Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Kerio cherche à se connecter ? Pourquoi ?


FitzChevalerie

Messages recommandés

Bon voilà j'utilise kerio 4.1.2 depuis quelque temps seulement de temps en temps

il m'indique que le gui cherche à se connecter à des adresses aléatoires et ce généralement sur un port > 44000.

Là dessus je lance un coup de magicnettrace histoire de voir à qui j'ai à faire.

Comme une image parle plus qu'un long discours là voici :

magicnettrace.jpg

Bon ben désolé mais j'arrive pas à intégrer l'image à mon message (de l'aide serait la bienvenue).

En fin pour résumé, assez souvent je tombe sur une adresse de chinanet, hostmaster.

 

1 - Est-ce une procédure de test du firewall ?

2 - Dois-je l'autoriser à l'avenir ? (Parce que une fois j'ai défini la règle en ne jamais autoriser la connection et après toutes les 4mn j'avais dans mon journal d'intrusions des attaques de type "SCAN FIN" de la source "pcp442140pcs.savana01.ga.comcast.net"

 

A noter que la procédure de mise à jour automatique du firewall est désactivée (puisque je vérifie toutes les semaines les MAJ en manuel)

Autre chose encore j'ai deux instances du gui dans le gestionnaire de tâches , est-ce normal ?

 

Voilà merci pour l'aide que vous pourrez m'apporter !

Edit : j'ai éditer mon post pour l'image avec magicnettrace.

 

Je préfère éditer mon post pour ne pas trop polluer le forum. Bon déjà merci pour cette première réponse qui me donne un début de réponse à ma question.

Mais là où c'est bizarre, c'est qu'il s'agit d'une tentative de connexion sortante initiée par kpfgui.exe et non une connexion entrante.

J'ai déjà fait un scan complet en mode safe avec a² free, avast 4.5.523 et toute la panoplie spysearch&destroy et spywareblaster, rien trouvé d'anormal.

Modifié par FitzChevalerie
Lien vers le commentaire
Partager sur d’autres sites

Salut Fitz. Tu ferais bien de bloquer cet étrange visiteur car, il utilise un proxy anonyme pour te rendre visite et sans doute essayer de voir ce qui traine sur ton DD pour le cas ou ton parefeu ou toi le laisseraient passer. Voir ici ou il est répertorié :

 

http://zeubu.chez.tiscali.fr/articles.php?lng=fr&pg=251

Lien vers le commentaire
Partager sur d’autres sites

Re. D'après cette traduction très approximative le ou les kpfgui.exe sont liés à une activité normale de Kério qui doit (je pense) enregistrer des connexions multiples du serveur mail.

 

Dans le xp allez au compte de poignée de directeur->view->check de tâche. Voici "la réponse officielle" au sujet des 2 kpfgui.exe:Hello,

 

Oui, les deux GUIs (évident dans le directeur de tâche) sont normaux. On est ont couru sous des droites de SYSTÈME, et les droites une de dessous de l'utilisateur noté courant. Si on note deux utilisateurs ou plus en même temps, tout le monde a un GUI (ainsi pour trois utilisateurs, quatre notés GUIs ensemble). Des messages sont envoyés à l'utilisateur actif (tenant le dessus de bureau actif sur WinXP avec la commutation rapide d'utilisateur). Le système GUI est employé pendant le processus de notation.

Naturellement le KPF peut employer seulement un SYSTÈME GUI pour tous les messages, mais il y a une vulnérabilité de sécurité. La possession de processus une certaine fenêtre sur le dessus de bureau (évident ou invisible), peut être facilement exploitée pour obtenir des droites de ce processus. Ainsi le processus avec des droites de SYSTÈME (LocalSystem) tenant une certaine fenêtre sur le dessus de bureau actuellement noté (par exemple fenêtre alerte) peut être abusé pour obtenir des droites poweful de SYSTÈME. C'est pourquoi notre service n'a aucune fenêtre (excepté quelques messageboxes critiques) et pourquoi nous employons GUIs (Admins) fonctionnant sous des droites d'utilisateur activement noté (le système GUI sur le fond n'a aucune fenêtre et hérite le jeu seulement pendant le processus de loggin).

Chaque service interactif peut être abusé pour obtenir des droites de SYSTÈME que un Microsoft ne recommandent pas de le faire...

 

Pour plus d'information le google pour l'"éclat attaque" ou voit " www.idefense.com/application/poi/displ.. e=vulnerabilities

 

En second lieu, nous laissés hors du raccourci de service de kpf4ss sur le menu kpf4ss de début est service de fenêtres, ainsi ce devrait être début (avec des droites de système) par le dialogue de services de fenêtre. Si vous commencez sur le raccourci que votre ordinateur est insuffisamment gardé - il est a couru sous l'utilisateur actif et il finit noter l'utilisateur au loin.

 

 

Tomas Soukup

réalisateur de fil

.................................................

Technologies De Kerio

www.kerio.com

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...