Empoisonnement cache ARP - ESET - FREE

Empoisonnement cache ARP - ESET - FREE - Sécurité - Windows & Software

Marsh Posté le 06-05-2012 à 21:10:40    

Bonjour à tous !
 
Voici mon soucis :
Je suis sur Win 7
J'ai la Freebox révolution, configurée avec WPA 2, un code alpha-numéric-symbole à rallonge
J'ai bloqué la liste blanche en ayant intégré mes équipements (adresses MAC)
Mon pare-feu est ESET SMART SECURITY 5
 
Je reviens d'une semaine de vacances et j'ai une nouvelle attaque (oui, j'avais déjà un sujet mais je l'ai pas retrouvé).
 
Voici ce qui c'est affiché ce soir : attaque par empoissonnement de cache ARP détecté - Adresse IP distante : 192.168... (il s'agit de l'adresse de ma passerelle réseau, je préfère ne pas la donner).
 
J'ai regardé le mappage de mon réseau sans fil, et j'ai vu à nouveau, relié à mon SSID freebox, un autre réseau (j'ai une image mais je sais pas comment on l'intègre).
 
Help me please !!!
 
Merci par avance,
 
Letoutcasse2000

Reply

Marsh Posté le 06-05-2012 à 21:10:40   

Reply

Marsh Posté le 07-05-2012 à 04:51:24    

Bonjour,
pour mettre une image, cherchez un hébergeur sur le net genre  
http://www.google.fr/#hl=fr&gs_nf= [...] 53&bih=519
Téléchargez l'image chez eux puis copier-coller ici le lien "forum" qui vous sera donné.
 
Pour le cache, je pense qu'il y a déjà une nuisance dans votre machine qui permet l'accès. Sinon il se peut que l'attaque soit détectée mais n'ai pas réussi.
Seulement j'ai vu ça chez un pote dont la machine était infectée à fond, les pirates n’attaquent pas au pif une machine mais ils reviennent voir les machines où des troyens sont dedans.
Il faudrait faire une analyse avec Malwarebyte (refusez à l'installation la version complète).
Voir dans un forum de désinfection Libellules.ch le fait (ou Malekal.com un peu aussi).

Reply

Marsh Posté le 07-05-2012 à 20:29:24    

Bonjour,
 
https://plus.google.com/photos/1173 [...] g_ehuZnOPw
 
Voici mes impressions ecran.
 
Pour le reste, je suis désolé, je comprends pas tout.
Je dois faire une analyse avec malwarebyte, non ?
Ensuite, je ferais une impression écran et je l'envoie ?
 
Merci et a bientôt

Reply

Marsh Posté le 12-05-2012 à 18:26:46    

chermositto a écrit :

Bonjour,
pour mettre une image, cherchez un hébergeur sur le net genre  
http://www.google.fr/#hl=fr&gs_nf= [...] 53&bih=519
Téléchargez l'image chez eux puis copier-coller ici le lien "forum" qui vous sera donné.
 
Pour le cache, je pense qu'il y a déjà une nuisance dans votre machine qui permet l'accès. Sinon il se peut que l'attaque soit détectée mais n'ai pas réussi.
Seulement j'ai vu ça chez un pote dont la machine était infectée à fond, les pirates n’attaquent pas au pif une machine mais ils reviennent voir les machines où des troyens sont dedans.
Il faudrait faire une analyse avec Malwarebyte (refusez à l'installation la version complète).
Voir dans un forum de désinfection Libellules.ch le fait (ou Malekal.com un peu aussi).


 
Voici le fichier TXT de malwarebyte :
Malwarebytes Anti-Malware (Essai) 1.61.0.1400
www.malwarebytes.org
 
Version de la base de données: v2012.05.12.04
 
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Seb :: ESTEBAN-PC-PORT [administrateur]
 
Protection: Activé
 
12/05/2012 15:47:05
mbam-log-2012-05-12 (16-44-42).txt
 
Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 438455
Temps écoulé: 54 minute(s), 2 seconde(s)
 
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
 
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
 
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
 
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
 
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
 
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
 
Fichier(s) détecté(s): 1
C:\Users\Seb\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6OA7ZB56\pctuto_01net_vlc.exe (Trojan.Eorezo) -> Aucune action effectuée.
 
(fin)
 
Ca vous dit qqch ?
Pour moi, à part un trojan sur une page internet en cours (si je comprends bien), j'ai rien de grave sur le PC...
 
En fait, je penche plus sur un voisin avec un "sniffer" qui aurait trouvé ma connexion et mes adresses MAC (puisque seulement elles peuvent se connecter sur ma freebox) + un logiciel pour trouver mon mot de passe.
 
Ensuite, il se fait passer pour une de mes machines, et utilise mon réseau.
 
serait-ce possible ?
 
Merci et bonne soirée !

Reply

Marsh Posté le 12-05-2012 à 19:26:00    

Salut en effet je me rappel de toi avec ESET. Je n'ai d'ailleurs pas non plus retrouvé ton sujet. Depuis le départ je penches pour des faux-positifs du logiciel de sécurité... mais faute de pouvoir analyser les trames réseau cela reste une hypothèse.
 
Dans l'intervalle d'autres dont passé par là :
- http://forum.hardware.fr/hfr/Windo [...] 5462_1.htm
- http://forum.hardware.fr/hfr/Windo [...] 7911_1.htm (le message diffère un peu et l'internet provider n'est pas free)
 
Note qu'il y une faille dans le protocole WPS (qui permet d'associer facilement un équipement réseau, plutôt que de taper la clef WPA2) et pas mal d'équipements réseaux sont vulnérables rien que par le fait de proposer cette fonctionnalité et les fabricant sont un peu lent à fournir les correctifs. Si tu peux désactive la fonctionnalité WPS de ta box si elle le propose ( http://korben.info/cracker-cle-wpa.html ).


Message édité par Requin le 12-05-2012 à 19:26:46
Reply

Marsh Posté le 13-05-2012 à 12:07:12    

Salut Requin et merci de ta réponse.
Tout d'abord, très interessant ton sujet sur le WPS. J'ai vérifié dans plusieurs forum, la freeV6 ne l'a pas, du moins, pas actif et pas activable (ouf).
Pour ESET, malheureusement, le sujet d'empoisonnement ARP n'est pas très renseigné, donc rien à en tirer (pas grave).
L'autre sujet, c'est un empoisonnement DNS, ce qui n'est pas pareil. ESET m'a donné un truc pour réparer le problème, ça n'a pas marché puisqu'il s'agissait d'une réparation pour l'empoissonnement DNS.
 
Pour info, j'ai eu le voisin qui semble se connecter sur moi. Il s'y connait encore moins que moi. Par contre, il a aussi une Freebox. Est-ce que l'équipement sur mon réseau qui apparait avec un "?" ne serait pas sa freebox qui se connecterait à la mienne ?
 
Je vais appeler Free pour ça.
Du coup, je pense que les 2 problèmes ne seraient pas liés...
 
A plus tard et merci !

Reply

Marsh Posté le 13-05-2012 à 21:26:03    

Disons que pour faire de l'ARP Poisonning il faudrait être sur le même réseau local que toi (en clair branché sur un port ethernet ou connecté à ton Wifi).
 
Vu que tu as changé la clef de ton réseau et mis qqch de bien random  c'est peu probable qu'il s'agisse réellement d'ARP poisonning.
 
Tu peux aussi télécharger un network scanner pour vérifier toute ta plage d'IP locale à la recherche de machines qui y seraient connectées.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed