Salut les amis!
Je suis en train de faire une grosse crise de parano depuis que j'ai vu dans les logs de mon pare feux les choses suivantes:
- bloqué en sortie: port 1234 (subseven)
- bloqué en sortie: port 1524 (trin00)
La bonne nouvelle c'est qu'ils ont été bloqués la mauvaise c'est que... je ne vois pas ce qu'ils font là en sortie ces méchants chevaux de Troie!
Surtout que d'après ce que j'ai lu sur le web subseven n'existe que sur windows...
Du coup j'ai passé mon disque à l'anti virus... plutôt trois fois qu'un!
1er test: Panda
freeware, facile à utiliser, par contre je n'ai pas trouvé comment télécharger les mises à jour: le site me demande un code. Le premier coup j'avais laissé une fausse adresse, j'ai recommencé avec une vraie mais je n'ai rien reçu pour l'instant...
Bilan: un WS.CAP.A qui trainait sur un vieux fichier word: désinfecté, bon débarra; et un nimda.txt qui était je pense un fichier test que j'ai désinfecté quand même au cas où...
Pas de subseven ni de Trin00...
2eme test: F-sécure
version dévaluation de 30 jours
interface pas top... Bilan: rien trouvé
Pas de subseven ni de Trin00...
3eme test: Bitdefender (le site est souvent inaccessible c'est lourd...)
Freeware, plutôt facile à utiliser par contre im n'affiche pas les fichiers en cours d'analyse comme Panda ce que j'aime bien comme ça on voit ce qui se passe.
Bilan: un code red mis en quarantaine et un autre fichier suspect (j'ai oublié le nom mais rien qui ressemble à Trin00 ou subseven)
J'ai vérifié dans mon crontab pas de traces suspectes de trin00.
Les tentatives de connections ont lieu quand j'utilise amule uniquement à ce qui me semble en tout cas.
Ma configuration: Mandrake 9.2; PC connecté directement à internet; mon firewall est Firestarter
Quand j'ai vu ça j'ai désinstallé samba et telnet dont je n'ai plus besoin.
J'ai bloqué explicitement les ports: 1234 / 1524 / 27665 / 27444 / 31355 mais les tentatives sont quand même signalées.
Bref: quelqu'un a t il déjà eu ce problème? Est ce que j'ai vraiment un problème et si oui quelqu'un a t il une idée de ce que je devrai faire pour le résoudre?
Ca me fait un peu flipper je dois dire ce truc!
Merci pour votre aide,
Bonne soirée/journée,
Tay
Journal Virus parano
10
mar.
2004
# Re: Virus parano
Posté par Antonio Da Silva (site web personnel) . Évalué à 3.
>quelqu'un a t il une idée de ce que je devrai faire pour le résoudre?
Moi je vois bien une solution
# Re: Virus parano
Posté par Mathieu Pillard (site web personnel) . Évalué à 3.
En attendant tu peux toujours installer chkrootkit, et faire des netstat -taupe pour voir quel process utilise quel port, des tcpdump pour voir ce qui se passe, etc.
# Re: Virus parano
Posté par M . Évalué à 3.
J'ai bloqué explicitement les ports: 1234 / 1524 / 27665 / 27444 / 31355 mais les tentatives sont quand même signalées.
il suffit que des personnes utilisent ces port pour que amule veuille sortir des donnees sur ces ports...
Point de virus a l'horizon...
# Re: Virus parano
Posté par Tay (site web personnel) . Évalué à 1.
Merci,
Tay
[^] # Re: Virus parano
Posté par Ju. . Évalué à 0.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.