Parlons d'attaques/crashes... (et de reboot)

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Messagepar Poulet » 19 Fév 2004 15:22

Bonjour ! <BR>(attention ce post risque d'être long) <BR>Alors j'ai un problème : j'ai un pc sous windoz xp auquel je me connecte en remote admin sur Metz (ip [edit : pas d'ip publiques svp]), il est sur un réseau local derrière un fire ou les ports 22 et 4662 sont ouverts (j'ai mis le remote admin sur le 22) <BR> <BR>Et là, ce pc à un problème d'affichage graphique (enfin bref, ça on s'en fout) toujours est-il qu'il ne veut pas redémarrer (je clique dessus et il ne fait... rien). <BR>J'ai un cygwin installé dessus (c'est d'ailleurs avec ça que j'ai tenté de killer certains process pour améliorer les choses, parce que le task manager ne s'affiche pas). <BR>Et evidemment moi je suis sur Paris donc je ne peux pas appuyer sur reset... <BR> <BR>(j'ai essayé : le redémarrage de windoz, le shutdown -r de windoz, le reboot (-r) now de cygwin, le reboot intégré de remote admin ; j'ai aussi essayé de killer winlogon (j'ai des pstools sur cygwin pour avoir accès aux process NT) ce qui m'avait crashé et rebooté mon pc une fois précédente mais là rien. Bref, sans succès pour l'instant) <BR> <BR>Mon problème serait donc de l'attaquer (au final je ne vois plus que cette solution) pour le faire crasher et espérer qu'il redémarre... <BR> <BR>Les accès : TCP/UDP port 22 et 4662 vers [edit : pas d'ip publiques svp] et ICMP passe aussi. <BR> <BR>Ce que je peux faire : j'ai un accès aux lignes de commandes sur ce pc (celles de cygwin et celles de windoz), je peux lui envoyer d'autres programmes (via remote admin) et les executer via les lignes de commandes (mais si c'est graphique je ne verrais rien... si ça reste dans le shell c'est bon. Ah oui, le server X de cygwin ne s'affiche pas non plus (il démarre mais comme les autres apps on voit rien)) <BR>Donc a priori je peux utiliser des applications server si vous avez une idée. <BR> <BR>Si vous avez aussi une autre idée pour le faire redémarrer sans l'attaquer (un petit programme qui peut le faire crasher ? Une commande qui fait crasher ?) <BR> <BR>Bon bah voilà, je pense que c'est un problème intéressant, qu'en pensez vous ? Des idées ? <BR>Merci d'avance ! <BR> <BR> <BR>_________________ <BR>--Poulet<BR><BR><font size=-2></font>
-- Poulet@Supelec[Metz]
Avatar de l’utilisateur
Poulet
Quartier Maître
Quartier Maître
 
Messages: 20
Inscrit le: 13 Août 2003 00:00
Localisation: Près de Versailles (78) ou à Metz (57)

Messagepar Muzo » 19 Fév 2004 15:29

Salut, <BR> <BR>Qu'est ce qui nous prouve que c'est ta machine? <IMG SRC="images/smiles/icon_smile.gif">
/Muzo
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
Avatar de l’utilisateur
Muzo
Amiral
Amiral
 
Messages: 5236
Inscrit le: 07 Mai 2003 00:00
Localisation: BNF! Je me culturise.

Messagepar JaDiuM » 19 Fév 2004 15:32

bonjour, <BR> <BR>1) ne pas mettre les IP's !!! <BR>2) ta demande me parait pas tres serieuse !!! <BR> <BR> <BR>Cdt
" Quand on ne sait pas où l'on va, tous les chemins mènent à nulle part." [Kissinger]
Avatar de l’utilisateur
JaDiuM
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 334
Inscrit le: 15 Jan 2004 01:00

Messagepar Poulet » 19 Fév 2004 17:42

Ce qui prouve que c'est ma machine c'est que j'ai le pass de remote admin et que je peux intaller des trucs dessu, que y'a un fond d'écran Zelda... <BR>Evidemment ça peut paraitre louche, mais en même temps je ne vous demande pas de l'attaquer mais de me dire comment je peux faire pour la faire rebooter, même avec un programme que je lance *sur* la machine ; donc dans ce cas a priori j'en suis bien le possesseur non ? (si j'étais un pirate avec un remote admin sur la machine distante, je ne vois pas pourquoi je viendrais poser une question d'attaque, vu que je contrôle déjà la machine...) <BR> <BR>Bref vous ne pouvez en effet que juger par ma bonne foi et un peu de bon sens. <BR>(Sinon je peux aussi vous parler du réseau local alentour...)
-- Poulet@Supelec[Metz]
Avatar de l’utilisateur
Poulet
Quartier Maître
Quartier Maître
 
Messages: 20
Inscrit le: 13 Août 2003 00:00
Localisation: Près de Versailles (78) ou à Metz (57)

Messagepar tomtom » 19 Fév 2004 17:50

si tu es connecté dessus en admin et que shutdown -rf ne fonctionne pas, alors elle est dans un sale etat ta machine ! <BR> <BR>Verifie que le service RPC tourne.... <BR> <BR>t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar Poulet » 19 Fév 2004 18:03

En effet elle est dans un sale état ! <BR>Usuellement je reboot brutalement avec le bouton dans ces cas là... (parce qu'en plus c'est pas la première fois que ça m'arrive, mais les autres fois j'étais physiquement devant) <BR> <BR>Pour le service RPC, je crains qu'il ne tourne pas (je crois l'avoir désactivé depuis l'apparition de Blast, mais dans l'état actuel des choses, je ne sais pas si je peux le vérifier en lignes de commandes (en tout cas je ne sais pas comment)) <BR> <BR>Une idée ? <BR>Merci d'avance <BR> <BR>Accessoirement, je peux aussi me faire "aider" par des pcs du réseau local de là-bas (les servers, root pour tous, sauf le fire (évidemment le root n'est pas autorisé à se logger en ssh)). Et retrouver mon adresse mac si ça peut servir... <BR>
-- Poulet@Supelec[Metz]
Avatar de l’utilisateur
Poulet
Quartier Maître
Quartier Maître
 
Messages: 20
Inscrit le: 13 Août 2003 00:00
Localisation: Près de Versailles (78) ou à Metz (57)

Messagepar gogol33 » 19 Fév 2004 18:17

Pourquoi tu ouvres le port 4662 ??? <BR>Quelle appli utilise ce port ??? <BR>On dirait bien le port utilisié par défaut par emule ou edonkey !!!! <BR>Tu n'aurais pas attrapé une $%#&! par ce port ????
ALEA JACTA EST !!!
(Rien ne sert de courrir, ca ne sert à rien !!!)
Jules César
Avatar de l’utilisateur
gogol33
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 345
Inscrit le: 26 Avr 2002 00:00
Localisation: Bordeaux

Messagepar Muzo » 19 Fév 2004 18:18

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2004-02-19 16:42, Poulet a écrit: <BR>Ce qui prouve que c'est ma machine c'est que j'ai le pass de remote admin et que je peux intaller des trucs dessu, que y'a un fond d'écran Zelda... <BR>Evidemment ça peut paraitre louche, mais en même temps je ne vous demande pas de l'attaquer mais de me dire comment je peux faire pour la faire rebooter, même avec un programme que je lance *sur* la machine ; donc dans ce cas a priori j'en suis bien le possesseur non ? (si j'étais un pirate avec un remote admin sur la machine distante, je ne vois pas pourquoi je viendrais poser une question d'attaque, vu que je contrôle déjà la machine...) <BR> <BR>Bref vous ne pouvez en effet que juger par ma bonne foi et un peu de bon sens. <BR>(Sinon je peux aussi vous parler du réseau local alentour...) <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>On ne doute pas de ta bonne foi. <BR>Mais tu n'es pas le premier avec ce genre de questions.
/Muzo
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
Avatar de l’utilisateur
Muzo
Amiral
Amiral
 
Messages: 5236
Inscrit le: 07 Mai 2003 00:00
Localisation: BNF! Je me culturise.

Messagepar Poulet » 19 Fév 2004 18:25

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2004-02-19 17:17, gogol33 a écrit: <BR>Pourquoi tu ouvres le port 4662 ??? <BR>Quelle appli utilise ce port ??? <BR>On dirait bien le port utilisié par défaut par emule ou edonkey !!!! <BR>Tu n'aurais pas attrapé une $%#&! par ce port ???? <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Perso je n'ai rien qui tourne sur ce port, mais je parlais des accès possible depuis l'exterieur vers ma machine. <BR>Le fire de mon pc est coupé actuellement, c'est le fire de la résidence qui ne laisse passer que le 22 et 4662. (et en effet il est ouvert pour l'emule de la résidence...)
-- Poulet@Supelec[Metz]
Avatar de l’utilisateur
Poulet
Quartier Maître
Quartier Maître
 
Messages: 20
Inscrit le: 13 Août 2003 00:00
Localisation: Près de Versailles (78) ou à Metz (57)

Messagepar tomtom » 19 Fév 2004 18:29

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Pour le service RPC, je crains qu'il ne tourne pas (je crois l'avoir désactivé depuis l'apparition de Blast, mais dans l'état actuel des choses, je ne sais pas si je peux le vérifier en lignes de commandes (en tout cas je ne sais pas comment)) <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>essaye de le demarrer, car c'est pas impossible que ce soit lui qui gere la commande shutdown... <BR> <BR>net start "appel de procédure distante (RPC)" <BR>ou en anglais <BR> <BR>net start "remote procedure call (RPC) service" <BR> <BR> <BR>T.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar Poulet » 19 Fév 2004 19:12

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>essaye de le demarrer, car c'est pas impossible que ce soit lui qui gere la commande shutdown... <BR> <BR>net start "appel de procédure distante (RPC)" <BR>ou en anglais <BR> <BR>net start "remote procedure call (RPC) service" <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Alors j'ai essayé de deux façons : <BR>*La première avec cygwin (le problème c'est que j'ai pas le bon codepage donc j'ai pas l'accent aigue ; cela dit je ne sais pas si ça change qqch) <BR><!-- BBCode Start --><I>Zelhg@zelhge2 / <BR>$ net start "Appel de procedure distante (RPC)" <BR>L'erreur système 1307 s'est produite. <BR> <BR>Cet ID de sécurité ne peut être défini en tant que propriétaire de cet objet. <BR></I><!-- BBCode End --> <BR>*La deuxième en lignes de commandes directe avec radmin : <BR><!-- BBCode Start --><I>C:WINDOWSSYSTEM32>net start "Appel de procédure distante (RPC)" <BR>L'erreur systŠme 1460 s'est produite. <BR> <BR>Cette op‚ration s'est termin‚e car le d‚lai d'attente a expir‚. <BR></I><!-- BBCode End --> <BR>J'ai aussi essayé : (j'ai vu ça dans dans le détail du service sur la machine depuis laquelle j'écris ici) <BR><!-- BBCode Start --><I>C:WINDOWSSYSTEM32>svchost -k rpcss <BR> <BR>C:WINDOWSSYSTEM32> <BR></I><!-- BBCode End --> <BR>Donc ça à l'air de se lancer, mais je n'ai pas plus de succès avec mes commandes de shutdown (j'ai ensuite réessayé toutes les façons de le rebooter précédentes) <BR> <BR>Conclusion, je ne suis pas sûr que ce service à été lancé avec mes commandes (donc je ne peux pas encore dire que cette solution ne marche pas). Une idée pour être sûr ? <BR>Merci encore ! <BR> <BR>
-- Poulet@Supelec[Metz]
Avatar de l’utilisateur
Poulet
Quartier Maître
Quartier Maître
 
Messages: 20
Inscrit le: 13 Août 2003 00:00
Localisation: Près de Versailles (78) ou à Metz (57)

Messagepar korosv » 19 Fév 2004 19:20

Si tu arrive à tuer des procés, alors tue le Services.Exe ... redémarrage garanti ...
Avatar de l’utilisateur
korosv
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 256
Inscrit le: 02 Juil 2003 00:00
Localisation: Saturne

Messagepar Poulet » 19 Fév 2004 19:25

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2004-02-19 18:20, korosv a écrit: <BR>Si tu arrive à tuer des procés, alors tue le Services.Exe ... redémarrage garanti ... <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Bah il est corriace mon pc ! Justement j'ai déjà killé services... et il est toujours up ! <BR>(c'est un "ps -sW" en fait, mais j'ai fait un alias) <BR><!-- BBCode Start --><B> <BR><!-- BBcode auto-mailto start --><a href="mailto:Zelhg@zelhge2">Zelhg@zelhge2</a><!-- BBCode auto-mailto end --> / <BR>$ ps <BR> PID TTY STIME COMMAND <BR> 4 ? 21:24:48 *** unknown *** <BR> 708 ? Feb 13 ??C:WINDOWSSYSTEM32winlogon.exe <BR> 948 ? Feb 13 C:WINDOWSsystem32svchost.exe <BR> 1048 ? Feb 13 C:WINDOWSSystem32svchost.exe <BR> 208 ? Feb 13 C:WINDOWSSystem32nvsvc32.exe <BR> 244 ? Feb 13 C:WINDOWSsystem32r_server.exe <BR> 596 ? Feb 13 C:WINDOWSExplorer.EXE <BR> 1292 ? Feb 13 C:Program FilesMSN Messengermsnmsgr.exe <BR> 1360 ? Feb 13 C:WINDOWSSystem32svchost.exe <BR> 620 ? 12:02:45 C:WINDOWSSystem32cmd.exe <BR> 2128 con 12:02:44 /usr/bin/bash <BR> 200 ? 18:22:37 G:cygwinbinps.exe <BR></B><!-- BBCode End --> <BR> <BR>Tout ce qui reste est soit intuable (accès refusé), soit il dit qu'il l'a tué mais le process apparaît toujours... <BR> <BR>_________________ <BR>-- <!-- BBcode auto-mailto start --><a href="mailto:Poulet@Supelec[Metz]">Poulet@Supelec[Metz]</a><!-- BBCode auto-mailto end --><BR><BR><font size=-2></font>
-- Poulet@Supelec[Metz]
Avatar de l’utilisateur
Poulet
Quartier Maître
Quartier Maître
 
Messages: 20
Inscrit le: 13 Août 2003 00:00
Localisation: Près de Versailles (78) ou à Metz (57)

Messagepar ImoThep » 20 Fév 2004 11:39

Je suis posi ca peut t'aider mais tu peuxinstaller le ressource kit. <BR>Utilise la fonction kill pour tuer les processus qui resistent. Et tu trouveras d'autres commandes qui peuvent etre utiles. <BR> <BR>a+
Avatar de l’utilisateur
ImoThep
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 142
Inscrit le: 02 Nov 2003 01:00

Messagepar Poulet » 20 Fév 2004 15:03

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2004-02-20 10:39, ImoThep a écrit: <BR>Je suis posi ca peut t'aider mais tu peuxinstaller le ressource kit. <BR>Utilise la fonction kill pour tuer les processus qui resistent. Et tu trouveras d'autres commandes qui peuvent etre utiles. <BR> <BR>a+ <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Donc j'ai essayé les utilitaires dispo à l'adresse <BR><!-- BBCode auto-link start --><a href="http://www.lacible.net/fr/?page=sources" target="_blank">http://www.lacible.net/fr/?page=sources</a><!-- BBCode auto-link end --> <BR> <BR>En fait c'est les mêmes (même architecture) que ceux de cygwin+pstools, donc je n'ai eu pas plus de résultat dans mon cas. <BR>Cela dit, c'est vrai que c'est plus efficace que le task manager. <BR> <BR>Au passage, j'ai essayé servicelist mais il me répond qu'il n'arrive pas à ouvrir le service manager. (services.exe n'est plus dans la liste de mes process) <BR>Enfin bref... pour l'instant je n'avance pas trop. <BR> <BR>PS : j'ai demandé de l'aide respo fire, je vous tiens au courant si c'est concluant.
-- Poulet@Supelec[Metz]
Avatar de l’utilisateur
Poulet
Quartier Maître
Quartier Maître
 
Messages: 20
Inscrit le: 13 Août 2003 00:00
Localisation: Près de Versailles (78) ou à Metz (57)

Suivant

Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron