Propagation de Nimda
Propagation de Nimda - Windows & Software
Marsh Posté le 18-10-2001 à 14:01:53
au travers d'un mail recu ou d'une page deja verole sur le net 
---------------
"Tout ce que je sais c'est que je ne sais rien" Socrate
Marsh Posté le 18-10-2001 à 14:04:22
Peut-etre as tu un autre ordinateur de ton réseau local infecté (te connaissant je doute que tu l'ai reçu par email et exécuté et même je doute de ma prmière hypothèse ) ?
La c'est plus du domaine du mystère qu'autre chose...
Dans les logs du serveur IIS du portable tu auras des accès (root.exe, cmd.exe) et l'IP de l'hote qui t'a contaminé... je pesne que c'est un bon point de départ pour commencer l'enquête 
Marsh Posté le 18-10-2001 à 14:21:51
Merci Requin je n'ai pas pensé a regarder les log. Une fois le virus éradiqué j'ai continué a l'installation des applications.
J'ai pensé aux serveurs IIS du réseau, ils sont tous patchés ou sains. Je regarde les log.
Merci de votre aide 
Marsh Posté le 18-10-2001 à 14:27:05
En regardant le log, je l'ai chopé lundi soir visiblement peu de temps après l'installation de Win2k au vu de l'heure depuis plusieurs adresses d'abonnés wanadoo (80.x.x.x), et donc à travers le Prestige 642R 
Mon interrogation maintenant est comment ces requêtes ont pu arriver jusqu'au serveur IIS, le Prestige est censé filtrer non. Requin toi qui connais ces routeurs qu'en penses tu, que conseilles tu ?
[edtdd]--Message édité par Guru--[/edtdd]
Marsh Posté le 18-10-2001 à 14:47:25
Logiquement tout appel qui arrive de l'extérieur si il n'y a pas de "port forwading" est bloqué (il atterit dans les choux diront nous)...
Donc soit tu as un port forwarding sur l'IP de ton portable (peut-etre une vieille config oubliée en des temps immémoriaux, menu 15 du Zyxel si ma mémoire est bonne et un indice de pas de bol élevé), soit je n'y comprends plus rien
Car bon ce worm entre autres scans les IPs (facon Code Red I & II) et vue que tu as je suppsoe du NAT one-to-many (une IP publique, X IPs privées) ben ca ne devrait tout simplement pas pouvoir passer (le routeur ne sait pas sur quelle IP interne envoyer le paquet)
Marsh Posté le 18-10-2001 à 14:53:42
Le seul port forwarding que j'ai fait à une époque pour tester était sur une autre machine que le portable. J'avoue ne pas trop comprendre. Le Zyxel est configuré en NAT, un IP publique dynamique donnée par l'ISP (Wanadoo en l'occurence) et plusieurs IP privées côté LAN (192.168.0.x).
Je vais quand même pas mettre un Zywall 10 derrière le prestige... y aurait il une faille sur le prestige ?
[edtdd]--Message édité par Guru--[/edtdd]
Marsh Posté le 18-10-2001 à 15:49:16
J'en doute, c'est en fait techniquement pas possible et n'importe quel routeur NAT aurait discardé les paquets, tout cimpleemnt car il n'aurait pas su ou les envoyer...
Je ne connais pas précisément la méthode que Zyxel utilise pour renvoyer les paquets un bon hôte du LAN, mais la ca me semble tiré par les cheveux (ce serait bien la première fois qu'une application arrive à passer le NAT avec une simple requête HTTP)
Ou sinon c'est que nimda est maousse costaud ! 
Marsh Posté le 18-10-2001 à 15:51:38
Je vérifierais quand même demain soir la configuration du Zyxel. Mais la je suis franchement très intrigué et tout d'un coup un peu moins confiant en la relative sécurité de l'installation 
J'ai vu l'URL que tu as donné vers les tests de FW je vais jetter un oeil finalement. Merci de ton aide
Marsh Posté le 18-10-2001 à 15:55:50
Ouaip en tout cas c'est étrange, sans port forwarding que ca puisse passer... quelque soit le routeur NAT.
Marsh Posté le 18-10-2001 à 16:32:20
Je suis d'accord et ca m'inquiete un peu. Je vérifierais la config du Zyxel dès que possible doit y avoir qqch.
Sinon je regardais le lien que tu as donné chez TrueSecure et contrairement a ce qu'annonce Zyxel sur son site concernant la famille des Zywall, ils ne l'annoncent pas certifié. As tu des infos la dessus ?
Marsh Posté le 19-10-2001 à 22:55:52
Requin> J'ai vérifié la configuration du Zyxel et contrairement a ce que je pensais il faisait bien du forwarding du port 80 vers l'IP du portable et non de l'autre machine. Le mystère est donc levé 
Sujets relatifs:
- comment se débarraser définitivement de NIMDA
- Le Virus NIMDA : c'est quoi les symptomes ?
- virus Nimda - *.eml
- Enlever NIMDA proprement !! LA SOLUTION
- nimda pour les chasseur de virus ;-P a ben finalement fose alerte :(
- ATTENTION LE POST "c'etati bien tente" EST INFECTE PAR NIMDA
- attention !! nouveau virus NIMDA !! très méchant !!
- Gandi: besoin de votre experience en matiere de delai de propagation
Marsh Posté le 18-10-2001 à 10:50:58
Lundi soir je réinstalle un Win2k Server avec IIS sur mon portable, j'applique le SP2 et je continues l'installation de diverses applications. Le mardi en début de matinée je m'apperçois de quelque chose de bizare des .eml partout, conclusion nimda est passé par la. Un petit coup d'AntiNimda (merci AVP) et tout rentre dans l'ordre.
Le serveur IIS n'étant pas patché et le portable n'ayant pas encore d'antivirus, rien de surprenant à cela si ce n'est qu'il n'a été connectée que dans deux situations :
- via un routeur Zyxel, sans port mappin.
- via un partage de connexion ADSL Win2k sur un serveur IIS patché et non infecté.
Comment Nimda a t'il pu exploiter le serveur IIS de mon portable ?
[edtdd]--Message édité par Guru--[/edtdd]