je reçois depuis quelques jours des messages via le "Service Affichage des
messages"
"Message de System à You
****************** WARNING: This message confirms your system is VULNERABLE
to attacks **************
The reception of onnoying messenger pop-up ads confirms that your system is
vulnerable to viruses
and attacks by malicious hackers
......
Go to: www.MessageDefender.com now !"
Bien entendu, je ne suis pas allé sur ce site qui doit contenir des virus.
Je tourne sous XP Pro SP1 avec un FW Kerio 2.1.5 et les régles proposées par
le site http://the.dark.sniper.free.fr/Progs/Kerio/
Une préférence au nmap sur le même brin plutôt qu'un service distant
A priori, il s'agit d'un PC "isolé" connecté directement à Internet (sinon il y a des chances pour que le firewall du LAN ait déjà bloqué le port 135), du coup le "même brin" n'est pas forcément facilement accessible...
On 06 Jan 2004 15:54:51 GMT, "Eric Razny" <news_01@razny.net> wrote:
Une préférence au nmap sur le même brin
plutôt qu'un service distant
A priori, il s'agit d'un PC "isolé" connecté directement à Internet
(sinon il y a des chances pour que le firewall du LAN ait déjà bloqué
le port 135), du coup le "même brin" n'est pas forcément facilement
accessible...
Une préférence au nmap sur le même brin plutôt qu'un service distant
A priori, il s'agit d'un PC "isolé" connecté directement à Internet (sinon il y a des chances pour que le firewall du LAN ait déjà bloqué le port 135), du coup le "même brin" n'est pas forcément facilement accessible...
* Dans le cas ou une faille (allez, au hazard... ... IE!) permet a un * utilisateur de lancer quelque chose en local ce n'est pas la peine (même si * sous Windows il y a des chance qu'à ce stade ce soit trop tard) de laisser
il suffit d'avoir le port 135 de bloqué... a la limite jusqu'au 139
-- @++++Jceel - MVP Win, I E, Media Player
En vérité je te le dis mais sous O E internaute indécis pour le HacheuTeuMeuLeu seul le click droit Control+F deux la lumière t'apportera C'est ce qu'il y a de mieux netevangile..selon Jceel.livre du windows.psaume alt-255..verset ÿp Jceel http://jceel.free.fr l'hyper du gratuit du net Founding Chairman of the International Pebkac Busters Company
Bonjour ...Eric Razny qui nous as a dit
* Dans le cas ou une faille (allez, au hazard... ... IE!) permet a un
* utilisateur de lancer quelque chose en local ce n'est pas la peine
(même si
* sous Windows il y a des chance qu'à ce stade ce soit trop tard) de
laisser
il suffit d'avoir le port 135 de bloqué... a la limite jusqu'au 139
--
@++++Jceel - MVP Win, I E, Media Player
En vérité je te le dis mais sous O E
internaute indécis pour le HacheuTeuMeuLeu
seul le click droit Control+F deux
la lumière t'apportera C'est ce qu'il y a de mieux
netevangile..selon Jceel.livre du windows.psaume alt-255..verset ÿp
Jceel http://jceel.free.fr l'hyper du gratuit du net
Founding Chairman of the International Pebkac Busters Company
* Dans le cas ou une faille (allez, au hazard... ... IE!) permet a un * utilisateur de lancer quelque chose en local ce n'est pas la peine (même si * sous Windows il y a des chance qu'à ce stade ce soit trop tard) de laisser
il suffit d'avoir le port 135 de bloqué... a la limite jusqu'au 139
-- @++++Jceel - MVP Win, I E, Media Player
En vérité je te le dis mais sous O E internaute indécis pour le HacheuTeuMeuLeu seul le click droit Control+F deux la lumière t'apportera C'est ce qu'il y a de mieux netevangile..selon Jceel.livre du windows.psaume alt-255..verset ÿp Jceel http://jceel.free.fr l'hyper du gratuit du net Founding Chairman of the International Pebkac Busters Company
Gilles RONSIN
"Eric Razny" , le mar. 06 janv. 2004 16:54:51, écrivait ceci:
Salut,
ce service n'est pas une faille. Il permet à un administrateur réseau de communiquer avec l'ensemble des pc le constituant. Cette fonction, il est vrai, est limitée dans le cas d'un pc isolé, par contre il me semble que certains antivirus utilisent cette fonction pour rapporter l'état d'analyse.
Où ais-je dis que ce service est une faille??
Désolé. C'est pas ce qui était écrit.
Je m'en sers à l'occasion (rarement certes). Je dis simplement que n'importe quel service (openssh par exemple...) peut un jour être l'objet d'une faille et qu'il me parait *donc* utile, sinon indispensable, de ne pas faire tourner un service qui ne sert pas pour ne pas être une future victime potentielle. Dans ce sens le fait qu'un FW bloque l'accès à ce service de l'extérieur est, amha, insuffisant si, par exemple, une machine locale est compromise.
Ce service à toutefois une fonction AMHA très utile .... celle de révéler à l'utilisateur (même profane) que sa sécurité est percée. Dans le cas où un néfaste désactive le FW, ce message averti d'une anomalie. (Je sais, c'est pas très académique, juste un plus)
-- Embryon de site : http://gilles.ronsin.free.fr Nouveau: un JukeBox pour DaemonTool Mon utilitaire de BDR V1.1.0 : http://gilles.ronsin.free.fr/aregtool.htm Les gens qui ne rient jamais, ne sont pas des gens sérieux.
"Eric Razny" <news_01@razny.net>, le mar. 06 janv. 2004 16:54:51,
écrivait ceci:
Salut,
ce service n'est pas une faille. Il permet à un administrateur
réseau de communiquer avec l'ensemble des pc le constituant.
Cette fonction, il est vrai, est limitée dans le cas d'un pc
isolé, par contre il me semble que certains antivirus utilisent
cette fonction pour rapporter l'état d'analyse.
Où ais-je dis que ce service est une faille??
Désolé. C'est pas ce qui était écrit.
Je m'en sers à l'occasion (rarement certes). Je dis simplement que
n'importe quel service (openssh par exemple...) peut un jour être
l'objet d'une faille et qu'il me parait *donc* utile, sinon
indispensable, de ne pas faire tourner un service qui ne sert pas
pour ne pas être une future victime potentielle. Dans ce sens le
fait qu'un FW bloque l'accès à ce service de l'extérieur est,
amha, insuffisant si, par exemple, une machine locale est
compromise.
Ce service à toutefois une fonction AMHA très utile .... celle de
révéler à l'utilisateur (même profane) que sa sécurité est percée. Dans
le cas où un néfaste désactive le FW, ce message averti d'une anomalie.
(Je sais, c'est pas très académique, juste un plus)
--
Embryon de site : http://gilles.ronsin.free.fr Nouveau: un JukeBox pour
DaemonTool
Mon utilitaire de BDR V1.1.0 :
http://gilles.ronsin.free.fr/aregtool.htm
Les gens qui ne rient jamais, ne sont pas des gens sérieux.
"Eric Razny" , le mar. 06 janv. 2004 16:54:51, écrivait ceci:
Salut,
ce service n'est pas une faille. Il permet à un administrateur réseau de communiquer avec l'ensemble des pc le constituant. Cette fonction, il est vrai, est limitée dans le cas d'un pc isolé, par contre il me semble que certains antivirus utilisent cette fonction pour rapporter l'état d'analyse.
Où ais-je dis que ce service est une faille??
Désolé. C'est pas ce qui était écrit.
Je m'en sers à l'occasion (rarement certes). Je dis simplement que n'importe quel service (openssh par exemple...) peut un jour être l'objet d'une faille et qu'il me parait *donc* utile, sinon indispensable, de ne pas faire tourner un service qui ne sert pas pour ne pas être une future victime potentielle. Dans ce sens le fait qu'un FW bloque l'accès à ce service de l'extérieur est, amha, insuffisant si, par exemple, une machine locale est compromise.
Ce service à toutefois une fonction AMHA très utile .... celle de révéler à l'utilisateur (même profane) que sa sécurité est percée. Dans le cas où un néfaste désactive le FW, ce message averti d'une anomalie. (Je sais, c'est pas très académique, juste un plus)
-- Embryon de site : http://gilles.ronsin.free.fr Nouveau: un JukeBox pour DaemonTool Mon utilitaire de BDR V1.1.0 : http://gilles.ronsin.free.fr/aregtool.htm Les gens qui ne rient jamais, ne sont pas des gens sérieux.
Eric Razny
"Jceel" a écrit dans le message de news:3ffae4cc$0$22326$
Bonjour ...Eric Razny qui nous as a dit
* Dans le cas ou une faille (allez, au hazard... ... IE!) permet a un * utilisateur de lancer quelque chose en local ce n'est pas la peine (même si * sous Windows il y a des chance qu'à ce stade ce soit trop tard) de laisser
il suffit d'avoir le port 135 de bloqué... a la limite jusqu'au 139
Si c'est sur le net, amha c'est plus au moins qu'à la limite! non? Et surtout je parlais d'utilisateur local au sens large. Si par un exploit quelconque tu finis par installer un soft qui te pilote IE [1] pour prendre ses ordres à l'extérieur, par exemple, c'est cuit. Si tu te sers du service tu le configure proprement[2] et tu paramètre ton fw reseau ou perso pour limiter les abus. Sinon tu désactive le service.
Eric.
[1] Pour éviter la réponse aviaire enflammée habituelle d'un certain FLL le concept est le même avec d'autres browsers ou softs :) [2] droit, acl evntuelles etc.
"Jceel" <Medor-Ouah@ouah.fr> a écrit dans le message de
news:3ffae4cc$0$22326$626a54ce@news.free.fr...
Bonjour ...Eric Razny qui nous as a dit
* Dans le cas ou une faille (allez, au hazard... ... IE!) permet a un
* utilisateur de lancer quelque chose en local ce n'est pas la peine
(même si
* sous Windows il y a des chance qu'à ce stade ce soit trop tard) de
laisser
il suffit d'avoir le port 135 de bloqué... a la limite jusqu'au 139
Si c'est sur le net, amha c'est plus au moins qu'à la limite! non?
Et surtout je parlais d'utilisateur local au sens large. Si par un exploit
quelconque tu finis par installer un soft qui te pilote IE [1] pour prendre
ses ordres à l'extérieur, par exemple, c'est cuit.
Si tu te sers du service tu le configure proprement[2] et tu paramètre ton
fw reseau ou perso pour limiter les abus. Sinon tu désactive le service.
Eric.
[1] Pour éviter la réponse aviaire enflammée habituelle d'un certain FLL le
concept est le même avec d'autres browsers ou softs :)
[2] droit, acl evntuelles etc.
"Jceel" a écrit dans le message de news:3ffae4cc$0$22326$
Bonjour ...Eric Razny qui nous as a dit
* Dans le cas ou une faille (allez, au hazard... ... IE!) permet a un * utilisateur de lancer quelque chose en local ce n'est pas la peine (même si * sous Windows il y a des chance qu'à ce stade ce soit trop tard) de laisser
il suffit d'avoir le port 135 de bloqué... a la limite jusqu'au 139
Si c'est sur le net, amha c'est plus au moins qu'à la limite! non? Et surtout je parlais d'utilisateur local au sens large. Si par un exploit quelconque tu finis par installer un soft qui te pilote IE [1] pour prendre ses ordres à l'extérieur, par exemple, c'est cuit. Si tu te sers du service tu le configure proprement[2] et tu paramètre ton fw reseau ou perso pour limiter les abus. Sinon tu désactive le service.
Eric.
[1] Pour éviter la réponse aviaire enflammée habituelle d'un certain FLL le concept est le même avec d'autres browsers ou softs :) [2] droit, acl evntuelles etc.
Eric Razny
"Fabien LE LEZ" a écrit dans le message de news:
On 06 Jan 2004 15:54:51 GMT, "Eric Razny" wrote:
Une préférence au nmap sur le même brin plutôt qu'un service distant
A priori, il s'agit d'un PC "isolé" connecté directement à Internet (sinon il y a des chances pour que le firewall du LAN ait déjà bloqué le port 135), du coup le "même brin" n'est pas forcément facilement accessible...
Toujours pas d'accord : il n'y a certes pas de brin mais la loopback doit être dispo (ou l'adresse ip locale de l'interface) et tu peux envoyer ton paquet sur le pc même en ayant simplement un accès beaucoup plus restraint (déjà illégitime mais qui devrait être circonscrit) via un autre exploit. Combiné avec la vulnérabilité pointée par Cédric et bingo. Maman, y'a mon disque dur sur le net, viens voir! :)
Eric.
"Fabien LE LEZ" <gramster@gramster.com> a écrit dans le message de
news:qholvv0mf0r75da8a8sstf38u8rtn3sdfe@4ax.com...
On 06 Jan 2004 15:54:51 GMT, "Eric Razny" <news_01@razny.net> wrote:
Une préférence au nmap sur le même brin
plutôt qu'un service distant
A priori, il s'agit d'un PC "isolé" connecté directement à Internet
(sinon il y a des chances pour que le firewall du LAN ait déjà bloqué
le port 135), du coup le "même brin" n'est pas forcément facilement
accessible...
Toujours pas d'accord : il n'y a certes pas de brin mais la loopback doit
être dispo (ou l'adresse ip locale de l'interface) et tu peux envoyer ton
paquet sur le pc même en ayant simplement un accès beaucoup plus restraint
(déjà illégitime mais qui devrait être circonscrit) via un autre exploit.
Combiné avec la vulnérabilité pointée par Cédric et bingo.
Maman, y'a mon disque dur sur le net, viens voir! :)
Une préférence au nmap sur le même brin plutôt qu'un service distant
A priori, il s'agit d'un PC "isolé" connecté directement à Internet (sinon il y a des chances pour que le firewall du LAN ait déjà bloqué le port 135), du coup le "même brin" n'est pas forcément facilement accessible...
Toujours pas d'accord : il n'y a certes pas de brin mais la loopback doit être dispo (ou l'adresse ip locale de l'interface) et tu peux envoyer ton paquet sur le pc même en ayant simplement un accès beaucoup plus restraint (déjà illégitime mais qui devrait être circonscrit) via un autre exploit. Combiné avec la vulnérabilité pointée par Cédric et bingo. Maman, y'a mon disque dur sur le net, viens voir! :)
Eric.
Paul GABORIT
À (at) 05 Jan 2004 10:11:59 GMT, "News Free" écrivait (wrote):
****************** WARNING: This message confirms your system is VULNERABLE to attacks **************
Go to: www.MessageDefender.com now !"
Bien entendu, je ne suis pas allé sur ce site qui doit contenir des virus. Je tourne sous XP Pro SP1 avec un FW Kerio 2.1.5 et les régles proposées par le site http://the.dark.sniper.free.fr/Progs/Kerio/
Dans un premier temps, si votre PC n'est connecté à rien d'autre qu'Internet alors allez dans la configuration de Kerio et trouvez l'onglet concernant les services Microsoft. Ils sont activés par défaut. Il suffit de décocher la première case pour que tout passe en gris et donc pour désactiver l'accès aux services Microsoft depuis Internet (ces services n'ont de sens que sur un réseau local) (*).
Cela ne vous empêchera pas de récupérer les mises à jour de Windows via WindowsUpdate (ce service utilise juste le web).
Par contre, les services sont encore actifs (même si Kerio empêche leur accès depuis l'extérieur). Il ne faudrait activer que ceux que vous utilisez réellement. Mais c'est plus long et difficile à faire.
(*) les auteurs de <http://the.dark.sniper.free.fr/Progs/Kerio/> semblent avoir oublié ce "petit" réglage.
-- Paul Gaborit - <http://www.enstimac.fr/~gaborit/>
À (at) 05 Jan 2004 10:11:59 GMT,
"News Free" <jl_demangePas_de_pub@yahoo.fr> écrivait (wrote):
****************** WARNING: This message confirms your system is VULNERABLE
to attacks **************
Go to: www.MessageDefender.com now !"
Bien entendu, je ne suis pas allé sur ce site qui doit contenir des virus.
Je tourne sous XP Pro SP1 avec un FW Kerio 2.1.5 et les régles proposées par
le site http://the.dark.sniper.free.fr/Progs/Kerio/
Dans un premier temps, si votre PC n'est connecté à rien d'autre qu'Internet
alors allez dans la configuration de Kerio et trouvez l'onglet concernant les
services Microsoft. Ils sont activés par défaut. Il suffit de décocher la
première case pour que tout passe en gris et donc pour désactiver l'accès aux
services Microsoft depuis Internet (ces services n'ont de sens que sur un
réseau local) (*).
Cela ne vous empêchera pas de récupérer les mises à jour de Windows via
WindowsUpdate (ce service utilise juste le web).
Par contre, les services sont encore actifs (même si Kerio empêche leur accès
depuis l'extérieur). Il ne faudrait activer que ceux que vous utilisez
réellement. Mais c'est plus long et difficile à faire.
(*) les auteurs de <http://the.dark.sniper.free.fr/Progs/Kerio/> semblent
avoir oublié ce "petit" réglage.
--
Paul Gaborit - <http://www.enstimac.fr/~gaborit/>
À (at) 05 Jan 2004 10:11:59 GMT, "News Free" écrivait (wrote):
****************** WARNING: This message confirms your system is VULNERABLE to attacks **************
Go to: www.MessageDefender.com now !"
Bien entendu, je ne suis pas allé sur ce site qui doit contenir des virus. Je tourne sous XP Pro SP1 avec un FW Kerio 2.1.5 et les régles proposées par le site http://the.dark.sniper.free.fr/Progs/Kerio/
Dans un premier temps, si votre PC n'est connecté à rien d'autre qu'Internet alors allez dans la configuration de Kerio et trouvez l'onglet concernant les services Microsoft. Ils sont activés par défaut. Il suffit de décocher la première case pour que tout passe en gris et donc pour désactiver l'accès aux services Microsoft depuis Internet (ces services n'ont de sens que sur un réseau local) (*).
Cela ne vous empêchera pas de récupérer les mises à jour de Windows via WindowsUpdate (ce service utilise juste le web).
Par contre, les services sont encore actifs (même si Kerio empêche leur accès depuis l'extérieur). Il ne faudrait activer que ceux que vous utilisez réellement. Mais c'est plus long et difficile à faire.
(*) les auteurs de <http://the.dark.sniper.free.fr/Progs/Kerio/> semblent avoir oublié ce "petit" réglage.
-- Paul Gaborit - <http://www.enstimac.fr/~gaborit/>
