Me serais-je fait hacké cette nuit?

Me serais-je fait hacké cette nuit? - Windows & Software

Marsh Posté le 06-12-2002 à 11:24:13    

Ben g qq pb sur mon PC depuis ce matin. Il a passé la nuit sur internet (en faisant tourner quelques softs qu'on ne citera pas... :whistle: )
Le pc est sous wiondows 2000 sp3, avec norton 2002 à jour, trojan hunter, pest patrol, spybot, adaware, le tout à jour. Je contrôles régulièrement la base de registre et j'ai un scan complet par jour.
La connection se fait au travers d'un router (netopia, une daube) sur du netissimo pro (ip fixe)
Je n'utilise que des versions propres des logiciels à ne pas citer ( :whistle: ).
Enfin bref, ce matin j'ai eu une serie de plantages bizzares et norton désactivé. Impossible de le reactiver ou de scanner malgré une mise à jour puis une reinstallation. Trojan Hunter a detecté un port ouvert qui ressemble à une signature de NokNok (un trojan classique) mais aucune trace de celui ci dans la BDR.
Enfin bref, c le bronx total.
 
Je vais reinstaller la becanne qui a morflé mais j'aimerais avoir votre avis sur ce qui s'est passé. C'est surtout le comportement de norton qui m'inquiette (le reste parait plus ou moins normal en fait... la becanne est un appat sur le reseau pour eviter qu'un esprit malveillant s'interesse aux autres serveurs...)

Reply

Marsh Posté le 06-12-2002 à 11:24:13   

Reply

Marsh Posté le 06-12-2002 à 11:30:07    

vendredi cai trolly  :whistle:

Reply

Marsh Posté le 06-12-2002 à 11:34:32    

C'est tout ce qu'il y a de plus serieux. Si ça s'était passé un lundi, j'aurais posté un mardi...
Mais c pas le sujet. Ce que je veux savoir c pkoi norton a déconné. Comment ça se fait-ce? Alors qu'il est censé detecter, il se fait shunter comme un bleu...

Reply

Marsh Posté le 06-12-2002 à 11:36:17    

NicolBolas a écrit :

C'est tout ce qu'il y a de plus serieux. Si ça s'était passé un lundi, j'aurais posté un mardi...
Mais c pas le sujet. Ce que je veux savoir c pkoi norton a déconné. Comment ça se fait-ce? Alors qu'il est censé detecter, il se fait shunter comme un bleu...


J'ai deja eu des crash de norton en utilisant des outils comme getright, la real time protection partait en core dump...


---------------
Traduction FR de FileZilla Server
Reply

Marsh Posté le 06-12-2002 à 11:39:01    

daisolay ;)
 
Bon sinon, je sais pas koi te dire, ici au boulot on utilise NIS aussi, on a pas eu de problème pour l'instant.
Tout ce que je peux dire c'est qu'il me semble avoir souvent lu que NIS n'était pas aussi fiable que ça ! Peut-être des plus compétents que moi t'en dirons plus.
 
Petite remarque personnelle : ça ne me viendrait pas à l'idée d'utiliser NIS chez moi car je trouve qu'il prends trop de décisions tout seul, qu'il y a trop d'automatisme, je préfère des softs où tu configures à la main, au cas par cas.

Reply

Marsh Posté le 06-12-2002 à 11:40:12    

GetRight etait en tache de fond mais ne DL pas à ce moment là.
Et le crash de norton est plus grave que ça : ses fichiers ont été modifiés pendent la nuit et ça rendait impossible la remise en route d'auto protect et du scan manuel.
Je crois que c'est le fichier de signature qui a été modifié (à 3h45).

Reply

Marsh Posté le 06-12-2002 à 11:42:19    

T'as Ad aware d'installé ? Tu l'as fait tourner histoire de voir si t'as pas une ou plusieurs saloperies qui trainent ?
 
T'as essayé de booter sur une D7 saine antivirus pour scanner la totale ?


---------------
Z'avez des questions ? Non.... bon je recommence
Reply

Marsh Posté le 06-12-2002 à 11:43:52    

Pas mal de virus commencent à s'attaquer directement aux Antivirus/firewalls, avant d'accomplir leurs actions néfastes, ce qui est logique. La meilleure action préventive reste à subordonner le désactivage du firewall/antivirus à un mot de passe, mais ça, j'ignores si Norton en est capable...


Message édité par B-52 le 06-12-2002 à 11:44:40

---------------
Securis c'est plus de 200 logiciels de sécurité gratuits !
Reply

Marsh Posté le 06-12-2002 à 11:44:49    

C pas Internet Security, c juste l'anti virus. NIS en effet prends trop d'initiatives pas forcement juste.
 
Mais je tiens à rajouter que le pb est d'ordre professionnel : le reseau et l'accès internet n'est absolument pas securisé. N'ayant pas de pouvoir decisionnel, j'ai mis un appat sur le réseau en esperant qu'un pirate qui rentre s'interesse plus à des extraits de films pornos qu'aux bases de données de ma boite...
Après tout, le camouflage c'est une tactique de sécurité comme une autre, non? Mais je veux quand même savoir ce qui s'est passé pour monter un dossier clair afin de convaincre mes superieurs de ne plus prendre la sécurité à la légère...

Reply

Marsh Posté le 06-12-2002 à 11:46:06    

J'ai fais tourner tous les scans (enfin ceux qui marchaient encore) en arrivant et à part trojan hunter aucun n'a détécté quoique ce soit.

Reply

Marsh Posté le 06-12-2002 à 11:46:06   

Reply

Marsh Posté le 06-12-2002 à 11:51:32    

Ha OK, bon ce qui s'est passé en détail, dur à déterminer sans avoir de logs sous la main. Per contre, rien ne t'empêche de faire un "rapport" expliquant tous les changements que tu as constaté :
 
* NAV down, impossible à relancer
* Ton port ouvert
* Les fichiers modifiés pendant la nuit
* Etc...
 
De toute façon n'oublie pas que tes supérieurs ne doivent pas être de grands compétants, si ? Donc vis-à-vis de toi, informaticien, ils doivent aussi écouter tes conseils. Et s'ils le font pas, tu demandes à n'avoir aucune responsabilité en cas de problèmes sur une situation dont tu leur as parlé.

Reply

Marsh Posté le 06-12-2002 à 11:51:42    

Moi aussi  
J'utlise des softs qu' on ne citera pas  
 
Je m reveille ce matin et la qu' est ce que je vois ??????
Un belle écran bleue sur mon Windows 2000 Server en SP3
Ecran Bleue que j' avais jamais vue auparavant !!!!!
MEMORY_MANAGMENT  qui me disais  
 
J' ai pas de firewall, pas d' antivius, pas de routeur  
 
 
_________________________________________________________________
nicolbolas a écrit  
Mais je veux quand même savoir ce qui s'est passé pour monter un dossier clair afin de convaincre mes superieurs de ne plus prendre la sécurité à la légère...
-----------------------------------
Alors la, mon pauvre, t' est pas au bout detes peines  
 
Y' a plein d' admin qui s'en foutent  
C' est du travail, de l' argent et de la maintenance en plus alors la sécurité, c' est vraiment plus que secondaire !!!!!!

Reply

Marsh Posté le 06-12-2002 à 11:57:01    

C'est une bande d'irresponsable. Outre le fait que si un des serveurs tombes on bloque tout un service pendant au moins une semaine (ils n'ont pas prevu de procedure de restauration en cas de pb), on a des soucis de confidentialité à ne pas negliger.
Entre la paye et la compta, ya bcp d'infos confidentielles. Ca n'a aucun interêt pour la majorité des gens mais qqn qui veut vraiment faire chier son monde à les moyens d'emmerder 30 000 personnes en bloquant nos systèmes. C'est là tt le problème.
Et j'arrives pas à leur faire comprendre. C'est vrai que pour y remedier, yen a pour 4 ou 5 week end de boulot et au moins 20000? d'investissement, mais je crois que c'est necesaire.
Enfin c la vielle ecole. Quand ils etaient jeune, la pointe de la technologie ct le minitel...

Reply

Marsh Posté le 06-12-2002 à 12:04:21    

ça ressemble un peu à bugbear, dans ma fac, il a commencé par désactiver norton corporate (sur les 2 machines pas à jour) puis il s'est installé et a essayé d'infecter le reste du réseau.


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 06-12-2002 à 12:10:56    

C'est toujours les plus paranos qui se font infecter :lol:. Utilise ton pc au lieu de passer ton temps a scanner et a DL les dernieres MAJ, ca te changera un peu. 0 firwall, 0 antivirus, 0 anti ad, 0 anti trojan et j en passe c'est ça le bonheur

Reply

Marsh Posté le 06-12-2002 à 12:13:25    

Masure a écrit :

C'est toujours les plus paranos qui se font infecter :lol:. Utilise ton pc au lieu de passer ton temps a scanner et a DL les dernieres MAJ, ca te changera un peu. 0 firwall, 0 antivirus, 0 anti ad, 0 anti trojan et j en passe c'est ça le bonheur


 
 :sarcastic: ca doit être beau à voir  :sarcastic:


---------------
Z'avez des questions ? Non.... bon je recommence
Reply

Marsh Posté le 06-12-2002 à 12:16:15    

ndi76 a écrit :

T'as Ad aware d'installé ? Tu l'as fait tourner histoire de voir si t'as pas une ou plusieurs saloperies qui trainent ?
 
T'as essayé de booter sur une D7 saine antivirus pour scanner la totale ?


 
une dessette ??? une cassette je veux bien mais bon D7 ca ne veut rien dire... Encore un qui veut inventer des mots :lol:

Reply

Marsh Posté le 06-12-2002 à 12:18:43    

phenixl a écrit :


 
une dessette ??? une cassette je veux bien mais bon D7 ca ne veut rien dire... Encore un qui veut inventer des mots :lol:
 


 
Encore un qui utilise simplement les abréviations les plus répandues...
Mais laisse tomber ça t'échappe peut être  :sarcastic:


---------------
Z'avez des questions ? Non.... bon je recommence
Reply

Marsh Posté le 06-12-2002 à 12:18:54    

phenixl a écrit :


 
une dessette ??? une cassette je veux bien mais bon D7 ca ne veut rien dire... Encore un qui veut inventer des mots :lol:
 

C'est utilisé depuis des années ...


---------------
Vidéo Concorde Air France | www.kiva.org
Reply

Marsh Posté le 06-12-2002 à 12:27:35    

Hey masure, tu crois pas que t'en fait un peu trop? Tout le monde est d'accord pour dire que ces softs ne sont pas indispensable quand tu surveilles ta becannes et ce qui se passes dessus.
Seulement là je te parles d'un rezo d'entreprise. Je peux pas verifier ce qui s'y passes en permanence. Donc j'ai une becanne de crash test qui me permet d'attirer l'attention pour pas qu'un intrus ne s'interesse aux serveurs, mais quand ya un pb dessus (c la première fois que ça arrive en 6 mois en fait), je prefère comprendre...

Reply

Marsh Posté le 06-12-2002 à 12:44:02    

NicolBolas a écrit :

Hey masure, tu crois pas que t'en fait un peu trop? Tout le monde est d'accord pour dire que ces softs ne sont pas indispensable quand tu surveilles ta becannes et ce qui se passes dessus.
Seulement là je te parles d'un rezo d'entreprise. Je peux pas verifier ce qui s'y passes en permanence. Donc j'ai une becanne de crash test qui me permet d'attirer l'attention pour pas qu'un intrus ne s'interesse aux serveurs, mais quand ya un pb dessus (c la première fois que ça arrive en 6 mois en fait), je prefère comprendre...


 
méa culpa

Reply

Marsh Posté le 06-12-2002 à 13:30:17    

NicolBolas a écrit :

Hey masure, tu crois pas que t'en fait un peu trop? Tout le monde est d'accord pour dire que ces softs ne sont pas indispensable quand tu surveilles ta becannes et ce qui se passes dessus.
Seulement là je te parles d'un rezo d'entreprise. Je peux pas verifier ce qui s'y passes en permanence. Donc j'ai une becanne de crash test qui me permet d'attirer l'attention pour pas qu'un intrus ne s'interesse aux serveurs, mais quand ya un pb dessus (c la première fois que ça arrive en 6 mois en fait), je prefère comprendre...


un reseau d'entreprise avec du norton comme antivirus
 
 
laisse moi rire  :lol:  [:skyx@v]


---------------
La douleur n'est qu'une information
Reply

Marsh Posté le 06-12-2002 à 13:45:40    

vachefolle a écrit :


un reseau d'entreprise avec du norton comme antivirus
 
 
laisse moi rire  :lol:  [:skyx@v]  


Bah Si c'est du Norton Corporate je vois pas le probleme ...
En revanche se servir de logiciel a ne pas citer sur une machine du taf , il faudrait peut etre y voir l'origine des problemes....
 
 
--  
Je parle & je dis rien va :p

Reply

Marsh Posté le 06-12-2002 à 13:48:46    

littleboboy a écrit :


Bah Si c'est du Norton Corporate je vois pas le probleme ...
En revanche se servir de logiciel a ne pas citer sur une machine du taf , il faudrait peut etre y voir l'origine des problemes....


Un autre admin qui aurait vu ces logiciels tourner et qui aurait tue la machine ? :lol:


---------------
Traduction FR de FileZilla Server
Reply

Marsh Posté le 06-12-2002 à 13:50:02    

BC-A a écrit :


Un autre admin qui aurait vu ces logiciels tourner et qui aurait tue la machine ? :lol:  


Ce qui serait a mon avis la chose la plus logique a faire plus + un rapport :o
 
--
Bon on arrete un peu :D

Reply

Marsh Posté le 06-12-2002 à 14:14:22    

Quel idée aussi d'avoir du norton ...il laisse passer pas mal de trojan ... :cry:

Reply

Marsh Posté le 06-12-2002 à 14:59:14    

Le plus gros problème, c'est que les choix sont fait sur deux critères : la quantité de pub reçue et le prix annoncé dans lesdites publicités. Je crois que c pour ça qu'on a norton.
Enfin le système corporate est pas trop mal foutu, le dispatch automatique des mise à jour nous economise pas mal de galères.
Pour ce qui est des autres admins, aucun ne touches à mes bécanes. Primo parceque je m'occupe du hard et qu'ils n'y connaissent rien, secundo parcequ'ils n'ont pas tous les mots de passe (j'ai un réseau de test à part). Donc ça ne peut pas être eux.
Cependant concernant la mise en place de logiciels à ne pas citer, comme je l'ai dit plus haut c un apat. Entre le serveur IIS, la messagerie (tjrs kro$oft), le ftp et tous les services qui tournent sans qu'on saches pourquoi sur les erveurs principaux (tous visibles de l'exterrieur), je préfère quand même qu'un hacker s'interesse au port 1214 d'une machine de crash test. J'ai eu beau patcher les services sur les srvr nt4, ya tjrs des failles. Donc on détourne l'attention, ça vaut mieux.
 
Enfin bref, c pas tous ça mais la question à la base c pkoi norton s'est bouffé la queue. Dans l'absolu ça n'a pas grande importance, mais sachant que l'auteur du hack va surement revenir, je veux savoir quels outils il a utilisé. Logique, non?

Reply

Marsh Posté le 06-12-2002 à 15:04:03    

NicolBolas a écrit :

Le plus gros problème, c'est que les choix sont fait sur deux critères : la quantité de pub reçue et le prix annoncé dans lesdites publicités. Je crois que c pour ça qu'on a norton.
Enfin le système corporate est pas trop mal foutu, le dispatch automatique des mise à jour nous economise pas mal de galères.
Pour ce qui est des autres admins, aucun ne touches à mes bécanes. Primo parceque je m'occupe du hard et qu'ils n'y connaissent rien, secundo parcequ'ils n'ont pas tous les mots de passe (j'ai un réseau de test à part). Donc ça ne peut pas être eux.
Cependant concernant la mise en place de logiciels à ne pas citer, comme je l'ai dit plus haut c un apat. Entre le serveur IIS, la messagerie (tjrs kro$oft), le ftp et tous les services qui tournent sans qu'on saches pourquoi sur les erveurs principaux (tous visibles de l'exterrieur), je préfère quand même qu'un hacker s'interesse au port 1214 d'une machine de crash test. J'ai eu beau patcher les services sur les srvr nt4, ya tjrs des failles. Donc on détourne l'attention, ça vaut mieux.
 
Enfin bref, c pas tous ça mais la question à la base c pkoi norton s'est bouffé la queue. Dans l'absolu ça n'a pas grande importance, mais sachant que l'auteur du hack va surement revenir, je veux savoir quels outils il a utilisé. Logique, non?


Bah c'est peut etre un bete plantage lié a tes logiciels ...
Vu la frequence des blue screens rapportés ici par le passé lié a l'utilisation de tels logiciels ;)
Sinon regarde voir chez symantec directement il y a peut etre des réponses/ cas similaires :)

Reply

Marsh Posté le 06-12-2002 à 15:15:51    

Ca m'etonerait : g eu un trafic monstre en upload alors que j'avais rien en dl ou en partage sur le 1214 (on l'a reconnu mais faut tjrs pas le citer) et les fichiers de l'antivirus (base de signature et executables) ont été modifiés dans la nuit sans qu'aucune mise à jour ne soit passée.
En clair je suis sur qu'il y a eu intrusion, mais je n'arrives tjrs pas à savoir ce qu'il a fait exactement! Tout ce que je demandes c des pistes pour savoir quels outils il a utilisé._

Reply

Marsh Posté le 06-12-2002 à 15:21:12    

c'est quel port qui est ouvert ?


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 06-12-2002 à 15:25:34    

Pourquoi tu dit que ton routeur Netopia est une daube ?
 
Il font de bon produit, tu as quoi à lui reprocher ?
 
Tu as activé le firewall du netopia ?

Reply

Marsh Posté le 06-12-2002 à 15:27:08    

Mjules a écrit :

c'est quel port qui est ouvert ?


le 1214 :D

Reply

Marsh Posté le 06-12-2002 à 15:29:32    

pas celui là  :whistle:  celui du troyen :p


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 06-12-2002 à 15:30:43    

vachefolle a écrit :


un reseau d'entreprise avec du norton comme antivirus
 
 
laisse moi rire  :lol:  [:skyx@v]  


 

epicea a écrit :

Quel idée aussi d'avoir du norton ...il laisse passer pas mal de trojan ... :cry:


 
 
:heink:
 
oui? et alors ? l'evidence meme est d'utiliser quel Antivirus d'après vous :sarcastic:
 
Panda ?
 
---------------------------------------------------
 
Cela dis c'est vrai que c'est dur de convaincre en matiere de sécurité ... mais essayes de les convier à des salons ou autre demos la dessus !!! ca fait peur et ca marche bien en general...


Message édité par Pims le 06-12-2002 à 15:32:44

---------------
Life is like a box of chocolate you never know what you gonna get.
Reply

Marsh Posté le 06-12-2002 à 15:31:30    

Mjules a écrit :

pas celui là  :whistle:  celui du troyen :p  


Bah faut lire la doc sur Nok Nok :o

Reply

Marsh Posté le 06-12-2002 à 15:36:28    

En l'occurence, il a été détécté sur le 1210. Mais je sais que normalement il s'ouvre aussi sur le 166 ou le 661. Seulement trojan hunter m'a dit "1210:noknok". Impossible de savoir comment il a été implanté.

Reply

Marsh Posté le 06-12-2002 à 15:42:12    

NicolBolas a écrit :

En l'occurence, il a été détécté sur le 1210. Mais je sais que normalement il s'ouvre aussi sur le 166 ou le 661. Seulement trojan hunter m'a dit "1210:noknok". Impossible de savoir comment il a été implanté.
 


euh tu as détecté une tentative d'intrusion ?
la dans ce cas cela veut pas dire que tu as le trojan sur ta machine ;)

Reply

Marsh Posté le 06-12-2002 à 16:13:03    

J'étais pas là pendant l'intrusion, ça s'est passé vers 3h du mat. Mais ce matin en lançant le scan il m'a dit texto que le port 1210 etait ouvert et que ça ressemble à noknok.
Et je suis sûr qu'il y a bien eu intrusion vu que les fichiers de l'antivirus ont été modifiés. Je repose la question : comme il a pu faire (ya même pas de partages smb sur cette machine...)

Reply

Marsh Posté le 06-12-2002 à 16:35:57    

NicolBolas a écrit :

J'étais pas là pendant l'intrusion, ça s'est passé vers 3h du mat. Mais ce matin en lançant le scan il m'a dit texto que le port 1210 etait ouvert et que ça ressemble à noknok.
Et je suis sûr qu'il y a bien eu intrusion vu que les fichiers de l'antivirus ont été modifiés. Je repose la question : comme il a pu faire (ya même pas de partages smb sur cette machine...)


Bah en passant par ton logiciel du 1214 a priori  ;)

Reply

Marsh Posté le 06-12-2002 à 16:42:48    

oui? et alors ? l'evidence meme est d'utiliser quel Antivirus d'après vous  
 
Panda ou AVP ... C toujours mieux ...;)

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed