Tentatives d'intrusion ... mises à jours ?

[ackemen]

Salut,
voilà je reçoit ça de la part de mon pare feu depuis ce matin:

15/12/2009 11:25:42 Intrusion.Win.DCOM.exploit 82.245.247.133 TCP 135
15/12/2009 11:29:30 Intrusion.Win.NETAPI.buffer-overflow.exploit 82.245.247.133 TCP 445
et la synchronisation au serveur LE saute systématiquement ...

Vous pensez qu'il y a un lien ?
Merci de vos réponses par avance.

[Ackak]

Salut.

Cela a sûrement un rapport et il faudrait donc que tu fasses un scan complet de ton PC car, ça sent le virus ou le trojan.

[Vola]

Au passage pour les scans je te recommande ça en gratuit :

-avira antivir ( bien en principal )
-avg
-avast
-bitdefender ( pourri pour éliminer mais il en repère pas mal. gaffe aux faux positifs. )

Un seul à la fois, les autres un scan de temps en temps et en roue de secours si jamais tu perds ton accès internet.

Et en firewall comodo est bien si le tien te semble pas à la hauteur.

Contrairement à la croyance populaire c' est pas parce qu' ils sont gratuits qu' ils sont moins bons.

Et tapes le nom de ce que tu repère dans ton moteur de recherche pour en savoir plus, y compris souvent le meilleur logiciel pour éliminer si ceux que tu as ne suffisent pas.

En éspérant que ça t' aides.

[ackemen]

La maison est équipée se Kaspersky 143 attaques bloquées depuis hier, 23 adresses IP dans la liste de blocage ...
liste à jour, pour l'instant tout va bien, le scan ne semble pas avoir repéré quelque chose de suspect, personne n'est entré.

Petite réflexion? Des sites commerciaux ne feraient-il par la guerre contre LE ? (oui je suis parano, j'assume)

[Skwyrell]

Je pense plutôt que les tentatives d'intrusion ont pollué ta connexion à ces moments-là ce qui a provoqué les synchronisation serveur, un peu comme quand ta connexion rame.

[Grenouille]

Le seul lien non déduit est entre ton IP et un botnet.

Les multiples ip que tu lis doivent certainement être celles de PC infectés par un programme robot.
Elles essaient d'ajouter ton ordinateur à la liste du réseau pour augmenter la puissance de croissance du réseau et la puissance d'action (pour des DoS, des spams, du phishing) : ça se vend).

2 scénarios :

le botnet est codé pour avoir une croissance constante et tu vas continuer à avoir des attaques jusqu'à ce que toutes les IP du botnet soient mis dans la liste de blocage. L'idée est que le code du robot peut être mis à jour et que les attaques qu'il peut lancer pour asservir ton ordinateur peuvent alors être mises à jour jusqu'à ce que ton pc cède (un jour sans firewall et boum, un jour avec un firewall qui est mis à jour en retard par rapport aux robots du botnet et boum ).
C'est le pire des cas mais c'est aussi le moins probable.

C'est plus ou moins comparable à la vie d'un opposant politique dans un système totalitaire. Tant que l'opposant est là, il sera persecuté (tant que ton pc est connecté il sera persecuté)

le botnet cesse sa croissance lorsqu'un nombre d'hôte suffisant sont infectés pour être commercialisé, dans ce cas il est probable que ton ordinateur n'essuie plus d'attaque lorsque les IPs qui te ciblent auront finis d'essayer toutes les failles qu'elles connaissent ce qui peut prendre un certain temps vu qu'apparement il met quelques minutes entre 2 attaques.

C'est plus ou moins comparable à la vie d'un civil sous un bombardement aérien, tant que l'avion cible le village, des bombes tombent. Quand l'avion est vide, il part.

[Numa]

Sinon, il est également possible que ton système soit infesté. Je dépose ici la liste d'un certain nombre d'outils connus que j'utilise depuis longtemps :

• Secunia ; pour mettre à jour son système et ses logiciels

• FileHippo ; idem

• F-Secure EasyClean ; pour analyser et nettoyer son système

• GetSystemInfo ; idem

• MalwareByte's ; idem

• Uniblue Process Scanner ; pour connaitre les processus en cours

• HijackThis, en soumettant les logs pour une analyse automatique (forcément très imparfaite) sur ce site et cet autre site ; pour repérer et éliminer les intrus

• Sandboxie ; pour tester des logiciels et surfer en virtuel

La liste n'est pas, de très loin, exhaustive. Les éléments révélés avec ces outils ne sont pas toujours néfastes (faux positifs) et ne doivent être éradiqués qu'avec la plus grande précaution.

Plutôt que de paraphraser un blogueur dont j'apprécie les coups de gueule, je me permets en conclusion de vous inviter tous sur son site.

Bon courage.

Edit : correction concernant Uniblue Process Scanner. Le premier logiciel mentionné n'était pas le bon.

[ackemen]

Merci pour ces réponses et ces pistes ...
Je vais voir ce que je peux faire .. mais le client LE saute toujours et c'est pire qu'hier (aujourd'hui à la dernière connexion, une fois toutes les dix secondes ... environ, sans notification du pare feu .... une tentative de worm en plus du reste ... Mffr !!!)

[Kourhage]

Petite précision sur Hijack This : il est capable de supprimer les programmes légitimes (ceux qui font tourner ton ordi), manie le avec grande attention et vérifie toujours si ce que tu veux supprimer doit l'ètre. En cas d'erreur il n'y a aucun moyen de faire marche arrière, prudence extrème donc (cet utilitaire ne devrait pas ètre mis entre toutes les mains....).

Je vais rajouter que pour supprimer efficacement un virus il te faut démarrer en mode "sans échec" : allume ton ordi et tapes sur f8 sans arrêt, puis lance ton anti-virus et analyse/supprime tout ce qu'il trouve. En effet, un processus actif ne peut parfois pas être supprimmé en démarrage normal.

[ackemen]

Ok ...je vais passer en mode sans échec, mais en mode normal, aucun processus actif n'est repéré.
Ce qui m'étonne c'est que je ne me déplace jamais en environnements dangereux apriori.
outre Firefox qui rame, la seule application qui saute c'est LE ...
D'où ma question, sur une éventuelle malveillance de MORPG concurrents et payants, est ce que d'autres joueurs ont eu ce genre de mésaventures ?

[tosh]

Si LE et firefox sont les deux seules applications utilisant ta connexion, c'est normal qu'il n'y ai pas d'autre choses qui plantent...
Mais pour les MMORPG concurrents, oublie hein
Essaye plutôt de chercher ce qui pompe ta bande passante, peut être que tu trouvera l'origine du problème.

[XlurP]

sinon LE tourne sous linux ...
*se fait tres petit*

[ackemen]

Ok ... j'arrête ma paranoïa.
oui LE tourne sous Linux .. si j'étais moins une nouille en informatique ...
Bon ... merci à tous, je devrais m'en tirer avec tout ça.

[Vola]

Niveau sécurité les filtres ip ça aide aussi, c' est une liste d' ip que tu peut filtrer par catégories ( proxys, botnets/spider, ordi corompus bien connus... ) tu peut y rajouter les ip que tu veut.

Sous windows t' as peerguardian2 et sous linux moblock ( ça peut aussi se faire manuellement via le fichier hosts )

par contre ça peut ralentir ton ordi suivant la quantité d' ip/ta config et si tu l' utilise en mode parano il faut debloquer certaines ip manuellement ( ce que j' ai fait pour le serveur LE )

Si tu pense que ton ordi peut être attaqué ça peut valoir le coup de s' y interesser.