Bonjour,
 
J'ai un problème bizarre.
 
Toutes les 15 secondes, mon PC et ceux d'une cinquantaine de mes collègues envoient des paquets UDP vers une adresse en 10.64... (Tous les pcs vers la même) qui n'éxiste pas !
 
Les paquets UDP sont émis a destination du port 1027 !
 
Ils ressemblent à des paquets NTP, les Receive Timestamp, et Transmit Timestamp sont bien renseignés, mais les autres champs sont fantaisistes d'après moi.
 
Exemple de paquet envoyé (Paquet UDP complet).
 

 
Découpage d'après la RFC958 : http://www.faqs.org/rfcs/rfc958.html
 
Le problème à été détecté par le firewall qui ne sait pas ou diriger le paquet, vu que l'adresse n'éxiste pas.
Cà à commencé vendredi avec quelques machines, lundi matin il y en avais 30, et maintenant, plus de 50.
 
Voilà, je cherche sur ma machine ce qui fait çà, mais tout ce que j'ai trouvé, c'est que çà vient de svchost.exe
 
Je ne sais pas comment aller plus loin. Par exemple : Comment savoir quel process/appli à demandé çà à svchost ?
 
Si vous avez des idées...
 
Précision, presque toutes les machines qui font çà son sous XP pro, mais il y en a d'autres sous 2k je crois.

Essaie de mater les services actifs sur tes machines, et comparant si possible avec ceux d'une machine non infectée.
Vérifie aussi les progs lancés au démarrage...on sait jamais.

Heu, déjà, fait...
J'ai désactivé un max de trucs et y'a rien de suspect.
Je continue à tout vérifier

Bon, en désactivant le service "Horloge Windows" qui :

 
Ca le fait plus !
 
Reste à savoir si c'était un comportement normal (j'ai pas l'impression ) ou si j'ai juste stoppé un service (qui ne me sert pas à grand chose) utilisé par un bout de code malicieux qui traine
 
J'ai l'impression de ne rien avoir réglé du tout, un peu comme si j'avais débranché mon cable réseau...

ce qui est louche c'est que tout à coup le nombre de machines l'utilisant ait grandi
(à moins que la config firewall ait changé sans que tu le saches )

D'après les 'gens' du réseaux, c'est depuis les derniers windows update que çà le fait. Ce qui explique la progression en nombre de machine.
Pour voir si c'est bien çà, sur mon PC, j'ai désinstallé les MAJ depuis fin septembre, et çà change rien...
De plus en plus nébuleux ce truc !
Le firewall se contente de dire que la cible n'existe pas c'est tout. Une enquête est en cours pour savoir si elle éxistait avant, mais çà n'à pas l'air d'être le cas. En plus je vois pas pourquoi ma machine utiliserait se serveur fantome, vu que je l'ai paramétré manuellement pour un serveur de temps qui lui existe bien...

oui mais bon, en meme temps, je suis pas sur qu'on puisse se fier à un désinstall de maj de windows update quoi ...

C'est aussi ce que je me suis dis !
Donc, comme d'hab, fuite en avant...
J'installe toutes les autres MAJ que me propose Windows-Update
On verra bien, ce n'est qu'un PC de ma boîte.

J'ai compris !
 
En fait, y'a une machine sur notre VLAN qui envoie des paquets UDP a destination de 255.255.255.255:123 avec une adresse IP bidon et le port 1027.
 
Toutes les machines XP/2K qui ont le service "Horloge windows" activé répondent gentiement.
 
Je m'en suis rendu compte avec un autre sniffer que celui que j'utilisais au début qui ne me montrait pas tout !
 
Bon l'adresse IP est bidon, mais j'ai son adresse MAC
J'espère qu'elle est pas bidon aussi
 
La suite au prochain numéro...

y'a pas d'admin reseau dans ta boite ou bien c'est toi

SISI, y'en a un...
Mais j'aime bien la chasse aux truc zarb
 
Celà dit, y'a pas de raison que l'admin réseau passe sont temps à regader tous les paquets broadcast. Tant qu'ils sont valides, ben y'a pas d'alerte.

ben oui mais en l'occurence y'a un truc louche non

   
 
 
Flag, ça m'interesse.

Oui, et l'admin réseau l'a bien vu.

C'est pas de moi.
C'est un tag que j'ai vu sur un bureau de Poste

Suite et fin :
 
On a trouvé le coupable !
 
Une nouvelle équipe de dev est arrivée et à installé son matos.
 
Dans le tas, y'a une imprimante avec un sous-réseaux à la con. La pauvre qui n'est pas utilisée pour le moment (de toute façon personne pouvait la voir...), passait son temps à demander l'heure à tout le monde (en broadcast donc).
 
     

De l'utilité de connaitre l'heure pour une imprimante réseau...:whistle:

c'est con une imprimante quand ca a rien a foutre quand meme