ADSL-BC

[Wavyx]

Bonjour à tous,

je me demande pourquoi tout le monde est tjs hyper pressé d'installer zone alarm! bon d'accord les H@ck3Rs sont partout...
mais zone alarm fait pafrois franchement chier! j'ai installé l'adsl chez qqun et ça marchat nickel. je reviens la semaine suivante et bizarre ça marche plus!
RAISON: zone alarm bloquait la requête dhcp venant de 0.0.0.0 -> pas d'ip -> pas de connection. C'est clair que là on est vachement mieux protégé!
En fait ce qui me tue, c'est que tout le monde veut se mettre derrière un firewall (souvent sans savoir ce que c'est) et puis on se plaint de plus avoir les avantages d'une connection directe (surtout transferts de fichiers par icq etc..)
Bref pourquoi tout le monde s'acharne à installer zone alarm? Doit y avoir un truc qui m'échappe...
Merci de m'éclairer

[Xavier]

De deux maux, il faut choisir le moindre,...

Que préfere tu, Te faire un peux chier en apremant à te proteger, ou te faire tres fort chier en constatant que ta machine a été mise sur orbite par un TDC???

[Wavyx]

OK
c'est vrai que c'est pénible de se faire exploser sa machine
mais ça t'es arrivé combien de fois?
j'ai parfois l'impression qu'on nous harcèle pour acheter le dernier firewall, antivirus, patch etc.. d'accord il faut se protéger mais je me demande si finalement ya pas plus de commercial la dessous qu'autre chose?
sinon je suis d'accord avec toi la sécurité est hyper importante mais est-ce que le premier newbie venu doit installer zone alarm pour ensuite phoner le helpdesk pcq sa connection ne marche pas?

[Xavier]

Le 2001-12-25 11:29, Wavyx a écrit:
OK
c'est vrai que c'est pénible de se faire exploser sa machine
mais ça t'es arrivé combien de fois?

Pas encore arriver, mais une fois, par erreur, j'ai laisser tourner ma machine 24h sans firewal, et les log de telnet m'ont clairement fait comprendre que c'est vraiment pas une bonne idée! Sans compter que le newbie ne sait pas quel sont les "entrées" possible dans sa machine.

[Wavyx]

yep yep mais le telnet sous windows bof bof enfin si yen a un enfin une imitation.

sinon pour ton tdc: http://www.multimania.com/azerty0/tdc.html

[Rincevent]

Bonjour,

à propos de l'utilité de ZoneAlarm : lors d'une communication avec le helpdesk de PI (suite à des petits problèmes ...), le téléphoniste me demande si j'avais un firewall. Effectivement j'avais ZoneAlarm.
Alors il s'est mis à ricaner gentiment en me disant que
1) la source de mes problèmes était là (ce qui était completement faux)
2) ZoneAlarm ne me servait à rien car mon adresse IP change à chaque connexion et les hackers ont autre chose à faire, et que je ne les intéresse pas et que ... bla , bla ... A mon avis il a tort? Qu'en pensez-vous ?

Sur ce, joyeux Noël à tous et merci à ce forum pour l'aide apportée aux (éternellement)newbies (à moins que ce soit dummies)comme moi,

Bruno

[Xavier]

Dans le log de mon firewal, ~2000 DENY sur 1 mois. Si 0,1 % de ces "deny" sont des réel tentative d'intrusion, cela vaut la peine, je pense, de les avoir évitée

[Invité]

Salut,

ben je vais te dire ... Aujourd'hui même, j'installe in serveur appache sur mon windows, j'ouvre le port 80 sur mon routeur ... mais je n'ouvre pas ZA.

Je me retrouve en un après midi, avec 10 alertes sur le port 80 de 10 ip différentes.

Voilà.

Bon, ca me semble louche, sachant que ces ip viennent des 4 coin de la france (donc pas des potes qui viennet chez moi )

Je décide donc de me rendre sur ces PC qui m'ont agressé, pour me rendre compte en HTTP, que Norton me détecte le virus "w32.Nimda.A@mm(html)"

Je me connecte ensuite SUR son Pc pour me rendre compte de la présence de "admin.dll" sur toutes les partitions, et des fichiers "*.eml" dans tous les rep.

Pourquoi m'être connecté sur la machine en hackeur, me direz vous (à juste titre d'ailleurs) simplement pour creer des répertoires histoire de lui dire ce qu'il en est, et quoi faire.

A ce stade, je n'ai que cette solution pour l'aider et communiquer unilatéralement avec lui ... eux


Donc voilà l'utilité du zonealarm ... Moi, il m'informe des intrusion, et les personnes dont je vous parlez, auraient été protégé de la sortie du virus et de mon intrusion.

Alors c'est vrai qu'il faut choisir ... Moi, je préfère me protéger. ZA bloque surtout les sorties de mon PC.

Et ZA est très simple à utiliser. Comparer à Tiny, que j'utilise aussi. Lui, il peut pour un EXE donné, autoriser un protocole donné, vers une ip donnée, avec port d'entrée et de sortie donnée. Beaucoup plus complexe pour l'appentissage, mais complet

Enfin voilà ... Me font bien rire ces débat sur l'utilité du firewall ... Et ben dis toi que si les gars chez qui je me suis introduit ce soir étaient tombé sur des mecs beaucoup plus cons que moi leurs disque dur aurait été formaté à l'heure qu'il est. Zorne alarm empeche au moins ca

[Wavyx]

yep mais toi tu parles d'une utilisation en serveur http
moi je pensais plus au commun des mortel qui veut se protéger de tout (souvent en sachant même pas de quoi!!) et qui installe ZA pour tout bloquer. et après il comprend pas pourquoi les connections directes marchent pas, le ping ne renvoit pas d'échos, etc..
je suis d'accord qu'il faut se protéger mais ZA me semble pas être la solution adéquate pour un serveur http. je dirais plus LINUX!!
bref le prob de tes povres petits contaminés n'auraient pas eu lieu s'ils savaient ce qu'ils font.
1. si on installe IIS ben on installe les patchs!! idem pour le serveur NT
2. ZA n'est pas là pour remplacer les patchs de sécurité. Normalement en tant que bons admins de serveurs web ils auraient dû le sécuriser correctement. D'accord ZA aurait bloquer tes tentatives de connections mais bon c un peu simple aussi...
bref pour le simple particulier qui surf et lis ses mails, ZA ça sert à quoi? à part lui compliquer la vie pour certaines connections? ya un gros avantages à ZA c'est le bloquage mais de quoi? des trous de sécurité laissés par les utilisateurs. donc ZA ça bloque le manque de connaissance. et après on s'étonne que la société devienne abrutie.
d'un autre côté ça garantit du boulot pour les gens compétents. Tu aurais même du te proposer de réparer leur serveur contre paiement $$$$

Allons, ZA n'est pas mauvais et même plutôt bon (comme les autres) mais je trouve que la première chose à faire c'est d'appliquer les patchs et pas de se dire: "bah de tte façon j'ai un firewall pour récupérer mes conneries"

Bien à toi

[Xavier]

D'accord, la sécurité, c'est d'abord un question de mentalitée,... mais 2 précaution valent mieux qu'une...

[vax]

Aujourd'hui en moins de 3 heures, voici le log de ZA :
FWIN,2002/01/05,13:34:52 +1:00 GMT,217.136.32.252:4932,10.0.0.1:80,TCP (flags:S)
FWIN,2002/01/05,13:39:11 +1:00 GMT,217.136.73.68:3805,10.0.0.1:80,TCP (flags:S)
FWIN,2002/01/05,13:45:00 +1:00 GMT,217.136.125.210:2701,10.0.0.1:80,TCP (flags:S)
FWIN,2002/01/05,13:49:52 +1:00 GMT,217.136.32.252:3864,10.0.0.1:80,TCP (flags:S)
FWIN,2002/01/05,13:50:58 +1:00 GMT,217.136.32.252:2010,10.0.0.1:80,TCP (flags:S)
FWIN,2002/01/05,13:55:34 +1:00 GMT,217.136.32.252:4059,10.0.0.1:80,TCP (flags:S)
FWIN,2002/01/05,14:03:40 +1:00 GMT,217.136.5.16:3000,10.0.0.1:80,TCP (flags:S)
FWIN,2002/01/05,14:05:44 +1:00 GMT,217.136.110.171:2400,10.0.0.1:80,TCP (flags:S)
FWIN,2002/01/05,14:07:42 +1:00 GMT,217.136.153.207:3494,10.0.0.1:80,TCP (flags:S)
FWIN,2002/01/05,14:11:37 +1:00 GMT,217.80.198.86:64958,10.0.0.1:3128,TCP (flags:S)
FWIN,2002/01/05,14:32:45 +1:00 GMT,217.136.209.16:4041,10.0.0.1:80,TCP (flags:S)
FWIN,2002/01/05,14:53:06 +1:00 GMT,172.188.134.38:2614,10.0.0.1:1214,TCP (flags:S)
FWIN,2002/01/05,14:54:14 +1:00 GMT,172.188.134.38:2627,10.0.0.1:1214,TCP (flags:S)
FWIN,2002/01/05,14:59:29 +1:00 GMT,61.195.151.44:2091,10.0.0.1:53,TCP (flags:S)
FWIN,2002/01/05,15:04:36 +1:00 GMT,217.136.5.16:3096,10.0.0.1:80,TCP (flags:S)
FWIN,2002/01/05,15:04:48 +1:00 GMT,172.188.134.38:2672,10.0.0.1:1214,TCP (flags:S)
FWIN,2002/01/05,15:05:45 +1:00 GMT,217.219.100.131:4184,10.0.0.1:80,TCP (flags:S)
FWIN,2002/01/05,15:14:50 +1:00 GMT,172.188.134.38:2707,10.0.0.1:1214,TCP (flags:S)
FWIN,2002/01/05,15:18:50 +1:00 GMT,172.188.134.38:2726,10.0.0.1:1214,TCP (flags:S)
FWIN,2002/01/05,15:20:32 +1:00 GMT,172.188.134.38:2734,10.0.0.1:1214,TCP (flags:S)
FWIN,2002/01/05,15:36:25 +1:00 GMT,217.136.93.181:2481,10.0.0.1:80,TCP (flags:S)
FWIN,2002/01/05,15:38:52 +1:00 GMT,213.213.12.91:1703,10.0.0.1:515,TCP (flags:S)
FWIN,2002/01/05,15:43:14 +1:00 GMT,217.136.180.104:4230,10.0.0.1:80,TCP (flags:S)
FWIN,2002/01/05,15:44:56 +1:00 GMT,217.136.93.181:1136,10.0.0.1:80,TCP (flags:S)
FWIN,2002/01/05,15:48:57 +1:00 GMT,80.116.244.83:3099,10.0.0.1:3128,TCP (flags:S)
FWIN,2002/01/05,15:49:42 +1:00 GMT,217.136.125.210:1203,10.0.0.1:80,TCP (flags:S)
FWIN,2002/01/05,15:51:45 +1:00 GMT,217.136.77.208:4895,10.0.0.1:80,TCP (flags:S)
FWIN,2002/01/05,15:55:17 +1:00 GMT,217.136.32.252:3694,10.0.0.1:80,TCP (flags:S)
FWIN,2002/01/05,15:59:14 +1:00 GMT,217.136.213.81:4377,10.0.0.1:80,TCP (flags:S)
FWIN,2002/01/05,16:00:18 +1:00 GMT,217.136.77.208:4575,10.0.0.1:80,TCP (flags:S)
FWIN,2002/01/05,16:15:59 +1:00 GMT,217.136.32.252:2517,10.0.0.1:80,TCP (flags:S)

31 accès bloqués... vous trouvez ça normal?
Bon, d'accord il n'y a aucun serveur sur ma machine, elle a les derniers patchs etc. mais c'est lourd quand même!

A la fin du mois, si je dépasse, je pourrai dire à skynet que c'est à cause de tous ces !è(§"àçè!§'"àç qui essaient d'attaquer ma mahine

Sur le temps où je tapais ce post j'ai encore eu un tentative...

[nunu]

voila en fait j'utilise Norton firewall 2002, je sais pas si c un bon firewall, j'aimerais votre avis.
mais en ce qui concerne les tentatives d'intrusion j'en ai bien 5 ou 6 par jour et tjs des ip différentes.
a+

[wismerhill]

c'est pas des scan de ftp ?

ces scaneurs qui cherchent deseperement apres des ftp ouvert ?
j'en ai aussi 5-6 par jour , mais vu que le gars essaye qu'une fois , je supose qu'il essaye pas de me hacker :/

[Wavyx]

en gros ya
2 * 3128: proxy
21 * 80: http
6 * 1214: Kazaa (tu peux aussi mettre disable upload et function as a super node!)
1 * 53: DNS
1 * 515: printer (spooler)

ouaww des attaques qui tuent oui!!
si tu envois ça à skynet je pense vraiment qu'ils vont se foutrent de ta gueule pcq bon le seul truc "moins normal" c'est la tentative sur la printer et encore ça dépend de ton réseau.
je dis pas que dns et proxy c normal mais bon...
ça ressemble plus à un scan complet et puis pour le reste bah rien de très méchant. pê betement des vers IIS qui cherchent s'il y a pas un nouveau à infecter
heureusement qu'il y a des firewalls tout de meme

[vax]

OK, je n'avais pas fait le tri... Voici ce que ça donne en résumé (ZoneLog):
Port,Hits,Type
80,110,HTTP
0,56,icmp
2064,41,
1214,15,Kazaa
6699,6,Napster
8080,5,
1723,2,
3128,2,squid
2234,2,
1080,2,WinHole
135,2,loc-serv, MS RPC, end-point, mapper
119,1,NNTP, news
68,1,bootp, DHCP
53,1,DNS
23,1,Telnet
22,1,ssh, pcAnywhere
67,1,bootp, DHCP
515,1,
1055,1,
1107,1,
1243,1,Sub-7
1314,1,
1876,1,
2150,1,
2159,1,
1059,1,

D'accord c'est pas la mort... mais certaines entrées sont quand même inquiétantes quand on élimine napster, kazaa, ...
J'ai réinstallé ma machine et perdu mes logs mais dans le log précédent j'avais une collection d'essais sur les ports NETBIOS (désactivés de toute façon) et autres.
Il y a beaucoup de fausses alertes mais il y en a aussi des plus sérieuses. Je préfère ne pas prendre de risque.

[Wavyx]

yep je comprends que tu ne prennes pas le risque et vaut mieux avec win quoique je suis un optimiste donc pas de firewall sous windows ça m'énerve trop (mais j'ai pas de serveurs non plus) et sinon la plupart du temps ya un chtit routeur linux entre les deux donc ça compense très largement

mais bon moi ce qui m'inquiète plus c'est tous les newbies qui installe ZA puis qui phonent le helpdesk: "au secours j'arrive plus à faire ci ou ça"
j'ai un copain qui s'inquiétait pcq il pouvait ping les machines de son reseau mais pas l'inverse, ni voisinnage réseau ... finalement le coupable: norton internet security!

allez bon ZoneLog à tous!

[Oli]

... et sinon la plupart du temps ya un chtit routeur linux entre les deux donc ça compense très largement

mais bon moi ce qui m'inquiète plus c'est tous les newbies qui installe ZA puis qui phonent le helpdesk: "au secours j'arrive plus à faire ci ou ça"
j'ai un copain qui s'inquiétait pcq il pouvait ping les machines de son reseau mais pas l'inverse, ni voisinnage réseau ... finalement le coupable: norton internet security!

allez bon ZoneLog à tous!

Salut

Entièrement d'accord avec toi ...
Perso, moi c'est mon modem qui me sert de routeur et de firewall, et heureusement.
ZA et Tiny, ne servent en gros qu'a me demander l'autorisation de faire qq chose. J'aime bien tout controler.

Ils évitent surtout les sorties ... Le firewall du modem n'ouvrant que les 3 port dont G besoin en nat.

Mais l'ouverture du 80 m'effraie vraiment ... Une 15zaine d'ip différentes(vers de IIS) ont tenté de m'infecter cette journée ... Le phénomène est à mon avis assez important car les ip que j'ai vu aujourd'hui sont juste celles qui sont sur la meme plage d'ip que moi (masque 255.255.0.0) J'imagine que C pareil pour tout le net

A au fait, j'ai zappé la signature de mon post précédent ... c'était moi l'anonyme

En tout cas, tout ces gens qui ont d'IIS d'ouvert en HTTP et Ftp n'en n'ont en plus aucune utilité, puisque qu'il ne contiennent rien !!!

Et tu as raison aussi pour ces newbies qui utilisent ZA, et IIS sans patch voire Windows aussi sans patch !!! Si j'ai pu penetrer leur systèmes, c'est bien qu'is n'avaient aucun patch !!!

Et ca c'est navrant, car ces gars favorisent la diffusion des worms !!!

Bon, maintenant, petite question :

Maintenant que je sais que je me fais agresser par des worms à la cadence de 4-5 à l'heure, que va t'il se passer si j'ouvre mon firewall ZA et tiny sur mon serveur Apache ??!

Parce que ca fait deux jours que j'observe ce phénomène, mais il ne se calmera pas et il va bien falloir que j'ouvre mon ZA ...

[Wavyx]

Perso je vois pas ce qui pourrait se passer avec apache.
c'est pas qu'il est infaillible mais j'ai pas entendu bcp de security alerts de leur côté...
bref si tu veux mettre un serveur web, je te conseille apache (php, mysql si t'as besoin) plutot que IIS, asp, ms sql server! bcp moins de prob, bcp moins cher, fiables et plus secure!!!

je vais vite voir mes logs http pour voir si j'ai qqch:
depuis minuit j'ai 4 ip différentes qui ont attaqués chaque fois un get...cmd.exe... mais bon il se passe rien cmd.exe sous linux c rare
allez voilà juste depuis 9h00 et il est 9h28!:
[Sun Jan 6 09:03:07 2002] [error] [client 217.136.35.20] File does not exist: /var/www/html/scripts/root.exe
[Sun Jan 6 09:03:07 2002] [error] [client 217.136.35.20] File does not exist: /var/www/html/MSADC/root.exe
[Sun Jan 6 09:03:07 2002] [error] [client 217.136.35.20] File does not exist: /var/www/html/c/winnt/system32/cmd.exe
[Sun Jan 6 09:03:08 2002] [error] [client 217.136.35.20] File does not exist: /var/www/html/d/winnt/system32/cmd.exe
[Sun Jan 6 09:03:08 2002] [error] [client 217.136.35.20] File does not exist: /var/www/html/scripts/..%5c../winnt/system32/cmd.exe
[Sun Jan 6 09:03:09 2002] [error] [client 217.136.35.20] File does not exist: /var/www/html/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
[Sun Jan 6 09:03:09 2002] [error] [client 217.136.35.20] File does not exist: /var/www/html/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
[Sun Jan 6 09:03:10 2002] [error] [client 217.136.35.20] File does not exist: /var/www/html/msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe
[Sun Jan 6 09:03:10 2002] [error] [client 217.136.35.20] File does not exist: /var/www/html/scripts/..Á../winnt/system32/cmd.exe
[Sun Jan 6 09:03:11 2002] [error] [client 217.136.35.20] File does not exist: /var/www/html/scripts/..À¯../winnt/system32/cmd.exe
[Sun Jan 6 09:03:12 2002] [error] [client 217.136.35.20] File does not exist: /var/www/html/scripts/..Áœ../winnt/system32/cmd.exe
[Sun Jan 6 09:03:13 2002] [error] [client 217.136.35.20] File does not exist: /var/www/html/scripts/..%5c../winnt/system32/cmd.exe
[Sun Jan 6 09:03:13 2002] [error] [client 217.136.35.20] File does not exist: /var/www/html/scripts/..%2f../winnt/system32/cmd.exe
[Sun Jan 6 09:11:37 2002] [error] [client 217.136.35.20] File does not exist: /var/www/html/scripts/root.exe
[Sun Jan 6 09:11:38 2002] [error] [client 217.136.35.20] File does not exist: /var/www/html/MSADC/root.exe
[Sun Jan 6 09:11:40 2002] [error] [client 217.136.35.20] File does not exist: /var/www/html/c/winnt/system32/cmd.exe
[Sun Jan 6 09:11:41 2002] [error] [client 217.136.35.20] File does not exist: /var/www/html/d/winnt/system32/cmd.exe
[Sun Jan 6 09:11:42 2002] [error] [client 217.136.35.20] File does not exist: /var/www/html/scripts/..%5c../winnt/system32/cmd.exe
[Sun Jan 6 09:11:46 2002] [error] [client 217.136.35.20] File does not exist: /var/www/html/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
[Sun Jan 6 09:11:47 2002] [error] [client 217.136.35.20] File does not exist: /var/www/html/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
[Sun Jan 6 09:11:49 2002] [error] [client 217.136.35.20] File does not exist: /var/www/html/msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe
[Sun Jan 6 09:11:50 2002] [error] [client 217.136.35.20] File does not exist: /var/www/html/scripts/..Á../winnt/system32/cmd.exe
[Sun Jan 6 09:11:52 2002] [error] [client 217.136.35.20] File does not exist: /var/www/html/scripts/..À¯../winnt/system32/cmd.exe
[Sun Jan 6 09:12:02 2002] [error] [client 217.136.35.20] File does not exist: /var/www/html/scripts/..Áœ../winnt/system32/cmd.exe
[Sun Jan 6 09:12:04 2002] [error] [client 217.136.35.20] File does not exist: /var/www/html/scripts/..%5c../winnt/system32/cmd.exe
[Sun Jan 6 09:12:05 2002] [error] [client 217.136.35.20] File does not exist: /var/www/html/scripts/..%2f../winnt/system32/cmd.exe
[Sun Jan 6 09:12:17 2002] [error] [client 217.136.81.116] File does not exist: /var/www/html/scripts/root.exe
[Sun Jan 6 09:12:18 2002] [error] [client 217.136.81.116] File does not exist: /var/www/html/MSADC/root.exe
[Sun Jan 6 09:12:18 2002] [error] [client 217.136.81.116] File does not exist: /var/www/html/c/winnt/system32/cmd.exe
[Sun Jan 6 09:12:18 2002] [error] [client 217.136.81.116] File does not exist: /var/www/html/d/winnt/system32/cmd.exe
[Sun Jan 6 09:12:22 2002] [error] [client 217.136.81.116] File does not exist: /var/www/html/scripts/..%5c../winnt/system32/cmd.exe
[Sun Jan 6 09:12:22 2002] [error] [client 217.136.81.116] File does not exist: /var/www/html/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
[Sun Jan 6 09:12:22 2002] [error] [client 217.136.81.116] File does not exist: /var/www/html/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
[Sun Jan 6 09:12:22 2002] [error] [client 217.136.81.116] File does not exist: /var/www/html/msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe
[Sun Jan 6 09:12:23 2002] [error] [client 217.136.81.116] File does not exist: /var/www/html/scripts/..Á../winnt/system32/cmd.exe
[Sun Jan 6 09:12:23 2002] [error] [client 217.136.81.116] File does not exist: /var/www/html/scripts/..À¯../winnt/system32/cmd.exe

cool non?

je crois que le mieux c de tenter de les prévenir pour leur dire le problème et si possible les convertir à apache et linux

[Oli]

Le 2002-01-06 09:27, Wavyx a écrit:
...
je crois que le mieux c de tenter de les prévenir pour leur dire le problème et si possible les convertir à apache et linux

Ben ouai, c'est ce que je fais depuis deux jours Mais ce virus prends une ampleur que personne ne soupsonne, je crois.

[vax]

Vive linux!
C'est clair que c'est une solution comme routeur ou comme firewall... et pour le reste aussi!
On aurait moins de problèmes de virus!