Infecté par Bug RPC malgrés station derrière IPCop

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Publier une réponse

Messagepar antago » 10 Mars 2004 11:39

Salut, <BR>Malgrés la présence d'un IPCop configuré selon la règle d'antolien (tous bloquer et autoriser après) ma station XP est touchée par la faille RPC et le pc reboot apres 60 sec, malgrès des antivirus à jours rien n'est detecté sur mon PC.Que faire ? <BR>Merci.
J'aime pas les brocolis.
PIII 667Mhz 256 Mo 2.1Go
1.4
Avatar de l’utilisateur
antago
Aspirant
Aspirant
 
Messages: 133
Inscrit le: 29 Sep 2003 00:00
Localisation: 51
Haut

Messagepar svart » 10 Mars 2004 12:24

Salut, <BR> <BR>Si ton firewall est correctement reglé et bien situé entre Internet et ton poste, impossible que tu sois infecté. <BR> <BR>Donc <BR> <BR>HYPOTHESE 1 <BR>Tu es infecté. Ton firewall est mal reglé (voir logs pour vérifier que les flux sur 139 et 137 sont bloqués) OU BIEN la source d'infection est un poste sur le LAN. <BR> <BR>HYPOTHESE 2 <BR>TU n'es pas infecté. C'est un autre problème qui fait redémarrer ton ordi. Astu désactivé l'option de redémarrage automatique dans les propriétés du poste de travail (clic droit sur ce dernier, propriétés, et j'ai oublié le nom de l'onglet mais tu trouveras sur la feuille de propriété la durée d'attente au reboot pour choisir le système, l'option de faire un mini-dump au moment du plantage, et de redémarrer. Je décoche toujours ces deux dernières options.
Si l'on ne fait que ce que l'on sait faire, on n'apprend jamais rien.
Avatar de l’utilisateur
svart
Vice-Amiral
Vice-Amiral
 
Messages: 853
Inscrit le: 04 Sep 2003 00:00
Localisation: Finistère
Haut

Messagepar ShonGail » 10 Mars 2004 12:29

si ta station xp est seule derrière ton ipcop alors ce n'est normalement pas possible, règles d'Antolien appliquées ou non. En effet le "Bug RPC" est en fait une communication sur un port précis initié depuis un ordi sur le net vers ton ip publique. Si ton ipcop est branché à ton modem, c'est lui qui recoit la requête et à moins que tu ais effectué une redirection du port 135 (celui qui est sensible à la faille) vers ta station xp, il bloque cette requête maligne par le fait du routage NAT (ipcop, lui même sous linux, n'y est bien sûr pas sensible) <BR> <BR>si tu as un autre ordi sur ton LAN, peut-être est-ce lui qui execute le virus et initie les connections ? <BR> <BR>Quoit qu'il en soit, tu as commis une bévue en ne patchant pas la faille sur ton poste XP. Ipcop ou non, il faut maintenir à jour son système, surtout sur les failles critiques ! <BR> <BR>En attendant de trouver la source de tes problèmes, mets à jour ton XP à travers windows update. (empeche ton poste de redemarrer à chaque fois en tapant "shutdown -a" dans "executer")
Avatar de l’utilisateur
ShonGail
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 207
Inscrit le: 21 Fév 2003 01:00
Haut
Publier une réponse

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

Powered by boolaz
cron