qui veulent s'échanger de
la musique, des films, des logiciels, bd, jeux etc...ils ont besoin de
place pour stocker les fichiers et les partager avec d'autres personnes,
donc ils scannent des adresses IP au hasard, upload les fichiers et
publient l'adresse du FTP sur un forum.
ex: ftp://xxx.xxx.xxx.xxx/com1 / / / //by//for/the/forum/

Suis-je en danger malgré Kaspersky ?


Ni plus ni moins que sans.

Comment les effacer ? Même TotalCommander n'y arrive pas. Il me dit
"aucun fichier n'a été sélectionné" alors que son nom apparaît en
surbrillance. Les mp3, eux, se sont laissés effacer gentiment.


Le problème c'est que parfois il ne s'agit pas d'espace dans les noms
mais de caractères invisible réalisé avec ALT + 0160 ou ALT + 0255.
De plus, certains "mots" sont réservés au système et il n'est pas
possible de créer des répertoires avec ces "mots" par exemple si tu
essayes, tu verras qu'il n'est pas possible de créer un répertoire AUX,
COMn, CON, LPTn, NUL (n=1, 2, 3, 4)

En revanche, par une simple manipulation (et à cause d'un bug Microsoft
IIS)
il est possible de créer ce genre de répertoire avec un client FTP et de
la même façon il est aussi simple de les effacer.
Toutes ces astuces ont vu le jour afin de protéger les fichiers contre
l'effacement et ainsi partager plus longtemps mais comme dans tout les
domaines quand il y a une protection quelque part, il y a toujours
quelqu'un pour la casser :)

Dans le plus simple des cas ces répertoires sont nommés avec les
caractères "" ou "/" à la fin du nom ce qui empêche la suppression
mais il y a beaucoup d'autre combinaisons possible, com1/, com1, com1 /
/, com1 //, etc...
bien sur les barres obliques n'apparaissent pas un fois le répertoire
créé.

La plupart peuvent être supprimés assez facilement dans une
fenêtre dos, avec la commande RD (Remove Directory) et la touche TAB qui
complète le nom automatiquement (pratique pour les caractères
invisibles) certains ont besoin aussi d'être entre guillemets "dossier "
ex:
rd com1
rd "com1 "
rd "com1/"
rd "com1 / /"

il faut que les répertoires soient vident sinon ça ne fonctionnera pas.

Certains peuvent être "débloqués" par renommage avec les commandes FTP
"RNTO" et "RNFR" pour ça il te faut un client FTP capable d'envoyer des
Commandes brutes (Raw Commands) comme ce bon vieux LeechFTP freeware ou
l'excellent FlashFXP shareware.

Si jamais tu n'y parviens pas, n'hésites pas à me contacter par mail,
j'y jetterai un oeil.

Je te conseil également d'aller voir ici pour sécuriser ton serveur IIS:
http://www.microsoft.com/technet/security/tools/locktool.mspx

Courage !

--
@+ - Gabriel
http://www.cerbermail.com/?BHcAtD79oQ

Didier MORANDI
Le #384729
Gabriel wrote plein de trucs intéressants mais...:

La plupart peuvent être supprimés assez facilement dans une
fenêtre dos, avec la commande RD (Remove Directory) et la touche TAB qui
complète le nom automatiquement (pratique pour les caractères
invisibles) certains ont besoin aussi d'être entre guillemets "dossier "
ex:
rd com1
rd "com1 "
rd "com1/"
rd "com1 / /"


les répertoires sont :

" "
" "
" "
" com1 "
" com2 "
" com3 "
" com4 "

Toute tentative par DOS donne :

rd " "
Le chemin d'accès spécifié est introuvable

rd " com1 "
Le fichier spécifié est introuvable

Toute tentative de renommage par TotalCommander échoue. le fichier
reprend son nom alakhôn.

J'essaie LeechFTP et je reviens.

Merci Gab.

D.

PS: Excellent, le cerbermail de l'ami Vincent, mais il ne faut pas être
fluent en anglais pour faire médecine ? :-)

Publicité
Poster une réponse
Anonyme