Infoprat, piraté?

[marsinph]

Bonjour à tous


Lorsque je suis connecté, apres quelques dizaines de secondes, mon pare-feu se met en alerte et détecte une tentative d'intrusion de la part d'infoprat !!!!


[218] Microsoft Multiple Application/OS GDI+ JPEG Processing Buffer Overflow Vulnerability attempt detected (CAN-2004-200)


Voici ce que donne le "back trace" !!!!!



% This is the RIPE Whois query server #2.
% The objects are in RPSL format.
%
% Note: the default output of the RIPE Whois server
% is changed. Your tools may need to be adjusted. See
% http://www.ripe.net/db/news/abuse-propo ... 50331.html
% for more details.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag

% Information related to '213.186.56.0 - 213.186.56.255'

inetnum: 213.186.56.0 - 213.186.56.255
netname: OVH
descr: OVH SAS
descr: Dedicated Servers
descr: http://www.ovh.com
country: FR
admin-c: OK217-RIPE
tech-c: OTC2-RIPE
status: ASSIGNED PA
mnt-by: OVH-MNT
source: RIPE # Filtered

role: OVH Technical Contact
address: OVH SAS
address: 140, Quai du Sartel
address: 59100 Roubaix
address: France
admin-c: OK217-RIPE
tech-c: GM84-RIPE
nic-hdl: OTC2-RIPE
remarks: ========================================
remarks: support : support@ovh.com
remarks: 0 899 701 761 (france only)
remarks: ========================================
remarks: troubles:
remarks: + network : abuse@ovh.net
remarks: + spam : http://www.spam-rbl.com
remarks: ========================================
remarks: peering : noc@ovh.net
remarks: prefix 213.186.32.0/19
remarks: prefix 213.251.128.0/18
remarks: - FreeIX (1Gbs) 213.228.3.244
remarks: - PariX (1Gbs) 198.32.247.104
remarks: - SfinX (1Gbs) 194.68.129.144
remarks: ========================================
abuse-mailbox: abuse@ovh.net
mnt-by: OVH-MNT
source: RIPE # Filtered

person: Octave Klaba
address: OVH SAS
address: 140, quai du sartel
address: 59100 Roubaix
address: France
phone: +33 3 20 20 09 57
fax-no: +33 3 20 20 09 58
nic-hdl: OK217-RIPE
abuse-mailbox: abuse@ovh.net
mnt-by: OVH-MNT
source: RIPE # Filtered

% Information related to '213.186.32.0/19AS16276'

route: 213.186.32.0/19
descr: OVH ISP
descr: Paris, France
origin: AS16276
mnt-by: OVH-MNT
source: RIPE # Filtered

[patheticcockroach]

Salut,

C'est en effet bizarre... Juste une remarque toutefois : les firewalls et antivirus voient le mal partout : certains firewalls appelleront toute tentative de connection une "tentative d'intrusion" ou une "attaque" (faut croire que ça fait réver les gens qui achètent un firewall...), tous les antivirus (enfin, je suis pas sûr mais logiquement ça devrait être le cas) ont quelques faux positifs (un programme sûr détecté comme virus).
Maintenant qq questions pour documenter ton cas :
- quel est ton firewall ?
- est-ce que le problème survient sur une page en particulier ?

@+

[logun]

salut,

dans ton Backtrace, aurais-tu le protocol employé et le/les ports utilisé.

ton systeme est bien à jour,

parce que ça rapelle un vieux truc du genre :

http://www.microsoft.com/france/securit ... 9-jpg.aspx

http://support.microsoft.com/?kbid=833987

[marsinph]

Salut tout le monde,

Précision :
mon systeme est à jour, c'est une version on ne peut plus officielle.
le firewall : d'abord un matériel au niveau du routeur et ensuite Sygate comme firewall logiciel.

Donc ????!!!???

[Nemric]

Salut,

j'aimerais bien voir les logs (backtrace) du firewall a la place du whois (pas backtrace) ... l'histoire d'avoir comme le dit logun, des ports et/ou services concernés ...

car sur mes firewalls (eh oui, 3, un ipcop (IDS) et 1 materiel (SPI) + celui de win sp2 (-bon ) j'ai des logs de paquests nons synchronisés (pas grave) provenants des sites que je visite.

mon pare-feu se met en alerte et détecte une tentative d'intrusion de la part d'infoprat !!!!

aurais tu un IDS ? ("intrusion detection systeme" ou "systeme de detection d'intrusion") car dans ce cas, outre le fait que l'IDS ne bloque pas ces paquets, mais previens seulement, il y a un MAX de fauts positifs !! et si ce n'est qu'une alerte d'IDS ce n'est rien du tout (dans la plupart des cas). l'IDS sait que tu telecharges une image et te previen du risque lié aux jpg piégés. n'a tu pas d'autre alertes sur tous les sites visités ?

dans les grandes lignes, un IDS analyse les paquets du niveau application (layer 7 je crois) pour voir s'ils sont correctement formés et qu'il ne contiennent pas une "signature" de la liste de regles (genre antivirus avec les listes de signature, donc a mettre a jour ) qui agit avant le firewall.

disons qu'il y a peut être une image jpg sur infoprat qui semble douteuse ...

...

[marsinph]

Salut a tous

Nemric, merci pour cette approche on ne peu plus tres technique. Je me replonge donc dand le modele OSI .
Au niveau du firewall, je n'ai rien d'autres d'interressant a fournir.
Bien sur j'ai un log des paquets TCP/IP, mais il n'apporte rien.

On rentre dans la technique pure ici.

Le probleme ne se pose que sur Infoprat. Et cependant, je suis assez souvent sur sites pas vraiment officiels dont je tairai le nom.

Pas envie non plus de commencer à placer un analyseur de trame pour voir. La question que je posais est plutot sur l'hebergeur d'Infoprat. Car je reste persuadé que ce site n'a variment pas pour but d'espionner, mais bien d'aider.

Donc ????????????????????????????

[McPeter]

Salut

"Sur le site d'infoprat" mmm moué ..
mais encore :p

sur quel endroit rencontres tu cette alerte
la page d'accueil du forum ?
celle du site ?
une page du site en particulier ?
une des discussions ?
bref ..
... where ?

ça pourrait permettre de determiner l'origine exacte du problème ...

ensuite depuis quand exactement le problème est survenu ?

@++

[freezzz]

slt

OVH c'est pas l'hebergeur du site, car c'en est un OVH ?!

peut etre qu'une image jpg qu'un membre à posté ou à mis en lien contient un virus caché à l'interieur et que ton antivirus à detecté.

ton windows est à jour ? car microsoft à sorti un patch y'a un petit moment quand meme: http://www.microsoft.com/france/securit ... 9-jpg.aspx

sinon pack sp2.

je serais curieux de savoir qu'elle page aussi

[Nemric]

Salut,

Nemric, merci pour cette approche on ne peu plus tres technique

oui c'est vrai et en plus dans la precipitation j'ai pas donné le bon lien, celui ci est moin technique pour le côté informatif du detecteur d'intrusion

maintenant le probleme avec la technique c'est lorsqu'elle donne des alertes qu'on ne comprend pas et si les termes que tu emplois,

détecte une tentative d'intrusion

sont les mêmes termes que ceux de ton firewall, alors il se peut que tu ai un detecteur d'intrusion, ce serait bien de le savoir.

c'est pas dans le modele osi qu'il faut cherché les infos mais ici sur le site de snort par exemple ou ici plus generalement

OVH c'est pas l'hebergeur du site, car c'en est un OVH ?!

mais avant de dire ca il fau aller sur le site d'ovh verifier qu'il y a pas d'offres d'hebergemet heureusement pour les hébergeurs qu'ils hebergent leur propre site le contraire serait un comble. En plus je sais pas sit tu télécharges beaucoup de logiciels libres de chez sourceforge car, entre autres, ces fichiers sont hebergés chez ovh ...

sinon, au risque de dire une connerie, je crois que le site d'infoprat n'est effectivement pas hebergé chez ovh, mais par contre le nom infoprat est déposé chez ovh, c'est pour ca que le whois ne sert a rien ... bien que les ping sur infoprat et ovh donnent des adresses commençant par 213.186.x.x et la je doute fortement ...

quelle est ton firewall ?
y a t'il plus de détails que le whois ? --> type d'intrusion

A bientôt

Nemric

[marsinph]

Salut

Je reprécise que mon Windows est à jour .

Le probleme survient sur les pages des forums. Et que cela ne le fait pas tout le temps !!!

Donc, ????????????

[Nemric]

Donc, ????????????

et c'est quoi ton firewall ?
et a part le whois ?

sur quel endroit rencontres tu cette alerte
la page d'accueil du forum ?
celle du site ?
une page du site en particulier ?
une des discussions ?
bref ..
... where ?

where ? et pas whois ?

arrete avec ton "donc ????" ca sert a rien ! tu peux faire 200 posts avec "mon win est a jour donc ????" que ca avancera pas plus !

tu repond pas aux questions

donc ??????

[patheticcockroach]

Salut,

et c'est quoi ton firewall ?

le firewall c'est Sygate

le firewall : d'abord un matériel au niveau du routeur et ensuite Sygate comme firewall logiciel.

sur quel endroit rencontres tu cette alerte
la page d'accueil du forum ?
celle du site ?
une page du site en particulier ?
une des discussions ?
bref ..
... where ?

where ? et pas whois ?

par contre là j'en rajoute un :

- est-ce que le problème survient sur une page en particulier ?

... cependant d'après le dernier post de marsinph, j'ai l'impression que ça arrive sur des pages au hasard... et là ça se complique...

@+

[marsinph]

Salut,

Nemric, mon firewall est mentionné ci-dessus !!!
L'adresse Ip de l'attaque aussi, le protocole aussi.
Le type d'intrusion est aussi mentionné
Comme je travaille derriere un router, le back trace ne sert à rien !
Toutes les réponses à tes questions sont emntionnées dans le post !
J'ai signalé que mon Win est à jour parce qu'on m'a signalé que cela pouvait venir du correctif de detection Gdi du 14/12/2004, qui ne serait pas installé.
Je te signale aussi que tu a donné toi-meme une tentative d'explication en parlant de la couche 7 du modele osi.

Je précise que c'est sur le port 80, et que tous les autres sont fermés par defaut. Que je ne télécharge pas. Pas de kazaa et consorts, je le reserve pour un autre pc.

Pas la peine de s'énerver.

[alain51]

Salut,

Cela m'arrive aussi ce genre de problème d'intrusion repoussée.
Ce n'est pas grave dans la mesure ou le firewall fait son boulot.
Certainement des apprentis "bidouilleurs".

Ma dernière en date : kerio ne bouge pas, kaspersky la repousse. IP : wanadoo.



(J'ai mis zone alarm depuis ! )

[Nemric]

Salut,

Pas la peine de s'énerver.

t'as bien raison, mais ton dernier message est intervenu au moment ou de mon côté je tentait "d'exciter" mon IDS en parcourant toutes les pages d'infoprat pour determiner si j'en trouve une suspecte ... je regrette de m'etre emporté et j'ai rien trouvé

Nemric, mon firewall est mentionné ci-dessus !!!

Au temps pour moi

L'adresse Ip de l'attaque aussi, le protocole aussi.

je suis moin sur, dans ton whois il y a plusieurs adresses mais pas celle d'infoprat (ping infoprat.net) ... qd au protocole ... je cherche encore ...

je te signale aussi que tu a donné toi-meme une tentative d'explication en parlant de la couche 7 du modele osi.

ca explique rien, c'est le niveau par lequel ca passe, ce qui est confirmer par

Comme je travaille derriere un router

puisque le routeur travail au niveau transport (tcp udp / ip) et ne gere pas le niveau application (http ftp ...) et pour que "l'attaque" passe le routeur depuis le port 80 (http) c'est entre ton navigateur et le site et c'est la que ton detecteur d'intrusion intervient. en gros tu telecharge le probleme.

Sygate Personal Firewall Pro includes a comprehensive Intrusion Protection System (IPS) which includes IDS, DoS protection, and Trojan protection which sets this program high above other personal firewall solutions. ... Application-Based Intrusion Detection System

* Protocol Driver-Level Protection
* Active Response
* Anti-IP & Anti-MAC Spoofing
* Application DLL Authentication
* Firewall Termination Prevention

et ca se passe ici page 45

on en est donc la :

aurais tu un IDS ? ("intrusion detection systeme" ou "systeme de detection d'intrusion") car dans ce cas, outre le fait que l'IDS ne bloque pas ces paquets, mais previens seulement, il y a un MAX de fauts positifs !! et si ce n'est qu'une alerte d'IDS ce n'est rien du tout (dans la plupart des cas). l'IDS sait que tu telecharges une image et te previen du risque lié aux jpg piégés. n'a tu pas d'autre alertes sur tous les sites visités

donc ?????

il faudrait trouver l'image qui pose probleme ... ca rendra service aux admins pour tous ceux qui n'ont pas le patch GDI+ Jpg ... ou c'est une fausse alerte ...