Reprise du message précédent :
ca dépend, la, c'était une backdoor artisanale, dans le cadre d'un mémoire montrant les failles de système classiques, qui se faisait passée pour IE et envoyait une requete spécial a un serveur et elle restait ouvert environ 5 min, ensuite elle se refermait et recommencait plus tard. Ainsi la manip était moins suspecte, elle est passée sans problème sous ZA, BlackIce (qui ne filtre même pas ce qui sort) et Norton Firewall.

dans les versions recentes de ZA pro un logiciel ne poeut pas se faire passer pour un autre.
ZA detecte la modification et demande l'autorisation.
`donc je suis sceptique.
mais cela dit je n'ai jamais dit que Za etait inviolable.
(qui sait faire ce genre de manip? c'est plus de l'experimentation et la d'un coup y moins de monde.)
ZA reste cependant le FW perso le plus dur a penetrer.  
pas mal pour un logiciel  pas cher !  
Si tu connais qqun dans ton entourage qui a reussi a passer au travers , j'aimerais bien savoir comment il s'y est pris (par curiosité)
Les rares a y parvenir le font tt de suite savoir sur les sites specialisés et force est de constater que personne ne crie haut et fort que ce FW est une passoire.
Black Ice en est une , ca par contre c'est sur.

j ai po l eu tout le tomic po le courage mais comme dit un million de foi un firewall basique est souvent inutili  
et ds tout les cas :  
comme c une machine perso po grand chose d interessent donc :  
ceux qui essaye sont des petits warlords et donc n arriveront poa passer lefirewall  
ceux qui s y connaissent vont jamais attaquer une machine de particulier l interet est limitee...

exact

 
justement tout l interet et bien de bloquer les hackeurs a deux balles...
 
Quand a une firewall software je precise que checkpoint possede 80% de part de marche ds les entreprises et que c ... un software a tient  

 
QUE PROPOSES TU ALORS?
 
 
WANOO -> hum ca peut etre un trojan ce patch
son patch va modifier le code du log en grande qte donc je me dit que comme les petits anti-trojans qui font l'effet inverse il est possible que....non? suis je trop parano?
ps : si le webmaster du site vient ici,desole mais on est jamais trop prudent

héhé gizmo que tu critiques ZA OK mais raconte pas de telles conneries
ou apprends un peu comment ca marche
ton port 80 n'est ouvert que si tu as un serveur http et que tu as autorisé le serveur en question sous ZA point barre
depuis quand les browsers écoutent le port 80 ? ...
et d'ailleurs quel rapport avec le contenu de la trame ip ZA s'amuse pas à fouiller l'intérieur de la trame qui arrive et à la filtrer en fonction de ça, il la laisse passer ou il la bloque
 
lemmings 95% des "attaques" que tu reçois sont des requetes sur le port 80 ? c'est simplement red code 2 ou une variante qui cherche gentiment à te polluer, mais si t'as pas de IIS ou de personal web server tu crains rien et ne t'occupe donc pas de ces alertes
 
la principale utilité de zonealarm sur une connexion perso, c'est pas de se protéger contre d'éventuelles attaques (le risque est proche du zéro, à moins de faire le con sur irc ou d'utiliser un serveur web microsoft sans l'avoir patché mais fo etre un peu neuneu) mais de pouvoir controler les applications qui essayent d'accéder au net -> ca permet de reperer immédiatement un troyen par exemple (bon pas tous les troyens certes, y en a qui peuvent passer outre zonealarm mais ils sont tres rares)

ok merci mais :
 
les ports concernes :
1216,1236,1533,4585, ect.... a chaque fois c'est un chiffre different et pas 80

ca c est des ports de troyen donc si t en a po sur ton pc ...

GUG : dites les gars fo apprendre un peu comment ça marche les reseaux... un browser c'est un CLIENT qui se connecte au port 80 du SERVEUR ; ton browser pour les connexions il utilise une fourchette de ports entre 1025 et 2000 et des bananes, fais un netstat tu verras bien si ton browser il utilise ton port 80
 
Lemmings : laisse tomber ce genre d'alertes c'est du vent

qq troyens :
 
 
 
 # bloque Dmsetup
   58  
 
# FireHotcker...
 5321  
 
# RASmin ...
 531  
 
# Steath Spy Trojan...
 555  
 
 
# Dark Shadow Trojan...
   911 -
 
# Silencer Trojan...
1001  
 
# NetSpy Troja
   1024  
 
# Extreme Trojan
 1090
 
# Ultor's Trojan
   1234  
 
# Whack-a-mole Trojan
  12361:12363  
 
# WhackJob Trojan
   12631  
 
# FTP99CMP Trojan
 1492  
 
# Shiva Burka Trojan
1600  
 
# Spy Sender
   1807
 
# ShockRave Trojan
 1981  
 
# BackDoor Trojan
   1999  
 
# Remote Explorer Trojan
 2000  
 
# Trojan Cow
   2001  
 
# Ripper Trojan
 2023  
 
# Bugs Trojan
 2115
 
# Striker & WincrashTrojan
2583  
 
# Phinneas Phucker Trojan
 2801    
 
# Rat Trojan
   2989    
 
# Filenail Trojan
   4567    
 
# Sockets de troie v1.
   5000:5001    
 
# Blade Runner Trojan
   5400:5402    
 
# SERV-Me Trojan
   5555    
 
# BO-Facil Trojan
   5556:5557    
 
# Robo-Hack
   5569    
 
# The 'thing' Trojan
   6400    
 
# Indoctrination Trojan
   6939    
 
# GateCrasher, Priority Trojan
 6969:6970    
 
# Net Monitor
 7300:7309    
 
# ICKiller
 7789    
 
# Portal of DOOM Trojan
 9872:9875    
 
# iNi Killer Trojan
 9989    
 
# Acid Shivers Trojan
 10520    
 
# COMA Trojan
 10607    
 
# Sienna Spy
  11000    
 13000    
 
 
 # Progenic Trojan
 11223    
 
# Gjammer Trojan
 12076    
 
# Keylogger Trojan
 12223    
 
# Proziack
 22222    
 
# Evil/Ugly FTP Trojan
 23456    
 
# Delta Source Trojan
 26274    
 
# Sub-7 2.1 Trojan
 27374    
 27573    
 
# Back-Orifice 2000 Trojan
 
 #      
 
# GirlFriend Trojan
 21554    
 
# Wincrash Trojan
 2583    
 
# BackDoor Trojan
 6713    
 
# Netsphere Trojan
 30100:30102    
 
# Doly Trojan
 1011:1012 -j REJECT -l
 
# NetBus Trojan
 # 12345:12346    
# 12345:12346      
 
# DeepThoat Trojan
 2140    
 3150    
 41    
 60000    
 6670    
 6771    
 999    
 # putain, il forke celui là  
 
 # Hack 'A' Tack Trojan
 31785    
 31789:31791    
 
# Master Paradise Trojan
 3129    
 40421:40426

héhé c clair que si qq1 essaye de scanner tous les ports utilisés par des troyens sur ta machine c'est qu'il est très faché contre toi

 
 
bah d'apres mon anti virus j'en ai pas
mais dans ce cas c'est la preuve que y a qqun qu'essaye de penetrer ma machine....
et si j'en avais c'est pas trop grave vu que y a rien sur mon pc toute facon
j''avais juste pose la question au debut par curiosite parce que je me demandais si celui qui en a pas de FW, il allait se faire hacker a 50 mecs par seconde

en fait les petits comiques font des scannes de plein de machine et qd la machin a un troyen ca fait beep  
alors la y va voir  ...
mais bon un scanne j en ai plein tout les jours et c po mechant ...

EZM a écrit a écrit : héhé c clair que si qq1 essaye de scanner tous les ports utilisés par des troyens sur ta machine c'est qu'il est très faché contre toi

 
je suis fache avec personne vu que je viens d'avoir ma cnx
puis c'est jamais la meme ip
 
donc en conclusion finale c'est ce que dit GUG au dessus

[edtdd]--Message édité par Lemmings--[/edtdd]

Arf ... j'ai bien aimé le coup du browser sur le port 80...
       
 
Bref. Moi je reste convaincu qu'un petit zone-alarm AVEC un anti-virus à jour reste une soluce PAS CHER et parfaitement efficace pour le particulier.
 

ipchains / iptable est bien aussi  

Alors là je me demande quoi :

 
 
C vrai koi c koi toutes ces alertes ?
J'ai deja entendu parler de Black Ice c pas mieux comme firewall?

serait ce pas des traces du virus red code 1et 2    
 
kaltan

fallait mettre ZA pro?
moi j'ai mis la version classic , n'est ce pas suffisant?

tiens enfin qqun qui comprend qque chose sur ce forum
c rare ca !
je vous assure qu'au debut ce forum c drole mais a la fin c fatiguant !
en tt cas voila une reponse sensée
merci EZM

 
Depuis quand un browser ecoute sur le port 80, fo arreter de dire n'importe quoi

Ok, je me suis planté sur le port 80, mea culpa, je viens de vérifier dans mes bouquins
 
Par contre je viens de faire un test avec ZApro:
1° prendre un browser et l'ouvrir, ZApro lui donne alors l'autorisation d'envoyer des paquets et d'en recevoir.
2° infecter mon browser, ZApro ne voit absolument pas la différence!
3° remettre mon browser en état
 
Résultat, il suffit d'infecter le browser de quelqu'un avec un troyen (et non pas mettre un programme séparé comme c'est le cas habituellement) et d'utiliser les ports classiquement utilisés pour le surf, et hop! ZApro laisse tout passer. Seul inconvénient, il faut que le browser soit actif. Mais je suis sur que des petits malins peuvent contourner se problème en gardant le processus actif même si l'on ferme la fenêtre.

gizmo : la on est d'accord
la principale faiblesse de zonealarm est de laisser le choix à l'utilisateur d'autoriser ou non tel programme à acceder au net
donc si le gars qui s'y connait pas trop autorise un fichier je_n_ai_rien_a_me_reprocher.exe à faire serveur bin on peut plus rien pour lui
mais zonealarm a le merite de controler un minimum les versions de fichiers qu'il connait, il suffit pas de renommer mechant_serveur.exe en iexplorer.exe pour que ce dernier accede au net impunément
mais si tu veroles iexplorer.exe avec un troyen qui conserve la taille et la version du fichier ou meme qui va directement taper dans la base de données de zonealarm y a pas grand chose à faire  
mais c pas courant ce genre de bebetes, si ?
 
Nicolas : ca c'est du code red, c'est pas un mechant hacker qui en veut à ton pc

 
voila...
 
Faut arreter vos fantasmes les gars, votre machine n'est pas l'objet de convoitise de qui que ce soit, et il faut savoir analyser les logs d'un firewall, pas dire "ho ca s'allume je me fais pirater  !"  
 
Une station 98 n'est pas facilement attaquable car n'execute pas "par defaut" de services ouvrant des ports sensibles.
Une station NT, est suffisament securiser si l'on applique les mises a jour regulierement, et de meme il faut activer les services avec attention.
Une station Linux n'interresse pas le newbie qui viens de lire "l'attaque Netbios" article de 1995, totalement obsolete de nos jours
 
La crainte ne viens pas de se faire "hacker", la faute c generalement l'utilisateur, qui aura executer un virus ou un backdoor sans le savoir.  
 
Quand au mythe de g ton IP je peux te faire planter, tout le monde ne possede pas une ligne T3 capable de provoquer un D.O.S sur votre serveur perso, ni les moyens d'acceder aux ressources de votre PC comme par magie...

Comment ca code rouge ???
Il y a un virus ou un troyen ds mon pc ????
Et comment verifier si c le cas ?
MOn antivirus ne detecte rien !

gizmo a écrit a écrit : Ok, je me suis planté sur le port 80, mea culpa, je viens de vérifier dans mes bouquins   Par contre je viens de faire un test avec ZApro: 1° prendre un browser et l'ouvrir, ZApro lui donne alors l'autorisation d'envoyer des paquets et d'en recevoir. 2° infecter mon browser, ZApro ne voit absolument pas la différence! 3° remettre mon browser en état   Résultat, il suffit d'infecter le browser de quelqu'un avec un troyen (et non pas mettre un programme séparé comme c'est le cas habituellement) et d'utiliser les ports classiquement utilisés pour le surf, et hop! ZApro laisse tout passer. Seul inconvénient, il faut que le browser soit actif. Mais je suis sur que des petits malins peuvent contourner se problème en gardant le processus actif même si l'on ferme la fenêtre.

 
AMHA, cela ne fonctionne pas du tout
Quand on autorise un programme quelconque à sortir, ZA (pro ou pas) crée un identifiant crypté en rapport avcec la taille et le numéro de version du programme en question.
 
C'est pour cela que si tu fait une maj via windows update de ton IE il te faudra nécessairement réautoriser celui ci à sortir.
 
Donc ton infection ne peut fonctionner que dans un nb limité de cas et seulement si tu n'as pas d'antivirus à jour.
 
Jet

 
Code rouge (toutes version) et nimda infectent des serveurs IIS (microsoft) mal patchés.
 
Ceux ci scannent ensuite des plages d'adresses ip pour trouver de nouveaux serveurs.
 
C'est ce que tu as dans tes logs de firewall.
 
Jet

Et comment les patcher ?
WIndows update suffit ou pas ?

 
oui et de toutes façons tu ne dois pas avoir de serveur web (pour héberger un site) chez toi.
 
Par contre nimda peut se choper en lisant un mail ou en naviguant sur un site infecté.
 
Tout ça sans rien exécuter.
 
Jet

Ya un trruc que j'ai pas compris ds ZA
cdette histoire de servers
 
car on a une option allow connect pour chaque programme et a cote allow serveur
le serveur c'est le plus sensible a ce que j'ai compris
donc j'ai refuser a tous mes programmes de pouvoir fonctionner en server ( navigateur compris)
mais ca a rien change pour mon surf
donc euh ca sert a quoi au juste?

Les programmes de partages de fichiers (types napster, morpheus ou autre) doivent avoir cette option de cochée pour bien focntionner.
 
En fait l'option allow serveur dit que tu autorises a devenir serveur donc a ce que l'on se connecte chez toi.
 
Jet

 
ai-je dis le contraire? il existe tout un tas de virus qui garde la taille des fichiers, mais ce sont des virus ciblés, il s'attaquent a certains programmes (de microsoft de préférence, comme par hasard...). Et c'est bien pour ca que je préconise d'avoir un antivirus a jour! La je l'avais désactivé pour le test.