Kerio bloque des accès à system.exe et svchost.exe fréquement - Sécurité - Windows & Software
Marsh Posté le 22-05-2003 à 20:20:29
si tu nous disait ce qu'est trucmuche, car le fond du problème est la je pense
Marsh Posté le 22-05-2003 à 22:47:51
Vyse a écrit : si tu nous disait ce qu'est trucmuche, car le fond du problème est la je pense |
ben... trucmuche est n'importe quelle ip, avec le dns ça donne des machins du genre xxx.xxx.xxx.xxx@lyon.cablenet.fr (je suis sur wanadoo).
Je n'ai pas d'exemple réel sous la main : j'ai viré tous les deny
Finallement j'ai fait une règle pour empêcher les accés venant de l'extérieur sur ces deux composants, sauf le DHCP, bien entendu. Si mes connections se mettent à foirer, j'aviserai à ce moment là, mais pour l'instant pas de problème...
Marsh Posté le 26-05-2003 à 16:12:34
Perso, j'ai bloqué toutes les entrées/sorties de svchost.exe et system.exe et ça n'a pas l'air d'être l'horreur.
Marsh Posté le 26-05-2003 à 16:32:52
Si je dit pas de conneries, svchost.exe sert à faire tourner IIS (en tout cas c'est lui qui bouffe toutes les ressources quand je fais une boucle infinies ). Donc c'est peut etre tout betement des gens qui ont Nimda et le virus essaye d'attaquer un IIS qui se trouverait sur ta machine.
Marsh Posté le 26-05-2003 à 16:33:13
Il me semble que le spam par send net ce fait par le port 139.
Marsh Posté le 26-05-2003 à 16:38:56
fuful a écrit : Si je dit pas de conneries, svchost.exe sert à faire tourner IIS (en tout cas c'est lui qui bouffe toutes les ressources quand je fais une boucle infinies ). Donc c'est peut etre tout betement des gens qui ont Nimda et le virus essaye d'attaquer un IIS qui se trouverait sur ta machine. |
Heu... Je n'ai pas IIS... Par contre, j'ai noté que dans le gestionnaire de tache, j'ai un svchost.exe par connexion non désactivé (une pour le modem 56K, une pour l'ADSL et une pour l'ethernet)
Marsh Posté le 26-05-2003 à 17:22:32
Kalipok a écrit : |
quoiqu'il en soit, en cas de blemes avec le firewall, tu bloke l'application correspondante et tu regarde ce qui se passe
Marsh Posté le 28-05-2003 à 11:19:40
SVCHOST est un processus générique, qui sert à lancer des services NT ou XP contenus dans des DLL.
Au démarrage, SVCHOST scrute le contenu de la clef :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
Des entrées de type REG_MULTI_SZ contiennent une énumération de services à lancer.
On peut voir plusieurs instances du processus SVCHOST.
Pour obtenir la liste des services qui fonctionnent sous Windows XP, il faut taper "tasklist /SVC" en ligne de commande.
Marsh Posté le 28-05-2003 à 11:48:36
antheus a écrit : SVCHOST est un processus générique, qui sert à lancer des services NT ou XP contenus dans des DLL. |
Je confirme.
Par contre system.exe ca n'est pas un fichier systeme Windows, ce gence de nom ca ressemblerait pas mal a un virus.
Marsh Posté le 28-05-2003 à 12:15:41
El Pollo Diablo a écrit : |
Exact !
http://securityresponse.symantec.c [...] chili.html
Marsh Posté le 29-05-2003 à 12:29:29
Bon... en fait je n'ai pas de system.exe sur ma machine, j'm'a trompé
C'est dans le paramétrage par défaut de Kerio, il y a une règle autorisant le TCP out sur le port 445 à l'application system...
Il y a juste écrit system là où d'habitude il y a le chemin complet des applis : késako ?
Marsh Posté le 22-05-2003 à 19:28:36
C'est normal? Je fais bien de faire deny à chaque fois?
J'arrêtes ps de recevoir ces messages :'Trucmuche essaye d'accéder à system.exe (ou svchost.exe)', j'hésite à créer une règle ne sachant si ces accès sont normaux ou pas...