C’est pas mon histoire,mais je veut la partagée :
Jeudi 12 Sept2002
Comme chaque matin j’allume le serveur et les différents postes de travail de mon bureau de travail.4 machines en tout :un serveur pc de modeste puissance,2 pc récents et 1 Macintosh.Toutes les machines sont interconnectées par un hub et partage la connection internet câblée ,gérée par le serveur. Serveur : pc 200mhz sous win98,il n’assure que le partage de la connection internet via logiciel Sygate et le fonctionnement du serveur mails interne ‘Anywhere Email Server’ . A peine assis,stupeur!……pas moyen de se connecter a internet a partir des machines.Sygate affiche qu’un intrus la détourné a son profit.L’intrus est un certain Karlyne et utilise l’ip 62.205.67.224 .Il s’est introduit malgré la présence de NortonIS qui intègre un firewall/antivirus. Non seulement le hacker détourne la connection a son profit,mais il empêche toute connection a partir des autres machines. Que faire?????…..un trojan….couper la connection……..? 1- couper la connection et passer la machine a l’antivirus…..mais il détecte rien!!! 2- Installation d’un détecteur de trojan,comme the cleaner3.2….il détecte un trojan appelé Bigbrother,…..une recherche sur http://vil.nai.com/ ruine tout espoir…c’est un hoaxe,et depuis la sortie de the cleaner il n’a pas bénéficier de mise a jour,donc il ne sert a rien.Les hackers ont toujours un pas d’avance sur les logiciels antivirus. 3- Reste a le traquer au sein du système :4 outils se révèlent nécessaires. 4- ItCan.NetMonitor pour détecté les activités sur la connection ,il identifie les cartes Ethernet et les modems sur le reseau ainsi que les adresses IP les utilisant. 5- Angry IP Scanner,reconnaît le port utilisé.Il faut le fermer ensuite avec le firewall,mais il reste le processus responsable de l’attaque,facile sur win2k-xp. 6- Sauf sur win98 il faut utiliser Task info2000,reconnaît tous les processus en mémoire et les DLL utilisées par chaque processus. Identifier le port utilisé : It Can.NetMonitor a détecté les 2 cartes éthernet du serveurs,d’un clic sur la Macadress apparaissent toutes les IP auxquels vous accédez ou qui accèdent a votre machine.Celle du hacker 62.205.67.224 est bien présente;impossible de savoir ou il se cache et que le serveur a partir duquel travaille le hacker n’a pu être identifié. Il faut lancer AngryIP Scanner et lui demander de scanner une série d’adresses IP ,il les test et finit par tomber sur celle du hacker;il indique alors quel port est utilisé par le hacker pour entrer dans la machine.Banco , Karlyne utilise le port 1025. Repérer le hacker : Il est temps de téléphoner au service technique de votre fournisseur d’accès.Après quelques minutes ils confirment la présence du hacker et repère l’adresse IP.Le FAI s me déclarent ne rien pouvoir faire pour le retrouver ,car le hacker se cache derrière une cascade d’adresses.Difficile de remonter a la source…………. »lorsqu’une machine a été hackée,ses coordonnées sont aussitôt transmises a des réseaux de hackers qui reviennent inévitablement a la charge »……….. Bloquer le hacker : Retour a Norton Firewall pour lui indiquer de bloquer le port 1025. Le 14Septembre2002 : après vérification itCan.NetMonitor observe toujours une activité inhabituelle.Je fermait des ports et le hacker en ouvrait d’autres.Donc,je laisse seulement les ports 80,25 et 21 du http,email et du ftp. Mon NIS bloque enfin le hacker. Ou est le Trojan :………….comment ? 1- identifier les processus un par un qui tournent sur la machine. 2- Vérifier la validité des processus trouvés. 3- Interrompre un processus pour vérifier si c’est bien lui le responsable du trafic illigitime.Task info2000 permet d’identifier tous les processus en cours.Donc,après 2 hrs de recherche ,aucun processus ne semble anormal…..donc le trojan semble ne pas être un exécutable en tant que tel.Ses fonctions sont sans doute détournées par une dll.Je rouvre des ports pour savoir quel exécutable qui une fois lancé génère un trafic inhabituel.Stupéfaction :…………c’est le serveur même de Sygate=>SGSrvexe.Ma recherche sur internet m’a permit de savoir que les dll utilisées étaient conforme.Faut t’il éradiquer les dll une a une jusqu’au moment ou le SGsrv ne provoquera plus de trafic indu?………..Ça risque d’ôter une dll essentielle de windows. Et en utilisant Trojan Garder ,il a détecté un trojan appelé updreg.exe ;il s’agit d’un fichier installé par Creative Labs,mais dont le rôle n’a pas encore été expliqué,malgré des demandes répétées. A la Fin Novembre : 2 mois et demi après le hacking,Norton Antivirus détecte un trojan classique Backdoor.C’était peut-être lui le coupable !!!! Alors ,j’ai pris la décision de passer a win-xp qui autorise ,en natif ,le partage d’une connection internet .Formatage complet du disque dur,et même un fdisk /mbr et réinitialisation de win-xp.J’ai installé aussi NortonInternetSecurity en laissant mes 3 ports principaux ouvert et installé Trojan-Garder.
...........mise a part le fait que winxp règle beaucoup de prob. ,Sygate donne pas sa place pour avoir des petits problêmes et que c'est pas tout le monde qui peuvent dealer avec les DLL Je sait pas si ta vu l'émission télé sur les factures interurbain a payé.Le gars c'est fait hacké correct!!! Le gars savait pas qui avait un Dialer d'installé dans sont PC et avait monter un compte de plus de 3000$ a payé a Bell,il a eut une entente pour payé la moitié C'était l'émission la Facture . Et personne n'a même pas dit dans le reportage d'intaller Spybot ou ad-aware comme antispyware.En tout cas Spybot scan plus de dialer que ad-aware ,ça c'est sûr
Efficace en crime !!!!! Pis il s'imagine protégé avec le firewall de xp et Trojan-Garder... Je serais curieux de voir ses résultats à un audit aussi simple que celui de GRC.com... J'ai vu des attaques semblables sur des serveurs du gouvernement arrêtés automatiquement avec le firewall gratuit Tiny personnal firewall en mode test à l'époque. C'est pour dire....
Si c'est juste pour un petit réseau, pourquoi ne pas utiliser Linux sur la machine utilisé comme server ? Ca règle bien des problèmes: la très grosse majorité des trojans, virus et autres logiciels d'intrusion n'affectent que Windows et la grosse majorité des petits hackers ne connaissent à peu près rien hors de Windows. Et un hacker professionnel ne perdra pas de temps sur un petit réseau... Bref, ça vous demanderais peut-être une petite période d'adaptation, mais après vous auriez pas mal plus la paix... Ce n'est quand me pas très difficile à installer, d'autant plus que vous savez déjà comment fonctionne un réseau... C'est juste de s'habituer à fonctionner avec d'autres logiciels...Ben la ....la.comme dirait Jean Crétin .....heu,.....Je voudraisVoudrais.vous dire......heu , Merçi! Les avez-vous trouver dans une vieille pyramide d'égypte,que des atlantes vous ont gracieusement offert sur des disquettes en bois.Mouhahaha....... ;0)
Aucun commentaire:
Publier un commentaire