blaster ou sasser!!!

par **cyberman** » 21 Août 2005 13:00

Salut tt le monde je suis sur ipcop 1.4.1 extrêmement t stable pas de problème
Je matin je me suis connecté sur google earth et depuis tout mon réseaux reboote
Je croyais qu’avec ipcop c’étais complètement protéger d’ailleurs c’étais le cas pendant 3 ans !!
Que faire la !!
Je suis sur win2000 sp4 avec tt les mises a jours !!!
Y a il un addons sur ipcop pour résoudre le problème ??
Merci

par **micjack** » 21 Août 2005 13:37

C'est currieux, tout les ports sont dropés venant du Web, donc le 445 ne peut passer... Tu a quoi comme message ou erreur sur ton Win2K avant que cela reboot ?

par **cyberman** » 21 Août 2005 13:53

le message classique de sasser et blaster
votre systeme va redémarrer dans 30 secondes
LSASS.exe.....
surement il y a une rélation avec google earth j'avais aucun prolème avant son utilisation?!

par **micjack** » 21 Août 2005 14:14

J'ai franchement un doute de l'utilisation de ton google earth que je n'es jamais utilisé, mais nettoye ta becane et sniff ton reseau quand tu utilise Google machin. Si tu te fais veroler une autre fois, ca reste franchement à creuser ton histoire..

Edit: Apres reflexion, si tu es derriere ton IPCop, il est impossible que le/les vers passe... Le probleme vient d'ailleur, mais vois pas d'ou...

par **Gesp** » 21 Août 2005 14:55

D'abord il y a des failles non patchées dans IE actuellement.

Ensuite il y a un virus récent qui passe par le port 445 et infecte W2000 uniquement voir http://www.frsirt.com/virus/20050814.ZotobA.php

Il y a un réel problème pour ceux qui ont ouvert le port 445 pour administrer l'interface web d'IPCop depuis l'extérieur.
Dans ce cas, si vous avez W2000, vous n'avez aucune protection contre ce virus à moins que toutes vos machines W2000 soient à jour.

par **micjack** » 21 Août 2005 15:01

C'est sûr, si il a ouvert le port 445, mais comme il ne l'a pas signalé (cela lui aurrait du lui paraitre logique) Certains sur leur IPCop on changé le port il me semble....Mais c'est la bizarerie avec "Google earth" qui reste à determiner..

Je vais l'utiliser pour voir...

par **cyberman** » 21 Août 2005 15:57

j'ai rebooter mon ipcop
et goster mes pc pour l'instant tout est calme !
j'utilise encore google earth pour verifier d'ou ca vien!
merci

par **micjack** » 21 Août 2005 16:23

Bon, j'ai testé et tout est http, y'a pas de port source sur le 445...
C'est bien cela que tu utilise ?
http://www.google.com/url?sa=D&q=http:/ ... %26hl%3Dfr

A tu verifié en lisant le lien de Gesp, si les fichiers infectés ou mis en place par le virus sont presents sur ta machine Win2K ?

par **cyberman** » 21 Août 2005 16:55

oui c'est bien ça mais en mode logicielle
http://earth.google.com/
pour le virus c'est bien le style de sasser car il touche lsaas.exe
il n ya pas les fichier mentionner par Geps
http://www.frsirt.com/virus/20050814.ZotobA.php
le bizarre c'est que j'ai plus rien la!!!
ce qui laisse penser qu'il y a eu une faille sur mon ipcop pour une raison inconnu!
car depuis le reboot tout est normale pour l'instant!

par **Mister-Magoo** » 21 Août 2005 18:12

Ce qui me laisse perplexe, c'est que si le 445 est ouvert pour administrer IPCop, il n'y a aucune raison qu'un quelconque virus ou autre vienne perturber une distribution Linux

par **micjack** » 21 Août 2005 19:18

Mister-Magoo a écrit:Ce qui me laisse perplexe, c'est que si le 445 est ouvert pour administrer IPCop, il n'y a aucune raison qu'un quelconque virus ou autre vienne perturber une distribution Linux

C'est une bonne remarque, puisque c'est sur le INPUT du Firewall que le port 445 est autorisé, il n'y a pas de transfert de port vers le Green me semble t'il ... Mais comme j'utilise pas IPCop, j'en sais rien de ce qui ce passe dedant... Chez moi, y'a rien qui traverse le Firewall si un port autorisé concerne ce dernier, mais bon... A suivre

par **antolien** » 22 Août 2005 00:04

Je verrais plutôt l'attaque de l'interieur.

N'y aurait-il pas un portable qui s'immisse dans le lan , verollé dans le genre ?

ya pas du wifi dans ton réseau ?

Où alors sinon il sagit de spoofing, mal géré par ipcop..

Autrement je ne vois pas, pour pouvoir attaquer le port 445 où 135 de l'exterieur, a part un paquet malformé interprété de mauvaise façon par ipcop, je ne vois pas. Ce qui est inquiétant c'est que le reboot à réglé le problème ..

par **foxgnome** » 22 Août 2005 00:19

Bon, je suis aussi sous win2000(sp3), j'utilise google earth, et tout ça derrière IPCOP 1.4.6 ;-)

. Pas de problèmes jusque là, l'antivirus (AVG) et un antispy de crosoft sont là aussi, coté IPCOP, IDS sur RED est actif.

Antolien a raison controle les postes du réseau, j'ai déja eu ce problème ( vers et virus )

NB: passe à la 1.4.6 ;-)

pour voir...( perso j'ai autorisé l'accès à IPCOP depuis le Net, mais j'ai changé le port en 4445 :-)

par **micjack** » 22 Août 2005 00:29

antolien a écrit:Je verrais plutôt l'attaque de l'interieur

C'est effectivement une possibilité que personne n'a pensé, meme si il semblerait que Cyberman possede qu'une seule machine sur son Green qui est le Win2K.

Mais du coup, je ne vois que ca aussi, la bestiole se la joue P2P sur le port 445 dans le reseau interne.

par **Gesp** » 22 Août 2005 13:40

perso j'ai autorisé l'accès à IPCOP depuis le Net, mais j'ai changé le port en 4445

J'ai fait un script pour changer proprement le port du https dans les différents fichiers.
Ce sera en 1.4.7/1.4.8

445 est vraiment trop mal fréquenté.

blaster ou sasser!!!

blaster ou sasser!!!

Qui est en ligne ?