SVP intrusion depuis 3 semaines

[guyguy95]

Bonjour,

 

J'ai besoin d'aide concernant le fait que depuis trois semaines, mon firewall detecte des intrusions depuis differentes sources. La premiere semaine, norton internet security 2004 detectait des attack MSRPCSS 2 depuis une adresse neuf telecom (je suis chez 9) tous les soirs a partir de 18h. J'ai attendu 2 semaines et ensuite j'ai desactive mon pare feu pour voir ce ki allait se passer. Mon norton antivirus a detecte une 10ene de virus et ensuite j'ai eu des intrusions depuis des adresses chinoises. J'ai donc formate en me disant que c'etait des trojans mais ca continue et j'ai aussi des adresses allemandes (...t-dialin.net, tmm.lyceu.net). J'ai change de firewall(kerio) mais ca continue. J'ai vu k'un utilisateur du forum "forumjo" a eu des attaques msrpc aussi a peu pres a la meme periode que moi. Quelqu'un peu m'expliquer SVP?

 

Merci

++

[guyguy95]

Bonjour,

 

J'ai besoin d'aide concernant le fait que depuis trois semaines, mon firewall detecte des intrusions depuis differentes sources. La premiere semaine, norton internet security 2004 detectait des attack MSRPCSS 2 depuis une adresse neuf telecom (je suis chez 9) tous les soirs a partir de 18h. J'ai attendu 2 semaines et ensuite j'ai desactive mon pare feu pour voir ce ki allait se passer. Mon norton antivirus a detecte une 10ene de virus et ensuite j'ai eu des intrusions depuis des adresses chinoises. J'ai donc formate en me disant que c'etait des trojans mais ca continue et j'ai aussi des adresses allemandes (...t-dialin.net, tmm.lyceu.net). J'ai change de firewall(kerio) mais ca continue. J'ai vu k'un utilisateur du forum "forumjo" a eu des attaques msrpc aussi a peu pres a la meme periode que moi. Quelqu'un peu m'expliquer SVP?

 

Merci

++

 

Voici les logs hijack

 

Logfile of HijackThis v1.99.1

Scan saved at 14:51:26, on 18/12/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\System32\alg.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

C:\Documents and Settings\guy\Desktop\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxies.epitech.net:3128

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *epitech.net;*epita.fr;10*;<local>

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [THGuard] "C:\Program Files\TrojanHunter 4.2\THGuard.exe"

O4 - HKLM\..\Run: [EPSON Stylus CX6600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE /P26 "EPSON Stylus CX6600 Series" /O6 "USB001" /M "Stylus CX6600"

O4 - HKLM\..\Run: [NavRegReminder] "C:\WINDOWS\temp\NavBrowser.exe" /r /i "C:\WINDOWS\temp\NavLoad.ini"

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{613F0091-0FD4-47E0-8AB2-CD2EFC41A90D}: NameServer = 80.118.196.42 80.118.192.112

O17 - HKLM\System\CS1\Services\Tcpip\..\{613F0091-0FD4-47E0-8AB2-CD2EFC41A90D}: NameServer = 80.118.196.42 80.118.192.112

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

[Sacles]

Bonjour,

 

Des tentatives de connexions, il y en a des dizaines, des centaines par jour et toutes, loin de là, ne peuvent évidemment pas être qualifiées d'attaques.

 

Ton FAI, notamment (quel qu'il soit) à l'habitude de venir te faire des petits coucous fréquemment.

 

Laisse travailler ton pare-feu silencieusement. A tes moments perdus, regarde ses rapports pour voir tout le travail qu'il accomplit et tu peux dormir tranquille (et surtout, ne désactive pas ton pare-feu comme tu l'as fait).

 

Je suppose évidemment que tu as fait les tests traditionnels concernant la solidité de ton pare-feu aux tentatives d'intrusion et qu'ils sont OK.

 

Pour rappel, quelques sites pour ces tests:

1) https://www.grc.com/x/ne.dll?bh0bkyd2

2) http://scan.sygate.com/

3) http://www.pcflank.com/

4) http://www.zebulon.fr/outils/scanports/test-securite.php

 

P.S. Je ne suis pas suffisamment compétent pour analyser ton rapport HiJackThis, je laisse donc cette tâche à quelqu'un d'autre.

 

Cordialement.

Modifié le 18 décembre 2005 par Sacles

[megataupe]

Bonjour guyguy95, bonjour Sacles . Problème et solutions déjà

évoqués ici :

 

Port 135

 

Quand au rapport HijackThis, il ne comporte pas de traces d'infection.

 

Quand le firewall aboie, c'est qu'il est mal paramétré

[Xerta]

Bonjour

 

Si vous avez installé Kerio en mode simple (pour débutant) tout ce qui est entrant dans le module de sécutité réseau est paramétré sur refuser, c'est la sécurité maximale. Vous ne devez avoir aucune alerte de connexion entrante avec ce paramétrage. Il convient au moins pour la rubrique "autre application" du module de sécurité réseau de mettre ce qui est sortant sur "demander" (l'entrant étant aussi paramétré sur "refuser" pour cette rubrique) aussi bien pour la zone de confiance que sur la zone internet (afin d'avoir les alertes en connexion sortantes) et activer le contrôle d'applications figurant dans le volet "intrusion".

 

Kerio a aussi un mode avancé pour la sécutité réseau qui demande des connaissances en matière de firewalls à règles (les modes d'emplois disponibles sur le "net" à ce sujet pour la série 4 ne sont pas forcément très pertinent). Je renverrai plutôt au mode d'emploi officiel de la série 4.2 de Kerio (en anglais malheureusement):

 

http://www.kerio.com/supp_kpf_manual.html

[guyguy95]

Bonjour

 

Si vous avez installé Kerio en mode simple (pour débutant) tout ce qui est entrant dans le module de sécutité réseau est paramétré sur refuser, c'est la sécurité maximale. Vous ne devez avoir aucune alerte de connexion entrante avec ce paramétrage. Il convient au moins pour la rubrique "autre application" du module de sécurité réseau de mettre ce qui est sortant sur "demander" (l'entrant étant aussi paramétré sur "refuser" pour cette rubrique) aussi bien pour la zone de confiance que sur la zone internet (afin d'avoir les alertes en connexion sortantes) et activer le contrôle d'applications figurant dans le volet "intrusion".

 

Kerio a aussi un mode avancé pour la sécutité réseau qui demande des connaissances en matière de firewalls à règles (les modes d'emplois disponibles sur le "net" à ce sujet pour la série 4 ne sont pas forcément très pertinent). Je renverrai plutôt au mode d'emploi officiel de la série 4.2 de Kerio (en anglais malheureusement):

 

http://www.kerio.com/supp_kpf_manual.html

 

Bonour et Merci pour vos reponses,

Cependant n'est pas etrange que ces intrusions se déroulent tous les jours a partir de 18h et k'il y'ai toujours des attaques après un formatage. De plus j'ai mis la SP2. Comment retrouve t'il mon adresse IP tous les soirs sans trojans?

 

Merci

++

Modifié le 18 décembre 2005 par guyguy95

[Sacles]

Re,

 

Voici un extrait du journal de mon pare-feu en une ou deux minutes.

 

 

Je ne m'en préoccupe pas.

 

Cordialement.

[guyguy95]

Re,

 

Voici un extrait du journal de mon pare-feu en une ou deux minutes.

 

 

Je ne m'en préoccupe pas.

 

Cordialement.

 

Salut Sacles,

 

Super Extrait, je sais donc ce qui me reste a faire

 

Merci

++

[megataupe]

Ben oui, on voit bien sur ce journal que c'est surtout le FAI de Sacles

(Skynet.be) qui demande à entrer, toc-toc, y'a quelqu'un

[Sacles]

Bonsoir,

 

Ben oui, on voit bien sur ce journal que c'est surtout le FAI de Sacles (Skynet.be) qui demande à entrer, toc-toc, y'a quelqu'un

Et comme mon ordinateur est rendu furtif par mon pare-feu, il conclut "Non, il n'y a personne" et il s'en va voir sous d'autres cieux, puis reviens faire un petit tour, puis s'en va à nouveau, ....

 

C'est bien cela?

 

Cordialement.

Modifié le 18 décembre 2005 par Sacles