Requin> J'ai vérifié la configuration du Zyxel et contrairement a ce que je pensais il faisait bien du forwarding du port 80 vers l'IP du portable et non de l'autre machine. Le mystère est donc levé :D
Guru
Je suis d'accord et ca m'inquiete un peu. Je vérifierais la config du Zyxel dès que possible doit y avoir qqch.
Sinon je regardais le lien que tu as donné chez TrueSecure et contrairement a ce qu'annonce Zyxel sur son site concernant la famille des Zywall, ils ne l'annoncent pas certifié. As tu des infos la dessus ?
Requin
Ouaip en tout cas c'est étrange, sans port forwarding que ca puisse passer... quelque soit le routeur NAT.
Guru
Je vérifierais quand même demain soir la configuration du Zyxel. Mais la je suis franchement très intrigué et tout d'un coup un peu moins confiant en la relative sécurité de l'installation :(
J'ai vu l'URL que tu as donné vers les tests de FW je vais jetter un oeil finalement. Merci de ton aide :jap:
Requin
J'en doute, c'est en fait techniquement pas possible et n'importe quel routeur NAT aurait discardé les paquets, tout cimpleemnt car il n'aurait pas su ou les envoyer...
Je ne connais pas précisément la méthode que Zyxel utilise pour renvoyer les paquets un bon hôte du LAN, mais la ca me semble tiré par les cheveux (ce serait bien la première fois qu'une application arrive à passer le NAT avec une simple requête HTTP)
Ou sinon c'est que nimda est maousse costaud ! :sweat:
Guru
Le seul port forwarding que j'ai fait à une époque pour tester était sur une autre machine que le portable. J'avoue ne pas trop comprendre. Le Zyxel est configuré en NAT, un IP publique dynamique donnée par l'ISP (Wanadoo en l'occurence) et plusieurs IP privées côté LAN (192.168.0.x).
Je vais quand même pas mettre un Zywall 10 derrière le prestige... y aurait il une faille sur le prestige ?
[edtdd]--Message édité par Guru--[/edtdd]
Requin
Logiquement tout appel qui arrive de l'extérieur si il n'y a pas de "port forwading" est bloqué (il atterit dans les choux diront nous)...
Donc soit tu as un port forwarding sur l'IP de ton portable (peut-etre une vieille config oubliée en des temps immémoriaux, menu 15 du Zyxel si ma mémoire est bonne et un indice de pas de bol élevé), soit je n'y comprends plus rien ;)
Car bon ce worm entre autres scans les IPs (facon Code Red I & II) et vue que tu as je suppsoe du NAT one-to-many (une IP publique, X IPs privées) ben ca ne devrait tout simplement pas pouvoir passer (le routeur ne sait pas sur quelle IP interne envoyer le paquet)
Guru
En regardant le log, je l'ai chopé lundi soir visiblement peu de temps après l'installation de Win2k au vu de l'heure depuis plusieurs adresses d'abonnés wanadoo (80.x.x.x), et donc à travers le Prestige 642R :??:
Mon interrogation maintenant est comment ces requêtes ont pu arriver jusqu'au serveur IIS, le Prestige est censé filtrer non. Requin toi qui connais ces routeurs qu'en penses tu, que conseilles tu ? :jap:
[edtdd]--Message édité par Guru--[/edtdd]
Guru
Merci Requin je n'ai pas pensé a regarder les log. Une fois le virus éradiqué j'ai continué a l'installation des applications.
J'ai pensé aux serveurs IIS du réseau, ils sont tous patchés ou sains. Je regarde les log.
Merci de votre aide :jap:
Requin
Peut-etre as tu un autre ordinateur de ton réseau local infecté (te connaissant je doute que tu l'ai reçu par email et exécuté et même je doute de ma prmière hypothèse ;) ) ?
La c'est plus du domaine du mystère qu'autre chose...
Dans les logs du serveur IIS du portable tu auras des accès (root.exe, cmd.exe) et l'IP de l'hote qui t'a contaminé... je pesne que c'est un bon point de départ pour commencer l'enquête :)
boisorbe
au travers d'un mail recu ou d'une page deja verole sur le net ;)
Guru
:hello:
Guru
Lundi soir je réinstalle un Win2k Server avec IIS sur mon portable, j'applique le SP2 et je continues l'installation de diverses applications. Le mardi en début de matinée je m'apperçois de quelque chose de bizare des .eml partout, conclusion nimda est passé par la. Un petit coup d'AntiNimda (merci AVP) et tout rentre dans l'ordre.
Le serveur IIS n'étant pas patché et le portable n'ayant pas encore d'antivirus, rien de surprenant à cela si ce n'est qu'il n'a été connectée que dans deux situations :
- via un routeur Zyxel, sans port mappin.
- via un partage de connexion ADSL Win2k sur un serveur IIS patché et non infecté.
Comment Nimda a t'il pu exploiter le serveur IIS de mon portable ?
