J'ai découvert avec consternation que "on" avait piraté mon PC via le
serveur FTP, pourtant protégé par un mdp théoriquement difficile à
deviner, et qui plus est j'ai Kaspersky pro qui veille.
J'ai maintenant dans le disque C: cinq dossiers vides, chacun avec 1, 2,
3, 4 et 5 espaces dans le nom et trois nommés com1, com2 et com3, vides
aussi. Ils sont ineffacables et toute tentative de faire quoi que ce
soit dessus me renvoie le message "fichier ou répertoire non trouvé" ou
un truc comme ça (le PC est au bureau, ici j'ai un... iMac :-)
J'ai donc lancé mon bon copain TotalCommander.
Il m'a trouvé dans le com3 un sous dossier machin truc chouette vide
aussi et comme ça sur 6 ou 7 niveaux, puis des dossiers dont les noms
successifs donnent la phrase "h@cked/by/J@ne/for/the/forum" et dans le
répertoire forum il y a des mp3 parfaitement audibles quand on les
double clique.
Maintenant, les questions :
Quelqu'un a déjà vu ça ?
Suis-je en danger malgré Kaspersky ?
Comment les effacer ? Même TotalCommander n'y arrive pas. Il me dit
"aucun fichier n'a été sélectionné" alors que son nom apparaît en
surbrillance. Les mp3, eux, se sont laissés effacer gentiment.
J'ai découvert avec consternation que "on" avait piraté mon PC via le serveur FTP, pourtant protégé par un mdp théoriquement difficile à deviner, et qui plus est j'ai Kaspersky pro qui veille.
J'ai maintenant dans le disque C: cinq dossiers vides, chacun avec 1, 2, 3, 4 et 5 espaces dans le nom et trois nommés com1, com2 et com3, vides aussi. Ils sont ineffacables et toute tentative de faire quoi que ce soit dessus me renvoie le message "fichier ou répertoire non trouvé" ou un truc comme ça (le PC est au bureau, ici j'ai un... iMac :-)
J'ai donc lancé mon bon copain TotalCommander.
Il m'a trouvé dans le com3 un sous dossier machin truc chouette vide aussi et comme ça sur 6 ou 7 niveaux, puis des dossiers dont les noms successifs donnent la phrase "/by//for/the/forum" et dans le répertoire forum il y a des mp3 parfaitement audibles quand on les double clique.
Maintenant, les questions :
Quelqu'un a déjà vu ça ?
Vu, non, mais pas mal entendu parler... tu devais avoir un accès anonymous ouvert en écriture...
Suis-je en danger malgré Kaspersky ?
Un anti-virus n'est pas un pare-feu et ne protège pas contre les "scanneurs"
-- ~Jean-Marc~ MSAE & MVP Windows XP Fr - http://perso.wanadoo.fr/doc.jm/ - http://msmvps.com/docxp/ - Aide en DIRECT sur IRC : irc://irc.akro-net.org:6667 canal : #mschat Aide en DIRECT sur Internet : http://communautes-ms.akro-net.org/
Salutations *Didier Morandi* !
tu nous disais :
J'ai découvert avec consternation que "on" avait piraté mon PC via le
serveur FTP, pourtant protégé par un mdp théoriquement difficile à
deviner, et qui plus est j'ai Kaspersky pro qui veille.
J'ai maintenant dans le disque C: cinq dossiers vides, chacun avec 1,
2, 3, 4 et 5 espaces dans le nom et trois nommés com1, com2 et com3,
vides aussi. Ils sont ineffacables et toute tentative de faire quoi
que ce soit dessus me renvoie le message "fichier ou répertoire non
trouvé" ou un truc comme ça (le PC est au bureau, ici j'ai un... iMac
:-)
J'ai donc lancé mon bon copain TotalCommander.
Il m'a trouvé dans le com3 un sous dossier machin truc chouette vide
aussi et comme ça sur 6 ou 7 niveaux, puis des dossiers dont les noms
successifs donnent la phrase "h@cked/by/J@ne/for/the/forum" et dans le
répertoire forum il y a des mp3 parfaitement audibles quand on les
double clique.
Maintenant, les questions :
Quelqu'un a déjà vu ça ?
Vu, non, mais pas mal entendu parler... tu devais avoir un accès anonymous
ouvert en écriture...
Suis-je en danger malgré Kaspersky ?
Un anti-virus n'est pas un pare-feu et ne protège pas contre les "scanneurs"
--
~Jean-Marc~ doc.j-m.OTER@ouanadoudou.fr MSAE & MVP Windows XP Fr
- http://perso.wanadoo.fr/doc.jm/ - http://msmvps.com/docxp/ -
Aide en DIRECT sur IRC : irc://irc.akro-net.org:6667 canal : #mschat
Aide en DIRECT sur Internet : http://communautes-ms.akro-net.org/
J'ai découvert avec consternation que "on" avait piraté mon PC via le serveur FTP, pourtant protégé par un mdp théoriquement difficile à deviner, et qui plus est j'ai Kaspersky pro qui veille.
J'ai maintenant dans le disque C: cinq dossiers vides, chacun avec 1, 2, 3, 4 et 5 espaces dans le nom et trois nommés com1, com2 et com3, vides aussi. Ils sont ineffacables et toute tentative de faire quoi que ce soit dessus me renvoie le message "fichier ou répertoire non trouvé" ou un truc comme ça (le PC est au bureau, ici j'ai un... iMac :-)
J'ai donc lancé mon bon copain TotalCommander.
Il m'a trouvé dans le com3 un sous dossier machin truc chouette vide aussi et comme ça sur 6 ou 7 niveaux, puis des dossiers dont les noms successifs donnent la phrase "/by//for/the/forum" et dans le répertoire forum il y a des mp3 parfaitement audibles quand on les double clique.
Maintenant, les questions :
Quelqu'un a déjà vu ça ?
Vu, non, mais pas mal entendu parler... tu devais avoir un accès anonymous ouvert en écriture...
Suis-je en danger malgré Kaspersky ?
Un anti-virus n'est pas un pare-feu et ne protège pas contre les "scanneurs"
-- ~Jean-Marc~ MSAE & MVP Windows XP Fr - http://perso.wanadoo.fr/doc.jm/ - http://msmvps.com/docxp/ - Aide en DIRECT sur IRC : irc://irc.akro-net.org:6667 canal : #mschat Aide en DIRECT sur Internet : http://communautes-ms.akro-net.org/
Merci Jean-Marc, mais les fichiers comprenant (astucieusement) des espaces dans leur nom, pas moyen d'utiliser DOS.
Autre idée stp ? Merci.
D.
JF
Didier MORANDI a dit : | Merci Jean-Marc, mais les fichiers comprenant (astucieusement) des | espaces dans leur nom, pas moyen d'utiliser DOS. | | Autre idée stp ? | Merci. | | D.
Bonjour Didier (et JM) Et en mettant des guillemets ? Habituellement dir /x affiche les noms courts.
-- Pour trouver des réponses : 1- http://perso.wanadoo.fr/doc.jm/liens.htm 2- http://groups.google.com 3- Outlook Express : faire [MAJ+F3], puis [F3] 4- Outlook Express : Suivez vos fils : [CTL+H] - Salutations, JF
Didier MORANDI a dit :
| Merci Jean-Marc, mais les fichiers comprenant (astucieusement) des
| espaces dans leur nom, pas moyen d'utiliser DOS.
|
| Autre idée stp ?
| Merci.
|
| D.
Bonjour Didier (et JM)
Et en mettant des guillemets ?
Habituellement dir /x affiche les noms courts.
--
Pour trouver des réponses :
1- http://perso.wanadoo.fr/doc.jm/liens.htm
2- http://groups.google.com
3- Outlook Express : faire [MAJ+F3], puis [F3]
4- Outlook Express : Suivez vos fils : [CTL+H]
- Salutations, JF
Didier MORANDI a dit : | Merci Jean-Marc, mais les fichiers comprenant (astucieusement) des | espaces dans leur nom, pas moyen d'utiliser DOS. | | Autre idée stp ? | Merci. | | D.
Bonjour Didier (et JM) Et en mettant des guillemets ? Habituellement dir /x affiche les noms courts.
-- Pour trouver des réponses : 1- http://perso.wanadoo.fr/doc.jm/liens.htm 2- http://groups.google.com 3- Outlook Express : faire [MAJ+F3], puis [F3] 4- Outlook Express : Suivez vos fils : [CTL+H] - Salutations, JF
Phil
"Didier MORANDI" a écrit dans le message de news:409f2bee$0$20744$
Merci Jean-Marc, mais les fichiers comprenant (astucieusement) des espaces dans leur nom, pas moyen d'utiliser DOS.
Autre idée stp ?
Bonjour !
Oui, la proposition de Jean Marc ne peut pas fonctionner car le hacking se base sur des outils Unix la plupart du temps ! Il faut en fait utiliser les fonctions du sous système POSIX pour supprimer ce genre de répertoires ! Un coup d'oeil ici devrait pouvoir vous aider je pense :
- http://support.microsoft.com/?kbid0716
Cordialement,
Phil
"Didier MORANDI" <no@spam.com> a écrit dans le message de
news:409f2bee$0$20744$626a14ce@news.free.fr...
Merci Jean-Marc, mais les fichiers comprenant (astucieusement) des
espaces dans leur nom, pas moyen d'utiliser DOS.
Autre idée stp ?
Bonjour !
Oui, la proposition de Jean Marc ne peut pas fonctionner car le hacking se
base sur des outils Unix la plupart du temps !
Il faut en fait utiliser les fonctions du sous système POSIX pour supprimer
ce genre de répertoires !
Un coup d'oeil ici devrait pouvoir vous aider je pense :
Merci Jean-Marc, mais les fichiers comprenant (astucieusement) des espaces dans leur nom, pas moyen d'utiliser DOS.
Autre idée stp ?
Bonjour !
Oui, la proposition de Jean Marc ne peut pas fonctionner car le hacking se base sur des outils Unix la plupart du temps ! Il faut en fait utiliser les fonctions du sous système POSIX pour supprimer ce genre de répertoires ! Un coup d'oeil ici devrait pouvoir vous aider je pense :
- http://support.microsoft.com/?kbid0716
Cordialement,
Phil
JF
Phil a dit : | Il faut en fait utiliser les fonctions du sous système POSIX
Bonjour Phil Ah voilà quelque chose qui semble inconnu de pgriffet: http://forum.pcastuces.com/sujet.asp?SUJET_ID$46
Dans ce cas, est-ce que Knoppix peut être une aide ?
-- Pour trouver des réponses : 1- http://perso.wanadoo.fr/doc.jm/liens.htm 2- http://groups.google.com 3- Outlook Express : faire [MAJ+F3], puis [F3] 4- Outlook Express : Suivez vos fils : [CTL+H] - Salutations, JF
Phil a dit :
| Il faut en fait utiliser les fonctions du sous système POSIX
Bonjour Phil
Ah voilà quelque chose qui semble inconnu de pgriffet:
http://forum.pcastuces.com/sujet.asp?SUJET_ID$46
Dans ce cas, est-ce que Knoppix peut être une aide ?
--
Pour trouver des réponses :
1- http://perso.wanadoo.fr/doc.jm/liens.htm
2- http://groups.google.com
3- Outlook Express : faire [MAJ+F3], puis [F3]
4- Outlook Express : Suivez vos fils : [CTL+H]
- Salutations, JF
Phil a dit : | Il faut en fait utiliser les fonctions du sous système POSIX
Bonjour Phil Ah voilà quelque chose qui semble inconnu de pgriffet: http://forum.pcastuces.com/sujet.asp?SUJET_ID$46
Dans ce cas, est-ce que Knoppix peut être une aide ?
-- Pour trouver des réponses : 1- http://perso.wanadoo.fr/doc.jm/liens.htm 2- http://groups.google.com 3- Outlook Express : faire [MAJ+F3], puis [F3] 4- Outlook Express : Suivez vos fils : [CTL+H] - Salutations, JF
Didier MORANDI
JF wrote:
Didier MORANDI a dit : | Merci Jean-Marc, mais les fichiers comprenant (astucieusement) des | espaces dans leur nom, pas moyen d'utiliser DOS. | | Autre idée stp ? | Merci. | | D.
Bonjour Didier (et JM) Et en mettant des guillemets ? Habituellement dir /x affiche les noms courts.
C:> rd .c:" "
"Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus".
Dois-je démarrer en DOS ? Si oui, comment ? A partir d'une disquette ? Alors ma partition NTFS sera invisible ?
D.
JF wrote:
Didier MORANDI a dit :
| Merci Jean-Marc, mais les fichiers comprenant (astucieusement) des
| espaces dans leur nom, pas moyen d'utiliser DOS.
|
| Autre idée stp ?
| Merci.
|
| D.
Bonjour Didier (et JM)
Et en mettant des guillemets ?
Habituellement dir /x affiche les noms courts.
C:> rd \.c:" "
"Le processus ne peut pas accéder au fichier car ce fichier est utilisé
par un autre processus".
Dois-je démarrer en DOS ? Si oui, comment ? A partir d'une disquette ?
Alors ma partition NTFS sera invisible ?
Didier MORANDI a dit : | Merci Jean-Marc, mais les fichiers comprenant (astucieusement) des | espaces dans leur nom, pas moyen d'utiliser DOS. | | Autre idée stp ? | Merci. | | D.
Bonjour Didier (et JM) Et en mettant des guillemets ? Habituellement dir /x affiche les noms courts.
C:> rd .c:" "
"Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus".
Dois-je démarrer en DOS ? Si oui, comment ? A partir d'une disquette ? Alors ma partition NTFS sera invisible ?
D.
JF
Didier MORANDI a dit : | C:> rd .c:" " | | "Le processus ne peut pas accéder au fichier car ce fichier est | utilisé par un autre processus".
Il y a du mieux alors.
Voir cette méthode ci-dessous et surtout WhoLockMe, cette petite merveille.
Suppression en arrêtant Explorer Le process qui empêche la suppression est souvent Explorer lui-même: - Quitter les programmes en cours - CTL+ALT+Suppr pour démarrer le Gestionnaire - Arrêter le Processus Explorer - Menu Fichier>Nouvelle tâche - Bouton Parcourir - Naviguer jusqu'au fichier et ... - Supprimer Essayer de supprimer le dossier. Ou passer par le mode Commande (CMD.exe)
Quel processus empêche la suppression ? Réponse avec WhoLockMe: www.dr-hoiby.com/tools.html
| Dois-je démarrer en DOS ? Si oui, comment ? A partir d'une disquette ? | Alors ma partition NTFS sera invisible ? Oui elle sera invisible. Utiliser PE-Builder ou Knoppix.
Knoppix http://sebsauvage.net/logiciels/knoppix.html http://www.framasoft.net/article1363.html Attention avec NTFS: http://www.tomshardware.fr/articleslg.php?IdArticleV8&NumPage=4 Mais pour supprimer des dossiers, je crois que c'est ok. Peux pas le garantir...
-- Pour trouver des réponses : 1- http://perso.wanadoo.fr/doc.jm/liens.htm 2- http://groups.google.com 3- Outlook Express : faire [MAJ+F3], puis [F3] 4- Outlook Express : Suivez vos fils : [CTL+H] - Salutations, JF
Didier MORANDI a dit :
| C:> rd \.c:" "
|
| "Le processus ne peut pas accéder au fichier car ce fichier est
| utilisé par un autre processus".
Il y a du mieux alors.
Voir cette méthode ci-dessous et surtout WhoLockMe, cette petite merveille.
Suppression en arrêtant Explorer
Le process qui empêche la suppression
est souvent Explorer lui-même:
- Quitter les programmes en cours
- CTL+ALT+Suppr pour démarrer le Gestionnaire
- Arrêter le Processus Explorer
- Menu Fichier>Nouvelle tâche
- Bouton Parcourir
- Naviguer jusqu'au fichier et ...
- Supprimer
Essayer de supprimer le dossier.
Ou passer par le mode Commande (CMD.exe)
Quel processus empêche la suppression ?
Réponse avec WhoLockMe:
www.dr-hoiby.com/tools.html
| Dois-je démarrer en DOS ? Si oui, comment ? A partir d'une disquette ?
| Alors ma partition NTFS sera invisible ?
Oui elle sera invisible.
Utiliser PE-Builder ou Knoppix.
Knoppix
http://sebsauvage.net/logiciels/knoppix.html
http://www.framasoft.net/article1363.html
Attention avec NTFS:
http://www.tomshardware.fr/articleslg.php?IdArticleV8&NumPage=4
Mais pour supprimer des dossiers, je crois que c'est ok. Peux pas le garantir...
--
Pour trouver des réponses :
1- http://perso.wanadoo.fr/doc.jm/liens.htm
2- http://groups.google.com
3- Outlook Express : faire [MAJ+F3], puis [F3]
4- Outlook Express : Suivez vos fils : [CTL+H]
- Salutations, JF
Didier MORANDI a dit : | C:> rd .c:" " | | "Le processus ne peut pas accéder au fichier car ce fichier est | utilisé par un autre processus".
Il y a du mieux alors.
Voir cette méthode ci-dessous et surtout WhoLockMe, cette petite merveille.
Suppression en arrêtant Explorer Le process qui empêche la suppression est souvent Explorer lui-même: - Quitter les programmes en cours - CTL+ALT+Suppr pour démarrer le Gestionnaire - Arrêter le Processus Explorer - Menu Fichier>Nouvelle tâche - Bouton Parcourir - Naviguer jusqu'au fichier et ... - Supprimer Essayer de supprimer le dossier. Ou passer par le mode Commande (CMD.exe)
Quel processus empêche la suppression ? Réponse avec WhoLockMe: www.dr-hoiby.com/tools.html
| Dois-je démarrer en DOS ? Si oui, comment ? A partir d'une disquette ? | Alors ma partition NTFS sera invisible ? Oui elle sera invisible. Utiliser PE-Builder ou Knoppix.
Knoppix http://sebsauvage.net/logiciels/knoppix.html http://www.framasoft.net/article1363.html Attention avec NTFS: http://www.tomshardware.fr/articleslg.php?IdArticleV8&NumPage=4 Mais pour supprimer des dossiers, je crois que c'est ok. Peux pas le garantir...
-- Pour trouver des réponses : 1- http://perso.wanadoo.fr/doc.jm/liens.htm 2- http://groups.google.com 3- Outlook Express : faire [MAJ+F3], puis [F3] 4- Outlook Express : Suivez vos fils : [CTL+H] - Salutations, JF
Didier MORANDI
Phil wrote:
Oui, la proposition de Jean Marc ne peut pas fonctionner car le hacking se base sur des outils Unix la plupart du temps ! Il faut en fait utiliser les fonctions du sous système POSIX pour supprimer ce genre de répertoires ! Un coup d'oeil ici devrait pouvoir vous aider je pense :
- http://support.microsoft.com/?kbid0716
j'ai fouillé tous mes CD TechNet et MSDN, pas de Windows Resource Kit !.. et gougle m'envoie 3070 pages à feuilleter pour rm.exe :-(
Qqun aurait une version downloadable svp ?
Merci.
D.
Phil wrote:
Oui, la proposition de Jean Marc ne peut pas fonctionner car le hacking se
base sur des outils Unix la plupart du temps !
Il faut en fait utiliser les fonctions du sous système POSIX pour supprimer
ce genre de répertoires !
Un coup d'oeil ici devrait pouvoir vous aider je pense :
- http://support.microsoft.com/?kbid0716
j'ai fouillé tous mes CD TechNet et MSDN, pas de Windows Resource Kit
!.. et gougle m'envoie 3070 pages à feuilleter pour rm.exe :-(
Oui, la proposition de Jean Marc ne peut pas fonctionner car le hacking se base sur des outils Unix la plupart du temps ! Il faut en fait utiliser les fonctions du sous système POSIX pour supprimer ce genre de répertoires ! Un coup d'oeil ici devrait pouvoir vous aider je pense :
- http://support.microsoft.com/?kbid0716
j'ai fouillé tous mes CD TechNet et MSDN, pas de Windows Resource Kit !.. et gougle m'envoie 3070 pages à feuilleter pour rm.exe :-(
Qqun aurait une version downloadable svp ?
Merci.
D.
Gabriel
Dans le message:c7lqcl$9v5$, Didier Morandi disait:
Bonsoir,
Bonjour Didier,
J'ai découvert avec consternation que "on" avait piraté mon PC via le serveur FTP, pourtant protégé par un mdp théoriquement difficile à
Piraté c'est un bien grand mot, un type a bêtement scanné des adresses IP au hasard avec un logiciel qui permet de faire une tentative d'écriture sur tous les FTP ou il peut se connecter en Anonymous...
deviner, et qui plus est j'ai Kaspersky pro qui veille.
Si tu parles de Kaspersky anti-hacker, que j'ai eu loisir de tester, c'est un pur gadget que je te conseil de le désinstaller, ton système n'en sera que plus allégé. Active plutôt le firewall de Windows XP. Mais de toute façon si le compte Anonymous est activé ça ne change pas grand chose...
Si il s'agit de Kaspersky Anti virus, c'est un bon choix mais aucun rapport avec le fait que l'on puisse se connecter à ton serveur FTP.
J'ai maintenant dans le disque C: cinq dossiers vides, chacun avec 1, 2, 3, 4 et 5 espaces dans le nom et trois nommés com1, com2 et com3, vides aussi. Ils sont ineffacables et toute tentative de faire quoi que ce soit dessus me renvoie le message "fichier ou répertoire non trouvé" ou un truc comme ça (le PC est au bureau, ici j'ai un... iMac :-) [...]
Maintenant, les questions : Quelqu'un a déjà vu ça ?
Bien sûr, c'est très répandu, un peu moins depuis la monté en puissance du P2P mais c'est vieux comme internet. Il ne s'agit que de personnes comme toi et moi qui veulent s'échanger de la musique, des films, des logiciels, bd, jeux etc...ils ont besoin de place pour stocker les fichiers et les partager avec d'autres personnes, donc ils scannent des adresses IP au hasard, upload les fichiers et publient l'adresse du FTP sur un forum. ex: ftp://xxx.xxx.xxx.xxx/com1 / / / //by//for/the/forum/
Suis-je en danger malgré Kaspersky ?
Ni plus ni moins que sans.
Comment les effacer ? Même TotalCommander n'y arrive pas. Il me dit "aucun fichier n'a été sélectionné" alors que son nom apparaît en surbrillance. Les mp3, eux, se sont laissés effacer gentiment.
Le problème c'est que parfois il ne s'agit pas d'espace dans les noms mais de caractères invisible réalisé avec ALT + 0160 ou ALT + 0255. De plus, certains "mots" sont réservés au système et il n'est pas possible de créer des répertoires avec ces "mots" par exemple si tu essayes, tu verras qu'il n'est pas possible de créer un répertoire AUX, COMn, CON, LPTn, NUL (n=1, 2, 3, 4)
En revanche, par une simple manipulation (et à cause d'un bug Microsoft IIS) il est possible de créer ce genre de répertoire avec un client FTP et de la même façon il est aussi simple de les effacer. Toutes ces astuces ont vu le jour afin de protéger les fichiers contre l'effacement et ainsi partager plus longtemps mais comme dans tout les domaines quand il y a une protection quelque part, il y a toujours quelqu'un pour la casser :)
Dans le plus simple des cas ces répertoires sont nommés avec les caractères "" ou "/" à la fin du nom ce qui empêche la suppression mais il y a beaucoup d'autre combinaisons possible, com1/, com1, com1 / /, com1 //, etc... bien sur les barres obliques n'apparaissent pas un fois le répertoire créé.
La plupart peuvent être supprimés assez facilement dans une fenêtre dos, avec la commande RD (Remove Directory) et la touche TAB qui complète le nom automatiquement (pratique pour les caractères invisibles) certains ont besoin aussi d'être entre guillemets "dossier " ex: rd com1 rd "com1 " rd "com1/" rd "com1 / /"
il faut que les répertoires soient vident sinon ça ne fonctionnera pas.
Certains peuvent être "débloqués" par renommage avec les commandes FTP "RNTO" et "RNFR" pour ça il te faut un client FTP capable d'envoyer des Commandes brutes (Raw Commands) comme ce bon vieux LeechFTP freeware ou l'excellent FlashFXP shareware.
Si jamais tu n'y parviens pas, n'hésites pas à me contacter par mail, j'y jetterai un oeil.
Je te conseil également d'aller voir ici pour sécuriser ton serveur IIS: http://www.microsoft.com/technet/security/tools/locktool.mspx
Courage !
-- @+ - Gabriel http://www.cerbermail.com/?BHcAtD79oQ
Dans le message:c7lqcl$9v5$1@biggoron.nerim.net,
Didier Morandi <no@spam.com> disait:
Bonsoir,
Bonjour Didier,
J'ai découvert avec consternation que "on" avait piraté mon PC via le
serveur FTP, pourtant protégé par un mdp théoriquement difficile à
Piraté c'est un bien grand mot, un type a bêtement scanné des adresses
IP au hasard avec un logiciel qui permet de faire une tentative
d'écriture sur tous les FTP ou il peut se connecter en Anonymous...
deviner, et qui plus est j'ai Kaspersky pro qui veille.
Si tu parles de Kaspersky anti-hacker, que j'ai eu loisir de tester,
c'est un pur gadget que je te conseil de le désinstaller, ton système
n'en
sera que plus allégé. Active plutôt le firewall de Windows XP. Mais de
toute façon si le compte Anonymous est activé ça ne change pas grand
chose...
Si il s'agit de Kaspersky Anti virus, c'est un bon choix mais aucun
rapport avec le fait que l'on puisse se connecter à ton serveur FTP.
J'ai maintenant dans le disque C: cinq dossiers vides, chacun avec 1,
2, 3, 4 et 5 espaces dans le nom et trois nommés com1, com2 et com3,
vides aussi. Ils sont ineffacables et toute tentative de faire quoi
que ce soit dessus me renvoie le message "fichier ou répertoire non
trouvé" ou un truc comme ça (le PC est au bureau, ici j'ai un... iMac
:-)
[...]
Maintenant, les questions :
Quelqu'un a déjà vu ça ?
Bien sûr, c'est très répandu, un peu moins depuis la monté en puissance
du P2P mais c'est vieux comme internet.
Il ne s'agit que de personnes comme toi et moi qui veulent s'échanger de
la musique, des films, des logiciels, bd, jeux etc...ils ont besoin de
place pour stocker les fichiers et les partager avec d'autres personnes,
donc ils scannent des adresses IP au hasard, upload les fichiers et
publient l'adresse du FTP sur un forum.
ex: ftp://xxx.xxx.xxx.xxx/com1 / / / /h@cked/by/J@ne/for/the/forum/
Suis-je en danger malgré Kaspersky ?
Ni plus ni moins que sans.
Comment les effacer ? Même TotalCommander n'y arrive pas. Il me dit
"aucun fichier n'a été sélectionné" alors que son nom apparaît en
surbrillance. Les mp3, eux, se sont laissés effacer gentiment.
Le problème c'est que parfois il ne s'agit pas d'espace dans les noms
mais de caractères invisible réalisé avec ALT + 0160 ou ALT + 0255.
De plus, certains "mots" sont réservés au système et il n'est pas
possible de créer des répertoires avec ces "mots" par exemple si tu
essayes, tu verras qu'il n'est pas possible de créer un répertoire AUX,
COMn, CON, LPTn, NUL (n=1, 2, 3, 4)
En revanche, par une simple manipulation (et à cause d'un bug Microsoft
IIS)
il est possible de créer ce genre de répertoire avec un client FTP et de
la même façon il est aussi simple de les effacer.
Toutes ces astuces ont vu le jour afin de protéger les fichiers contre
l'effacement et ainsi partager plus longtemps mais comme dans tout les
domaines quand il y a une protection quelque part, il y a toujours
quelqu'un pour la casser :)
Dans le plus simple des cas ces répertoires sont nommés avec les
caractères "" ou "/" à la fin du nom ce qui empêche la suppression
mais il y a beaucoup d'autre combinaisons possible, com1/, com1, com1 /
/, com1 //, etc...
bien sur les barres obliques n'apparaissent pas un fois le répertoire
créé.
La plupart peuvent être supprimés assez facilement dans une
fenêtre dos, avec la commande RD (Remove Directory) et la touche TAB qui
complète le nom automatiquement (pratique pour les caractères
invisibles) certains ont besoin aussi d'être entre guillemets "dossier "
ex:
rd com1
rd "com1 "
rd "com1/"
rd "com1 / /"
il faut que les répertoires soient vident sinon ça ne fonctionnera pas.
Certains peuvent être "débloqués" par renommage avec les commandes FTP
"RNTO" et "RNFR" pour ça il te faut un client FTP capable d'envoyer des
Commandes brutes (Raw Commands) comme ce bon vieux LeechFTP freeware ou
l'excellent FlashFXP shareware.
Si jamais tu n'y parviens pas, n'hésites pas à me contacter par mail,
j'y jetterai un oeil.
Je te conseil également d'aller voir ici pour sécuriser ton serveur IIS:
http://www.microsoft.com/technet/security/tools/locktool.mspx
Courage !
--
@+ - Gabriel
http://www.cerbermail.com/?BHcAtD79oQ
Dans le message:c7lqcl$9v5$, Didier Morandi disait:
Bonsoir,
Bonjour Didier,
J'ai découvert avec consternation que "on" avait piraté mon PC via le serveur FTP, pourtant protégé par un mdp théoriquement difficile à
Piraté c'est un bien grand mot, un type a bêtement scanné des adresses IP au hasard avec un logiciel qui permet de faire une tentative d'écriture sur tous les FTP ou il peut se connecter en Anonymous...
deviner, et qui plus est j'ai Kaspersky pro qui veille.
Si tu parles de Kaspersky anti-hacker, que j'ai eu loisir de tester, c'est un pur gadget que je te conseil de le désinstaller, ton système n'en sera que plus allégé. Active plutôt le firewall de Windows XP. Mais de toute façon si le compte Anonymous est activé ça ne change pas grand chose...
Si il s'agit de Kaspersky Anti virus, c'est un bon choix mais aucun rapport avec le fait que l'on puisse se connecter à ton serveur FTP.
J'ai maintenant dans le disque C: cinq dossiers vides, chacun avec 1, 2, 3, 4 et 5 espaces dans le nom et trois nommés com1, com2 et com3, vides aussi. Ils sont ineffacables et toute tentative de faire quoi que ce soit dessus me renvoie le message "fichier ou répertoire non trouvé" ou un truc comme ça (le PC est au bureau, ici j'ai un... iMac :-) [...]
Maintenant, les questions : Quelqu'un a déjà vu ça ?
Bien sûr, c'est très répandu, un peu moins depuis la monté en puissance du P2P mais c'est vieux comme internet. Il ne s'agit que de personnes comme toi et moi qui veulent s'échanger de la musique, des films, des logiciels, bd, jeux etc...ils ont besoin de place pour stocker les fichiers et les partager avec d'autres personnes, donc ils scannent des adresses IP au hasard, upload les fichiers et publient l'adresse du FTP sur un forum. ex: ftp://xxx.xxx.xxx.xxx/com1 / / / //by//for/the/forum/
Suis-je en danger malgré Kaspersky ?
Ni plus ni moins que sans.
Comment les effacer ? Même TotalCommander n'y arrive pas. Il me dit "aucun fichier n'a été sélectionné" alors que son nom apparaît en surbrillance. Les mp3, eux, se sont laissés effacer gentiment.
Le problème c'est que parfois il ne s'agit pas d'espace dans les noms mais de caractères invisible réalisé avec ALT + 0160 ou ALT + 0255. De plus, certains "mots" sont réservés au système et il n'est pas possible de créer des répertoires avec ces "mots" par exemple si tu essayes, tu verras qu'il n'est pas possible de créer un répertoire AUX, COMn, CON, LPTn, NUL (n=1, 2, 3, 4)
En revanche, par une simple manipulation (et à cause d'un bug Microsoft IIS) il est possible de créer ce genre de répertoire avec un client FTP et de la même façon il est aussi simple de les effacer. Toutes ces astuces ont vu le jour afin de protéger les fichiers contre l'effacement et ainsi partager plus longtemps mais comme dans tout les domaines quand il y a une protection quelque part, il y a toujours quelqu'un pour la casser :)
Dans le plus simple des cas ces répertoires sont nommés avec les caractères "" ou "/" à la fin du nom ce qui empêche la suppression mais il y a beaucoup d'autre combinaisons possible, com1/, com1, com1 / /, com1 //, etc... bien sur les barres obliques n'apparaissent pas un fois le répertoire créé.
La plupart peuvent être supprimés assez facilement dans une fenêtre dos, avec la commande RD (Remove Directory) et la touche TAB qui complète le nom automatiquement (pratique pour les caractères invisibles) certains ont besoin aussi d'être entre guillemets "dossier " ex: rd com1 rd "com1 " rd "com1/" rd "com1 / /"
il faut que les répertoires soient vident sinon ça ne fonctionnera pas.
Certains peuvent être "débloqués" par renommage avec les commandes FTP "RNTO" et "RNFR" pour ça il te faut un client FTP capable d'envoyer des Commandes brutes (Raw Commands) comme ce bon vieux LeechFTP freeware ou l'excellent FlashFXP shareware.
Si jamais tu n'y parviens pas, n'hésites pas à me contacter par mail, j'y jetterai un oeil.
Je te conseil également d'aller voir ici pour sécuriser ton serveur IIS: http://www.microsoft.com/technet/security/tools/locktool.mspx
Courage !
-- @+ - Gabriel http://www.cerbermail.com/?BHcAtD79oQ
Didier MORANDI
Gabriel wrote plein de trucs intéressants mais...:
La plupart peuvent être supprimés assez facilement dans une fenêtre dos, avec la commande RD (Remove Directory) et la touche TAB qui complète le nom automatiquement (pratique pour les caractères invisibles) certains ont besoin aussi d'être entre guillemets "dossier " ex: rd com1 rd "com1 " rd "com1/" rd "com1 / /"
les répertoires sont :
" " " " " " " com1 " " com2 " " com3 " " com4 "
Toute tentative par DOS donne :
rd " " Le chemin d'accès spécifié est introuvable
rd " com1 " Le fichier spécifié est introuvable
Toute tentative de renommage par TotalCommander échoue. le fichier reprend son nom alakhôn.
J'essaie LeechFTP et je reviens.
Merci Gab.
D.
PS: Excellent, le cerbermail de l'ami Vincent, mais il ne faut pas être fluent en anglais pour faire médecine ? :-)
Gabriel wrote plein de trucs intéressants mais...:
La plupart peuvent être supprimés assez facilement dans une
fenêtre dos, avec la commande RD (Remove Directory) et la touche TAB qui
complète le nom automatiquement (pratique pour les caractères
invisibles) certains ont besoin aussi d'être entre guillemets "dossier "
ex:
rd com1
rd "com1 "
rd "com1/"
rd "com1 / /"
les répertoires sont :
" "
" "
" "
" com1 "
" com2 "
" com3 "
" com4 "
Toute tentative par DOS donne :
rd " "
Le chemin d'accès spécifié est introuvable
rd " com1 "
Le fichier spécifié est introuvable
Toute tentative de renommage par TotalCommander échoue. le fichier
reprend son nom alakhôn.
J'essaie LeechFTP et je reviens.
Merci Gab.
D.
PS: Excellent, le cerbermail de l'ami Vincent, mais il ne faut pas être
fluent en anglais pour faire médecine ? :-)
Gabriel wrote plein de trucs intéressants mais...:
La plupart peuvent être supprimés assez facilement dans une fenêtre dos, avec la commande RD (Remove Directory) et la touche TAB qui complète le nom automatiquement (pratique pour les caractères invisibles) certains ont besoin aussi d'être entre guillemets "dossier " ex: rd com1 rd "com1 " rd "com1/" rd "com1 / /"
les répertoires sont :
" " " " " " " com1 " " com2 " " com3 " " com4 "
Toute tentative par DOS donne :
rd " " Le chemin d'accès spécifié est introuvable
rd " com1 " Le fichier spécifié est introuvable
Toute tentative de renommage par TotalCommander échoue. le fichier reprend son nom alakhôn.
J'essaie LeechFTP et je reviens.
Merci Gab.
D.
PS: Excellent, le cerbermail de l'ami Vincent, mais il ne faut pas être fluent en anglais pour faire médecine ? :-)