attaque DOS

[loorent]

Bonsoir,

 

ça fait 2 soirs de suite que le journal de mon routeur DG834 m'indique une tentative de d'attaque DOS.

 

Je ne comprend pas trop comment ça peut se faire, ça vient de plusieurs IP différentes ??

 

et la, mon, pc vient juste de rebooter , avec un comportement un peu bizarre au redemarrage (lenteur). maintenant, ça va mieux.

 

ça m'inquiete un peu.

 

ma config:

 

- PC relié a internet par routeur NETGEAR DG834GT (filaire pas wifi)

- parfeu kerio 2.1.5 sur le pc

- avast , a jour.

 

Mon PC me semble propre, mais j'ai peur qu'un troyen ait reussi a passer, seul explication ?

 

le log du routeur:

 

Thu, 2006-04-06 22:24:52 - Receive NTP Reply from time-g.netgear.com

Thu, 2006-04-06 22:26:09 - UDP Packet - Source:201.216.155.141,50090 Destination:192.168.0.2,15001 - [DOS]

Thu, 2006-04-06 22:26:09 - UDP Packet - Source:72.136.6.133,9140 Destination:192.168.0.2,15001 - [DOS]

Thu, 2006-04-06 22:26:31 - UDP Packet - Source:202.129.81.178,60881 Destination:192.168.0.2,15001 - [DOS]

Thu, 2006-04-06 22:26:31 - UDP Packet - Source:212.181.135.132,6881 Destination:192.168.0.2,15001 - [DOS]

Thu, 2006-04-06 22:27:15 - UDP Packet - Source:81.178.214.171,6881 Destination:192.168.0.2,15001 - [DOS]

Thu, 2006-04-06 22:27:16 - UDP Packet - Source:67.170.117.187,6881 Destination:192.168.0.2,15001 - [DOS]

Thu, 2006-04-06 22:27:54 - UDP Packet - Source:203.158.62.162,6881 Destination:192.168.0.2,15001 - [DOS]

Thu, 2006-04-06 22:28:14 - UDP Packet - Source:84.137.24.40,6881 Destination:192.168.0.2,15001 - [DOS]

Thu, 2006-04-06 22:28:18 - UDP Packet - Source:87.68.3.29,7002 Destination:192.168.0.2,15001 - [DOS]

Thu, 2006-04-06 22:29:02 - Administrator login successful - IP:192.168.0.2

Thu, 2006-04-06 22:29:19 - UDP Packet - Source:81.15.44.194,15001 Destination:192.168.0.2,15001 - [DOS]

Thu, 2006-04-06 22:29:25 - UDP Packet - Source:66.122.68.31,60781 Destination:192.168.0.2,15001 - [DOS]

Thu, 2006-04-06 22:29:26 - UDP Packet - Source:68.191.170.214,54461 Destination:192.168.0.2,15001 - [DOS]

Thu, 2006-04-06 22:29:27 - UDP Packet - Source:61.246.46.63,6881 Destination:192.168.0.2,15001 - [DOS]

Thu, 2006-04-06 22:29:27 - UDP Packet - Source:82.17.237.60,6881 Destination:192.168.0.2,15001 - [DOS]

Thu, 2006-04-06 22:29:28 - UDP Packet - Source:217.86.51.34,62878 Destination:192.168.0.2,15001 - [DOS]

Thu, 2006-04-06 22:29:28 - UDP Packet - Source:71.10.78.58,6881 Destination:192.168.0.2,15001 - [DOS]

Thu, 2006-04-06 22:29:47 - UDP Packet - Source:85.132.161.130,9373 Destination:192.168.0.2,15001 - [DOS]

Thu, 2006-04-06 22:29:47 - UDP Packet - Source:85.155.203.74,49152 Destination:192.168.0.2,15001 - [DOS]

Thu, 2006-04-06 22:29:59 - UDP Packet - Source:24.69.216.99,6881 Destination:192.168.0.2,15001 - [DOS]

Thu, 2006-04-06 22:29:59 - UDP Packet - Source:82.236.204.57,40017 Destination:192.168.0.2,15001 - [DOS]

Thu, 2006-04-06 22:30:09 - UDP Packet - Source:62.29.135.130,23451 Destination:192.168.0.2,15001 - [DOS]

Thu, 2006-04-06 22:30:42 - UDP Packet - Source:84.113.211.45,6881 Destination:192.168.0.2,15001 - [DOS]

Thu, 2006-04-06 22:30:42 - UDP Packet - Source:84.71.111.202,6881 Destination:192.168.0.2,15001 - [DOS]

Thu, 2006-04-06 22:30:43 - UDP Packet - Source:202.164.174.166,16881 Destination:192.168.0.2,15001 - [DOS]

Thu, 2006-04-06 22:31:09 - UDP Packet - Source:85.55.163.241,6881 Destination:192.168.0.2,15001 - [DOS]

Thu, 2006-04-06 22:31:14 - UDP Packet - Source:84.181.143.56,17337 Destination:192.168.0.2,15001 - [DOS]

Thu, 2006-04-06 22:31:37 - UDP Packet - Source:68.42.75.133,14374 Destination:192.168.0.2,15001 - [DOS]

Thu, 2006-04-06 22:31:37 - UDP Packet - Source:24.240.179.105,49513 Destination:192.168.0.2,15001 - [DOS]

Thu, 2006-04-06 22:31:46 - UDP Packet - Source:67.181.4.178,24098 Destination:192.168.0.2,15001 - [DOS]

Thu, 2006-04-06 22:31:48 - UDP Packet - Source:83.15.40.235,6889 Destination:192.168.0.2,15001 - [DOS]

Thu, 2006-04-06 22:31:53 - UDP Packet - Source:24.8.208.213,22999 Destination:192.168.0.2,15001 - [DOS]

Thu, 2006-04-06 22:32:18 - UDP Packet - Source:172.215.200.96,6881 Destination:192.168.0.2,15001 - [DOS]

Thu, 2006-04-06 22:32:18 - UDP Packet - Source:147.32.115.91,6881 Destination:192.168.0.2,15001 - [DOS]

Thu, 2006-04-06 22:32:37 - UDP Packet - Source:211.22.160.190,6881 Destination:192.168.0.2,15001 - [DOS]

Thu, 2006-04-06 22:32:38 - UDP Packet - Source:89.165.139.241,48999 Destination:192.168.0.2,15001 - [DOS]

Thu, 2006-04-06 22:33:11 - UDP Packet - Source:88.109.41.81,15470 Destination:192.168.0.2,15001 - [DOS]

[Thanos]

salut loorent,bienvenue sur le forum

 

Poste s'il te plait un rapport hijackthis pour qu'on y jette un oeil =>

 

- télécharger la dernière version d'HijackThis ( http://www.merijn.org/files/hijackthis.zip ou http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !)

- installation et utilisation d'HijackThis

 

-- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis) ; dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.

 

Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire

 

-- arrêter tous les programmes en cours et fermer toutes les fenêtres

 

-- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"

-- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)

On verra si ton pc est infecté !

[loorent]

Logfile of HijackThis v1.99.1

Scan saved at 01:23:12, on 07/04/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\sstray.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Microsoft Hardware\Mouse\point32.exe

C:\Program Files\Saitek\Software\Profiler.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\PokerOffice\bin\javaw.exe

C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

C:\Program Files\MySQL\MySQL Server 4.1\bin\mysqld-nt.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Kerio\Personal Firewall\persfw.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Raxco\PerfectDisk\PDSched.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\DOCUME~1\laurent\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis[1].zip\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ntserver1.comnt.com.br:80

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [POINTER] point32.exe

O4 - HKLM\..\Run: [sideWinderTrayV4] C:\PROGRA~1\MICROS~2\GAMECO~1\Common\SWTrayV4.exe

O4 - HKLM\..\Run: [Profiler] C:\Program Files\Saitek\Software\Profiler.exe

O4 - HKLM\..\Run: [saiSmart] C:\Program Files\Saitek\Software\SaiSmart.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe

O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"

O4 - HKLM\..\Run: [POEngine] "C:\Program Files\PokerOffice\POEngine.exe" C:\Program Files\PokerOffice

O4 - HKLM\..\Run: [Windows Update Services] C:\DOCUME~1\laurent\LOCALS~1\APPLIC~1\services.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\RunServices: [system AutoUpdater] sysaupd.exe

O4 - HKLM\..\RunServices: [Windows Update Services] C:\DOCUME~1\laurent\LOCALS~1\APPLIC~1\services.exe

O4 - HKLM\..\RunOnce: [Windows Update Services] C:\DOCUME~1\laurent\LOCALS~1\APPLIC~1\services.exe

O4 - HKLM\..\RunServicesOnce: [Windows Update Services] C:\DOCUME~1\laurent\LOCALS~1\APPLIC~1\services.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Windows Update Services] C:\DOCUME~1\laurent\LOCALS~1\APPLIC~1\services.exe

O4 - HKCU\..\RunServices: [Windows Update Services] C:\DOCUME~1\laurent\LOCALS~1\APPLIC~1\services.exe

O4 - HKCU\..\RunServicesOnce: [Windows Update Services] C:\DOCUME~1\laurent\LOCALS~1\APPLIC~1\services.exe

O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O9 - Extra button: Coral Eurobet Poker - {050AC5CD-E1E1-41ab-8CE0-61B56EFA7FA1} - C:\Program Files\CoralEurobetPoker\coraleurobetpoker.exe (file missing)

O9 - Extra 'Tools' menuitem: Coral Eurobet Poker - {050AC5CD-E1E1-41ab-8CE0-61B56EFA7FA1} - C:\Program Files\CoralEurobetPoker\coraleurobetpoker.exe (file missing)

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Program Files\Titan Poker\casino.exe

O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Program Files\Titan Poker\casino.exe

O9 - Extra button: EmpirePoker - {77E68763-4284-41d6-B7E7-B6E1F053A9E7} - C:\Program Files\EmpirePoker\EmpirePoker.exe (file missing)

O9 - Extra 'Tools' menuitem: EmpirePoker - {77E68763-4284-41d6-B7E7-B6E1F053A9E7} - C:\Program Files\EmpirePoker\EmpirePoker.exe (file missing)

O9 - Extra button: Noble Poker - {B723B1B8-9788-4684-ADA7-D1DB02E1D516} - C:\Program Files\Noble Poker\casino.exe

O9 - Extra 'Tools' menuitem: Noble Poker - {B723B1B8-9788-4684-ADA7-D1DB02E1D516} - C:\Program Files\Noble Poker\casino.exe

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure...teleir_cert.cab

O16 - DPF: Yahoo! Poker - http://download.games.yahoo.com/games/clients/y/pt3_x.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {68C1822F-F5C7-4404-A73F-03C10E0E94DA} (telechargement-photoweb) - http://www2.photoweb.fr/telechargement/Photoweb_uploader.cab

O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.photoways.com/clients/ImageUploader3.cab

O16 - DPF: {AED98630-0251-4E83-917D-43A23D66D507} (Download Helper Class) - http://activex.microgaming.com/dlhelper/ve...n7/dlhelper.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab

O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://pc:80/activex/RACtrl.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: MySQL - Unknown owner - C:\Program.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe

O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe

O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe

O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe

O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe

[loorent]

d'apres ce que je vois, il n'y aurait que ce "services.exe" de bizarre (le reste sont mes appli de poker et sont saines)

[Greywolf]

overnet est un client p2p

"l'attaque" que tu vois n'est que le fonctionnement normal des connexions associées à ce type de logiciel (udp flooding)

 

sujet fermé en accord avec la charte réouvert selon les lois de l'espace sécurité

[angelique]

'soir loorent,

 

je ne m'inicie pas dans l'aide de charles,que je salue au passage,mais services.exe n'a rien à faire là effectivement:

 

Filename: services.exe

 

Name: Services.EXE

 

Description: Added by the CIADOOR-F TROJAN! Note - this is NOT the legitimate services.exe process, which should NOT figure in Msconfig/Startup!

 

Recommendation: Definitely not required - typically viruses, spyware, adware and "resource hogs"

[loorent]

Ok, ça devait pas etre des DOS.

 

j'ai viré le services.exe, mais il ne semblait pas etre actif.

 

ais-je un moyen de savoir si il a transmis des choses ?

[Mark]

Bon matin tout le monde ;

 

Merci à Angélique qui a un sixième sens pour les bestioles

 

Ok, ce services.exe n'est pas ton seul souci ; y a un autre truc obscure qui hante ton PC, et je crois savoir ce que c'est (un rootkit).

 

Poste un tout nouveau log HijackThis! s'il te plaît, et on poursuivra. N'essaie pas de trouver cette bestiole toi-même, car elle est hyper cachée (si c'est bien elle..)

 

@+

[neos]

Salut ,

C:\DOCUME~1\laurent\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis[1].zip\HijackThis.exe

 

fait comme indiqué dans la procédure :

 

- installation et utilisation d'HijackThis

 

-- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis) ; dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.

 

Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire

[loorent]

un rootkit ? vous me faite peur !!!

 

qu'est-ce qui vous fait dire ça ?

 

RootkitRevealer , ça marche ?

 

 

 

ok, sinon , je reposterais un log hijack en respectant la procedure.

 

 

 

loorent, trés inquiet.