Attaques à répétition ? - Réseaux - Réseaux grand public / SoHo
Marsh Posté le 16-01-2007 à 05:05:47
C'est quoi ton firewall ?
Marsh Posté le 16-01-2007 à 05:12:25
Metrocard a écrit : C'est quoi ton firewall ? |
Pas celui de windows, celui du modem CI est désactivé, en fait, c'est celui de Kaspersky Internet Security.
Mais qu'il soit lancé ou pas ne change rien à l'affaire malheureusement
Naturellement, j'ai aussi essayé differents réglages au niveau Firewall, AntiHacker, etc etc mais rien n'y a fait non plus.
Ce que j'aimerais comprendre, à défaut de pouvoir résoudre le probleme sans devoir reformater, c'est sur quoi ou qu'est ce qui se connecte chez moi ?
Je veux dire, ca vient bien d'une IP ou ca va bien vers une IP, non ? Alors pourquoi je ne la trouve nulle part ?
Ou alors, c'est ma carte réseau qui se transmet à elle meme en boucle, c'est possible ça ?
Marsh Posté le 16-01-2007 à 08:19:53
lance un netstat -a tu verra tout les port ouvert sur ta machine.
enfin moi perso, au premier courrier de CI, j aurais deja formaté.
Marsh Posté le 16-01-2007 à 09:01:20
Installe un programme appelé "active ports". A la différence d'un netstat, en plus des ports ouverts, il devrait t'indiquer quels programmes ont ouvert les ports.
Marsh Posté le 16-01-2007 à 10:08:32
Tu peux toujours faire un Démarrer -> Executer -> msconfig pour voir si y a pas un programme qui se lance au démarrage...
Marsh Posté le 16-01-2007 à 19:17:39
Citation : lance un netstat -a tu verra tout les port ouvert sur ta machine. |
Netstat, déjà fait, effectivement quelques ports sont en listening, mais je pense pas qu'il faille chercher de ce coté là. De plus, TCP View remplit le meme role, non ?
Les courriers en question datent d'il y a quelques jours, pas de quoi s'alarmer pour le moment, je reformaterai sans doute plus tard (là, j'éviterais ca au maximum, ca tombe mal)
Citation : Installe un programme appelé "active ports". A la différence d'un netstat, en plus des ports ouverts, il devrait t'indiquer quels programmes ont ouvert les ports. |
J'vais voir si je trouve ce truc sur gogole, et je viendrai raconter ce qu'il en est.
EDIT : je l'ai trouvé sur ZDNet, mais c un programme qui date de 2002, et d'après la description, il fait la meme chose que TCP View, donc j'en conclus qu'il est inutile de l'essayer.
Citation : Tu peux toujours faire un Démarrer -> Executer -> msconfig pour voir si y a pas un programme qui se lance au démarrage... |
Je n'ai rien de spécial qui se lance au démarrage, et j'avais déjà vérifié cette piste depuis un bail grace à Regcleaner
Merci à tous de vous pencher sur mon souci
Ce qu'il serait interessant de comprendre, c'est (si effectivement je n'ai pas de chance) de savoir ce que j'ai pu attraper qui ne soit pas détectable par tous les programmes antimachins que j'ai pu essayer...
Car ca me parait incroyable que je sois le seul à avoir attrapé ce truc maudit (si truc maudit il y a, naturellement).
D'autres idées ou suggestions ?
Marsh Posté le 17-01-2007 à 06:54:21
Prems a écrit : Et pourquoi le firewall de la CI box est désactivé ? |
1) Ce n'est pas la CI box, mais le Tecom AH4021
2) Il n'y a pas d'option firewall directement accessible dans son interface. Il est désactivé d'origine, et pour l'activer, il faut sauvegarder la config du Tecom, bidouiller le fichier obtenu car crypté, etc etc.
De toute manière, il ne m'interesse pas
Marsh Posté le 17-01-2007 à 07:38:16
HarFanG67 a écrit : |
La preuve, ton PC est infecté tant qu'il n'en peut plus
Install ethereal et épluche les logs.
Marsh Posté le 17-01-2007 à 08:06:21
HarFanG67 a écrit :
Netstat, déjà fait, effectivement quelques ports sont en listening, mais je pense pas qu'il faille chercher de ce coté là. De plus, TCP View remplit le meme role, non ? |
il y a forcement quelque chose sur ta machine qui ecoute et renvois sur ta machine, post nous les resultat si tu veux qu on t aide
Citation :
|
Tu fais comme tu veux, si l'idee d etre un PC zombie exploité a spammer des millier de personne ne te derange pas, reste comme ca.
Marsh Posté le 17-01-2007 à 09:14:03
Z_cool a écrit : |
T'inquiète que si CI lui a déjà envoyé un courrier, la coupure de la ligne ne prendra pas tant de temps que ça.
Marsh Posté le 17-01-2007 à 09:15:13
Prems a écrit : T'inquiète que si CI lui a déjà envoyé un courrier, la coupure de la ligne ne prendra pas tant de temps que ça. |
en meme temps, CI pourrait faire comme Free, bloquer par defaut l envois de mail directement depuis l ordinateur
Marsh Posté le 17-01-2007 à 09:18:44
Z_cool a écrit : en meme temps, CI pourrait faire comme Free, bloquer par defaut l envois de mail directement depuis l ordinateur |
Si c'est un Open Proxy, c'est pas que les mails qu'il faut bloquer !
Marsh Posté le 17-01-2007 à 09:32:48
ReplyMarsh Posté le 18-01-2007 à 19:30:27
Bon.
Je dirais que l'essentiel du probleme, c'est CI eux memes.
Pourquoi ?
Parce que dans leurs mails "abuse machin" ils disent avoir reçu des plaintes.
MAIS :
- ca ne dit pas QUAND
- ca ne dit pas QUOI
- ca ne dit pas où
Bref, entre le moment où ils ont recu la ou les plaintes, celui où ils ont traité tout ça et celui où ils m'ont contacté, des tonnes d'octets ont du passer sous les ponts de diodes (:D)
Et puis, apparemment un truc a du changer, puisque quand je suis "idle", le modem l'est aussi maintenant.
Par contre, jai quelque chose qui a changé, mais pas chez moi, chez CI...
Depuis un ou deux jours, mon modem se synchronise beaucoup plus haut qu'avant, et mon debit d'upload est au taquet à 100/110 ko/s...
AVANT toutes ces histoires, j'atteignais peniblement les 85/90 ko/s.
Je ne dis pas que mon soit-disant probleme venait de là, mais je trouve la coincidence pour le moins troublante, pas vous ?
PS : si je n'ai pas posté de photos Netstat ou autres, c'est parce qu'il n y avait rien d'utile dedans
Et de toute maniere, je connais la manip à faire pour bloquer une IP parasite : soit en la bloquant via firewall, soit en la rajoutant dans le fichier hosts machin de windows (suivie de localhost ou 127.0.0.1).
Voilà, merci encore pour vos idées et conseils les amis
Marsh Posté le 16-01-2007 à 04:56:08
Salut tout le monde !
Je craque complètement, car depuis plusieurs semaines il m'arrive quelque chose de surprenant, mais que je vous explique...
J'allume le modem-routeur AH4021 de chez CI, il se connecte normalement en quelques minutes.
J'allume ensuite le PC.
Quelques instants plus tard, la loupiote Ethernet du modem commence à clignoter alors que je n'ai encore rien fait.
Comme j'ai un ptit programme qui m'affiche ce qui entre et ce qui sort, je vois qu'il se passe ce qui suit :
- un download se fait, il dure quelques secondes ;
- ensuite, ca passe en upload, et ca tape à fond les manettes, si bien que si j'essaie de jouer à mes jeux online, ca me fait laguer à crever....
Voici ce que j'ai fait jusque là :
- plusieurs scans d'antivirus online = que dalle
- passé plusieurs fois Kaspersky 6 = que dalle
- Spybot = que dalle
- Ad Aware = que dalle
- Bazooka = que dalle
J'ai essayé de regarder avec TCP View = rien d'anormal.
Et comme si ca ne suffisait pas, CI m'a envoyé plusieurs mails comme quoi j'aurai un Open Proxy sur ma bécane, et ils auraient reçu des plaintes relatives à mon IP....
Là, pendant que je vous écris, la loupiote Ethernet clignote comme une tarée, et je vois que j'ai de l'upload qui se fait....
Sachant que tous mes programmes antimachins sont mis à jour quotidiennement, ben je sais plus quoi faire...donc : AU SECOURS !!!
Pendant un moment, je me suis dit que peut-etre c'etaient des mecs qui scannent des plages d'IP pour trouver une machine sur laquelle ils pourraient uploader du warez => j'ai bien checké mes partitions, je n'ai rien trouvé d'anormal quant à la taille utilisée, donc c'etait pas ça.
Qui aurait une idée ?
Merci d'avance, car là, j'en ai plein les bretelles pour rester correct