Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

attaques D.O.S.

doubleyou

Par doubleyou
dans Analyses et éradication malwares

 Partager

Messages recommandés

doubleyou Junior Member

doubleyou

Posté(e)
Posté(e)

bonjour !

 

depuis plusieurs mois mon firewall me prévient par e-mail d'attaques DOS quasiment journalières de ce type qu'il a je pense bloquées (???? !!!)

 

UDP Packet - Source:218.27.16.154,45859 Destination:83.198.28.218,2 - [DOS]

UDP Packet - Source:218.27.16.154,45855 Destination:83.198.28.218,1033 - [DOS]

UDP Packet - Source:218.27.16.154,45857 Destination:83.198.28.218,4081 - [DOS]

UDP Packet - Source:82.81.87.93,13364 Destination:90.1.21.116,1028 - [DOS]

 

ou encore

Sat, 2000-01-01 00:00:26 - Initialize LCP.

Sat, 2000-01-01 00:00:27 - LCP is allowed to come up.

Sat, 2000-01-01 00:00:28 - CHAP authentication success

Sat, 2000-01-01 00:00:34 - Send out NTP request to time-g.netgear.com

Fri, 2007-02-02 15:26:03 - Receive NTP Reply from time-g.netgear.com

Fri, 2007-02-02 15:28:17 - TCP Packet - Source:192.168.0.3,1126 Destination:218.40.59.223,6112 - [guild match]

Fri, 2007-02-02 15:28:17 - TCP Packet - Source:192.168.0.3,1127 Destination:216.107.240.153,6112 - [guild match]

Fri, 2007-02-02 15:28:17 - TCP Packet - Source:192.168.0.3,1128 Destination:206.127.146.84,6112 - [guild match]

Fri, 2007-02-02 15:28:18 - TCP Packet - Source:192.168.0.3,1126 Destination:218.40.59.223,6112 - [guild match]

Fri, 2007-02-02 15:28:22 - TCP Packet - Source:192.168.0.3,1133 Destination:216.107.241.20,6112 - [guild match]

Fri, 2007-02-02 15:28:22 - TCP Packet - Source:192.168.0.3,1134 Destination:210.254.104.42,6112 - [guild match]

Fri, 2007-02-02 15:28:23 - TCP Packet - Source:192.168.0.3,1135 Destination:206.127.145.18,6112 - [guild match]

Fri, 2007-02-02 15:28:39 - TCP Packet - Source:192.168.0.3,1140 Destination:216.107.240.204,6112 - [guild match]

Fri, 2007-02-02 15:28:39 - TCP Packet - Source:192.168.0.3,1141 Destination:206.127.145.17,6112 - [guild match]

Fri, 2007-02-02 15:28:39 - TCP Packet - Source:192.168.0.3,1142 Destination:218.40.59.223,6112 - [guild match]

Fri, 2007-02-02 15:29:23 - TCP Packet - Source:192.168.0.3,1163 Destination:216.107.241.16,6112 - [guild match]

Fri, 2007-02-02 15:29:53 - TCP Packet - Source:192.168.0.3,1176 Destination:206.127.146.44,6112 - [guild match]

Fri, 2007-02-02 15:31:00 - TCP Packet - Source:192.168.0.3,1201 Destination:206.127.146.53,6112 - [guild match]

Fri, 2007-02-02 15:31:29 - TCP Packet - Source:192.168.0.3,1214 Destination:206.127.146.108,6112 - [guild match]

Fri, 2007-02-02 15:32:33 - TCP Packet - Source:192.168.0.3,1243 Destination:206.127.146.48,6112 - [guild match]

Fri, 2007-02-02 15:41:10 - TCP Packet - Source:192.168.0.3,1468 Destination:206.127.146.48,6112 - [guild match]

Fri, 2007-02-02 15:41:10 - TCP Packet - Source:192.168.0.3,1469 Destination:216.107.241.23,6112 - [guild match]

Fri, 2007-02-02 15:41:10 - TCP Packet - Source:192.168.0.3,1471 Destination:206.127.145.15,6112 - [guild match]

Fri, 2007-02-02 15:41:14 - TCP Packet - Source:192.168.0.3,1475 Destination:206.127.146.48,6112 - [guild match]

Fri, 2007-02-02 15:41:26 - TCP Packet - Source:192.168.0.3,1497 Destination:216.107.240.202,6112 - [guild match]

Fri, 2007-02-02 15:41:30 - TCP Packet - Source:192.168.0.3,1498 Destination:216.107.240.232,6112 - [guild match]

Fri, 2007-02-02 15:41:43 - TCP Packet - Source:192.168.0.3,1507 Destination:216.107.240.232,6112 - [guild match]

Fri, 2007-02-02 15:42:08 - TCP Packet - Source:192.168.0.3,1516 Destination:216.107.240.202,6112 - [guild match]

Fri, 2007-02-02 15:42:35 - TCP Packet - Source:192.168.0.3,1529 Destination:216.107.240.200,6112 - [guild match]

Fri, 2007-02-02 15:42:43 - TCP Packet - Source:192.168.0.3,1534 Destination:216.107.240.230,6112 - [guild match]

Fri, 2007-02-02 15:45:42 - TCP Packet - Source:192.168.0.3,1607 Destination:206.127.147.165,6112 - [guild match]

Fri, 2007-02-02 15:47:07 - TCP Packet - Source:192.168.0.3,1640 Destination:206.127.146.64,6112 - [guild match]

Fri, 2007-02-02 15:51:14 - TCP Packet - Source:192.168.0.3,1741 Destination:206.127.145.8,6112 - [guild match]

Fri, 2007-02-02 15:52:11 - TCP Packet - Source:192.168.0.3,1766 Destination:206.127.145.24,6112 - [guild match]

Fri, 2007-02-02 15:54:49 - TCP Packet - Source:192.168.0.3,1827 Destination:206.127.145.25,6112 - [guild match]

Fri, 2007-02-02 15:56:00 - TCP Packet - Source:192.168.0.3,1865 Destination:206.127.146.121,6112 - [guild match]

Fri, 2007-02-02 15:56:31 - TCP Packet - Source:192.168.0.3,1882 Destination:206.127.145.30,6112 - [guild match]

Fri, 2007-02-02 15:25:28 - Router start up

Fri, 2007-02-02 19:54:38 - TCP Packet - Source:192.168.0.3,1432 Destination:216.107.241.20,6112 - [guild match]

Fri, 2007-02-02 19:54:38 - TCP Packet - Source:192.168.0.3,1433 Destination:206.127.145.15,6112 - [guild match]

Fri, 2007-02-02 19:54:38 - TCP Packet - Source:192.168.0.3,1434 Destination:203.66.143.173,6112 - [guild match]

Fri, 2007-02-02 19:54:40 - TCP Packet - Source:192.168.0.3,1435 Destination:216.107.240.230,6112 - [guild match]

Fri, 2007-02-02 19:54:58 - TCP Packet - Source:192.168.0.3,1440 Destination:206.127.146.68,6112 - [guild match]

Fri, 2007-02-02 19:56:17 - TCP Packet - Source:192.168.0.3,1473 Destination:206.127.146.44,6112 - [guild match]

Fri, 2007-02-02 19:58:29 - TCP Packet - Source:192.168.0.3,1530 Destination:206.127.145.9,6112 - [guild match]

Fri, 2007-02-02 20:07:22 - TCP Packet - Source:192.168.0.3,1743 Destination:206.127.146.64,6112 - [guild match]

Fri, 2007-02-02 20:09:02 - TCP Packet - Source:192.168.0.3,1784 Destination:206.127.147.165,6112 - [guild match]

Fri, 2007-02-02 20:11:30 - TCP Packet - Source:192.168.0.3,1848 Destination:206.127.147.165,6112 - [guild match]

Fri, 2007-02-02 20:14:40 - TCP Packet - Source:192.168.0.3,1926 Destination:206.127.147.165,6112 - [guild match]

 

çà commence à faire beaucoup!!!!!

 

que puis faire?

merci

WawaSeb Godlike Member

WawaSeb

Posté(e)
Posté(e)

Bonsoir doubleyou,

 

*** Bienvenue sur le forum sécurité de Zebulon ! ***

 

 

--> Télécharge HijackThis ici : http://download.hijackthis.eu/hijackthis_199.zip

---> Décompresse l'archive dans un dossier dédié

---> Renomme HijackThis.exe en Vundo.exe

---> Lance-le

---> Choisis l'option "Do A System Scan And Save A Log File"

---> Copie-colle le rapport sur ce forum

 

Tutoriaux : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!)

http://sitethemacs.free.fr/aide_enregistre...e_hijackthi.htm

Malekal_morte Godlike Member

Malekal_morte

Posté(e)
Posté(e)

Ce sont pas des attaques... du moins la seconde partie du log.

Ce sont des connexions au serveur de jeu GuildWars ou Battlenet.

angelique Devil Member !

angelique

Posté(e)
Posté(e)

les ports 6112 sont apparemment utlisés pour les jeux blizzard entertainment.

 

UDP Packet - Source:218.27.16.154,45859 Destination:83.198.28.218,2 - [DOS]UDP Packet - Source:218.27.16.154,45855 Destination:83.198.28.218,1033 - [DOS]

UDP Packet - Source:218.27.16.154,45857 Destination:83.198.28.218,4081 - [DOS]

UDP Packet - Source:82.81.87.93,13364 Destination:90.1.21.116,1028 - [DOS]

 

là tu reçois des paquets udp qui sont bloqués par ton routeur,normal!

ton ip:83.198.28.218 (wanadoo)

"" :90.1.21.116 (wanadoo) changement d'ip !! Oo

 

 

Sat, 2000-01-01 00:00:26 - Initialize LCP.

Sat, 2000-01-01 00:00:27 - LCP is allowed to come up.

Sat, 2000-01-01 00:00:28 - CHAP authentication success

Sat, 2000-01-01 00:00:34 - Send out NTP request to time-g.netgear.com

Fri, 2007-02-02 15:26:03 - Receive NTP Reply from time-g.netgear.com

Fri, 2007-02-02 15:28:17 - TCP Packet - Source:192.168.0.3,1126 Destination:218.40.59.223,6112 - [guild match]Fri, 2007-02-02 15:28:17 - TCP Packet - Source:192.168.0.3,1127 Destination:216.107.240.153,6112 - [guild match]

Fri, 2007-02-02 15:28:17 - TCP Packet - Source:192.168.0.3,1128 Destination:206.127.146.84,6112 - [guild match]

.

.

.

 

là on dirait que c'est toi 192.168.0.3 (ip de ton pc donné par ton routeur netgear) qui balance des requetes sur des servers japonais pour jouer nan????diablo2,wow,....????guild wars??

 

Suis pas experte en jeu online ,mais ça y ressemble.

 

 

Je laisse WawaSeb analyser le rapport hijackthis que tu vas lui soumettre.

doubleyou Junior Member

doubleyou

Posté(e)
  • Auteur
Posté(e)
Bonsoir doubleyou,

 

*** Bienvenue sur le forum sécurité de Zebulon ! ***

--> Télécharge HijackThis ici : http://download.hijackthis.eu/hijackthis_199.zip

---> Décompresse l'archive dans un dossier dédié

---> Renomme HijackThis.exe en Vundo.exe

---> Lance-le

---> Choisis l'option "Do A System Scan And Save A Log File"

---> Copie-colle le rapport sur ce forum

 

Tutoriaux : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!)

http://sitethemacs.free.fr/aide_enregistre...e_hijackthi.htm

doubleyou Junior Member

doubleyou

Posté(e)
  • Auteur
Posté(e)
Bonsoir doubleyou,

 

*** Bienvenue sur le forum sécurité de Zebulon ! ***

--> Télécharge HijackThis ici : http://download.hijackthis.eu/hijackthis_199.zip

---> Décompresse l'archive dans un dossier dédié

---> Renomme HijackThis.exe en Vundo.exe

---> Lance-le

---> Choisis l'option "Do A System Scan And Save A Log File"

---> Copie-colle le rapport sur ce forum

 

Tutoriaux : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!)

http://sitethemacs.free.fr/aide_enregistre...e_hijackthi.htm

 

hello!

et voilà:

Logfile of HijackThis v1.99.1

Scan saved at 17:05:44, on 04/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Softwin\BitDefender10\bdmcon.exe

C:\Program Files\Softwin\BitDefender10\bdagent.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe

C:\Program Files\System Control Manager\edd.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\o2flash.exe

C:\Program Files\Contour Shuttle\ShuttleEngine.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

C:\Program Files\Softwin\BitDefender10\vsserv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\DOCUME~1\jmd\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis_199.zip\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msi.com.tw

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msi.com.tw/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [bDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg

O4 - HKLM\..\Run: [bDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe

O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.msi.com.tw

O17 - HKLM\System\CCS\Services\Tcpip\..\{B12B7A58-825F-4AB1-B579-A265BC528E7B}: NameServer = 192.168.0.1,80.10.246.130

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)

O23 - Service: SCM Driver Daemon (NishService) - Unknown owner - C:\Program Files\System Control Manager\edd.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe

O23 - Service: Contour Shuttle Device Engine (ShuttleEngine) - Unknown owner - C:\Program Files\Contour Shuttle\ShuttleEngine.exe" -run (file missing)

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender10\vsserv.exe" /service (file missing)

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

doubleyou Junior Member

doubleyou

Posté(e)
  • Auteur
Posté(e)
Ce sont pas des attaques... du moins la seconde partie du log.

Ce sont des connexions au serveur de jeu GuildWars ou Battlenet.

 

hello!

ok ! sauf qu'aux heures mentionnées seul le modem routeur était allumé et les ordi étaient éteints !! et par conséquent personne ne jouait! :P

WawaSeb Godlike Member

WawaSeb

Posté(e)
Posté(e) (modifié)

Bonsoir doubleyou,

Coucou angelique,

Hello Malekal_morte,

 

*** Attention, HijackThis est mal placé, tu dois ABSOLUMENT le décompresser dans un dossier qui lui est propre avant de le relancer... sous peine de perdre tous tes backups ***

 

 

Ton rapport ne montre rien de négatif... à priori !

 

Par souci de précaution, je te demande de suivre la procédure suivante :

 

 

# Si une étape s'est avérée impossible à passer, continue quand même et signale-le dans ta prochaine réponse...

 

 

1) Rends-toi sur ce site-ci

  • Clique sur "Parcourir" (comme indiqué sur le dessin) jotti.gif
  • Recherche le fichier suivant : C:\Program Files\System Control Manager\edd.exe
  • Clique sur "Submit"
  • Copie-colle le rapport dans ta prochaine réponse...

*** Si le site est trop surchargé, tu peux refaire la même opération ici ("Send" à la place de "Submit")

 

 

2) Clique sur "Démarrer", "exécuter" et tape (sans les guillemets) "cleanmgr"

 

 

---> Valide en appuyant sur OK

---> Laisse Windows calculer, coche uniquement les cases Fichiers Internet temporaires, Corbeille et Fichiers temporaires

---> Clique à nouveau sur OK

 

 

3) Nous allons chercher les infections à l'aide d'un scan en ligne :

 

Rends-toi sur le site de Kaspersky WebScanner

Dans "Démonstration en ligne", tu as une explication de la marche à suivre

Pour démarrer l'analyse, tu sélectionnes "Exécuter l'analyse en ligne".

 

Cette manipulation doit absolument être effectuée avec Internet Explorer

 

Télécharge le contôle Active X, accepte .

Dans le menu "Choisissez la cible de l'analyse", sélectionne "Poste de travail".

Le scan va commencer. Poste le rapport qui sera généré stp.

 

Très bon tutoriel ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

 

 

4) Télécharge Blacklight (de F-Secure)

 

et sauvegarde-le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle également le contenu de ce rapport dans ta prochaine réponse

 

 

Bon travail à toi !!! :P

Modifié par WawaSeb

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...