Conversation
precedente ou
suivante
infection par trojan
Envoyé par:
hilou
Bonjour,
sepuis quelque jour mon firewall (firestarter) me montre quelqu'un en train d'acceder à mes machines windows et ceux malgré l'interdiction de l'hote et des port dont il se sert.
Donc j'ai scané via un antivirus voici le rapport.
--------------------------------------
Scan started: Wed Jan 14 23:03:02 2004
//home/hilou/.mozilla/Default User/9osjakw1.slt/Cache/0F205F6Cd01: ClamAV-Test-Signature FOUND
//home/hilou/.mozilla/Default User/9osjakw1.slt/Cache/_CACHE_003_: Exploit.IFrame.Gen FOUND
//Echange/Clamav_antivirus/clamav-0.65.tar.gz: ClamAV-Test-Signature FOUND
//Echange/Clamav_antivirus/clamav-0.65/test/test1: ClamAV-Test-Signature FOUND
//Echange/Clamav_antivirus/clamav-0.65/test/test2.zip: ClamAV-Test-Signature FOUND
//Echangere/Clamav_antivirus/clamav-0.65/test/test3.rar: ClamAV-Test-Signature FOUND
//Echange/Clamav_antivirus/clamav-0.65/test/test2.badext: ClamAV-Test-Signature FOUND
//usr/src/apache2-2.0.47/apachenw.mcp.zip: Oversized Zip FOUND
-- summary --
Known viruses: 10131
Scanned directories: 12345
Scanned files: 158064
Infected files: 8
Data scanned: 7629.74 MB
I/O buffer size: 131072 bytes
Time: 3185.373 sec (53 m 5 s)
---------------------------------------------------------------------------------
Ma question est tout betes , sachant que je ne suis pas vraiment un administrateur (je débute dans la sécurité),
QU'EST-CE QUE JE FAIT?????????????????????????????????????
merci d'avance de vos réponses.
hilou
sepuis quelque jour mon firewall (firestarter) me montre quelqu'un en train d'acceder à mes machines windows et ceux malgré l'interdiction de l'hote et des port dont il se sert.
Donc j'ai scané via un antivirus voici le rapport.
--------------------------------------
Scan started: Wed Jan 14 23:03:02 2004
//home/hilou/.mozilla/Default User/9osjakw1.slt/Cache/0F205F6Cd01: ClamAV-Test-Signature FOUND
//home/hilou/.mozilla/Default User/9osjakw1.slt/Cache/_CACHE_003_: Exploit.IFrame.Gen FOUND
//Echange/Clamav_antivirus/clamav-0.65.tar.gz: ClamAV-Test-Signature FOUND
//Echange/Clamav_antivirus/clamav-0.65/test/test1: ClamAV-Test-Signature FOUND
//Echange/Clamav_antivirus/clamav-0.65/test/test2.zip: ClamAV-Test-Signature FOUND
//Echangere/Clamav_antivirus/clamav-0.65/test/test3.rar: ClamAV-Test-Signature FOUND
//Echange/Clamav_antivirus/clamav-0.65/test/test2.badext: ClamAV-Test-Signature FOUND
//usr/src/apache2-2.0.47/apachenw.mcp.zip: Oversized Zip FOUND
-- summary --
Known viruses: 10131
Scanned directories: 12345
Scanned files: 158064
Infected files: 8
Data scanned: 7629.74 MB
I/O buffer size: 131072 bytes
Time: 3185.373 sec (53 m 5 s)
---------------------------------------------------------------------------------
Ma question est tout betes , sachant que je ne suis pas vraiment un administrateur (je débute dans la sécurité),
QU'EST-CE QUE JE FAIT?????????????????????????????????????
merci d'avance de vos réponses.
hilou
Poste le Thursday 15 January 2004 09:42:45
Re: infection par trojan
Envoyé par:
herbert
c'est simple tu as des ports grands ouverts
le firewall detecte les attaques et tu as surement oublié de lui faire bloquer...
utilises nessus par exemple (gratuit) auditeur de securite il te donne toutes les failles et vulnerabilité ainsi que les liens vers les patchs à mettre à jour
ou la reference XXXXXXXX que tu vas chercher sur le serveur SUS (windowsupdate) de microsoft et paf tu as le patch correspondant à disposition...
maintenant pour les attaques virales/trojans tu peux rien faire toi meme c'est à ton antivirus de se demerder...
en regle generale avec tout ça
firewall+antivirus+auditsecurité-régulier
tu risque deja plus grand choses....
le firewall detecte les attaques et tu as surement oublié de lui faire bloquer...
utilises nessus par exemple (gratuit) auditeur de securite il te donne toutes les failles et vulnerabilité ainsi que les liens vers les patchs à mettre à jour
ou la reference XXXXXXXX que tu vas chercher sur le serveur SUS (windowsupdate) de microsoft et paf tu as le patch correspondant à disposition...
maintenant pour les attaques virales/trojans tu peux rien faire toi meme c'est à ton antivirus de se demerder...
en regle generale avec tout ça
firewall+antivirus+auditsecurité-régulier
tu risque deja plus grand choses....
Poste le Thursday 15 January 2004 10:10:42
Re: infection par trojan
Envoyé par:
zragg
Salut,
alors déjà commençons pas analyser ce que tu nous donne
//home/hilou/.mozilla/Default User/9osjakw1.slt/Cache/_CACHE_003_: Exploit.IFrame.Gen FOUND
ça c'est un exploit de faille de type IFRAME pour IE ... donc mozilla s'en fout un peu
//home/hilou/.mozilla/Default User/9osjakw1.slt/Cache/0F205F6Cd01: ClamAV-Test-Signature FOUND
//Echange/Clamav_antivirus/clamav-0.65.tar.gz: ClamAV-Test-Signature FOUND
//Echange/Clamav_antivirus/clamav-0.65/test/test1: ClamAV-Test-Signature FOUND
//Echange/Clamav_antivirus/clamav-0.65/test/test2.zip: ClamAV-Test-Signature FOUND
//Echangere/Clamav_antivirus/clamav-0.65/test/test3.rar: ClamAV-Test-Signature FOUND
//Echange/Clamav_antivirus/clamav-0.65/test/test2.badext: ClamAV-Test-Signature FOUND
là si je comprend bien, il dit avoir trouver "ClamAV-Test-Signature", ça tombe bien c'est exactement ça ;-p bah oui, il scanne un anti-virus et trouve des signatures pour tester la présence de virus
//usr/src/apache2-2.0.47/apachenw.mcp.zip: Oversized Zip FOUND
là, il faut chercher un peu mais c'est peut être un bomb-zip (un fichier zip de quelque méga qui une fois décompressé fait plus tétra-octet)
Mais je ne vois pas de trojan ...
alors déjà commençons pas analyser ce que tu nous donne
//home/hilou/.mozilla/Default User/9osjakw1.slt/Cache/_CACHE_003_: Exploit.IFrame.Gen FOUND
ça c'est un exploit de faille de type IFRAME pour IE ... donc mozilla s'en fout un peu
//home/hilou/.mozilla/Default User/9osjakw1.slt/Cache/0F205F6Cd01: ClamAV-Test-Signature FOUND
//Echange/Clamav_antivirus/clamav-0.65.tar.gz: ClamAV-Test-Signature FOUND
//Echange/Clamav_antivirus/clamav-0.65/test/test1: ClamAV-Test-Signature FOUND
//Echange/Clamav_antivirus/clamav-0.65/test/test2.zip: ClamAV-Test-Signature FOUND
//Echangere/Clamav_antivirus/clamav-0.65/test/test3.rar: ClamAV-Test-Signature FOUND
//Echange/Clamav_antivirus/clamav-0.65/test/test2.badext: ClamAV-Test-Signature FOUND
là si je comprend bien, il dit avoir trouver "ClamAV-Test-Signature", ça tombe bien c'est exactement ça ;-p bah oui, il scanne un anti-virus et trouve des signatures pour tester la présence de virus
//usr/src/apache2-2.0.47/apachenw.mcp.zip: Oversized Zip FOUND
là, il faut chercher un peu mais c'est peut être un bomb-zip (un fichier zip de quelque méga qui une fois décompressé fait plus tétra-octet)
Mais je ne vois pas de trojan ...
Poste le Friday 16 January 2004 10:27:25
Re: infection par trojan
Envoyé par:
hilou
Effectivement, après avoir bien analysé la log de mon anti virus, il n'y à pas de trojan sur mon serveur linux.
Par contre j'en ai découvert 2 sur 1 de mes client xp (que je vais erradiquer).
Cependant je reviens sur Exploit.IFrame.Gen (un genre de frame invisible si j'ai bien compris), cette dernière ne permettrait -elle pas d'activer un trojan sur mes client ??????
merci à tous pour aide et votre réactivité,
amicalement
hilou
Par contre j'en ai découvert 2 sur 1 de mes client xp (que je vais erradiquer).
Cependant je reviens sur Exploit.IFrame.Gen (un genre de frame invisible si j'ai bien compris), cette dernière ne permettrait -elle pas d'activer un trojan sur mes client ??????
merci à tous pour aide et votre réactivité,
amicalement
hilou
Poste le Friday 16 January 2004 16:44:52
Ce forum !
infection par trojan
Un problème avec une commande du shell ? Comment utiliser la crontab ? Vous avez des soucis pour la gestion réseau sous Linux ? Pour vous la gestion des utilisateurs/groupes est du chinois ? Etc... Posez donc vos questions ici.
Sauf mention contraire, les documentations publiées sont sous licence Creative-Commons