J'ai bidouillé et MAJ mon WRT54G v2.0 avec tout un tas de truc sur le Net dont HyperWRT et une version de Alchemy. Je n'ai rien pris de tout çà en P2P (si!si! c'est vrai!) mais je ne souviens plus de quels sites ca sort (no comment please). En tout cas je me suis retrouvé avec une Alchemy-V1.0 v3.37.6.8sv.
 
Hier je fais un scan des ports ouverts sur mon WRT54G et le résultat :
* 3127 trojan W32.Mydoom
* 4672 eD2Kt eD2K
* 27015 hle Half Life Engine
 
Mon réflexe, j'update le firmware avec le dernier de chez Linksys pour le WRT54G v2.0
Nouveau scan, rien à faire, le troyen est toujours dans le WRT54G.
 
Plusieurs remarques :
 
1) Je constate que le firmware ne réinstalle pas l'OS dans la machine.
Est-ce que si je reflash la machine en démontant le routeur, en connectant deux pin avec un tournevis et en faisant un reset, ca pourrait aller mieux ?
2) Tiens je savais pas qu'un petit rigolo avait fait un rootkit Mydoom pour Linux!
J'ai trouvé ici http://forum.hardware.fr/hardwaref [...] 763-37.htm
que devil106 a eu le même constat.
3) Comment je le retire ?
4) [à la K. Midnick] Je serai bien tenté d'attendre une connection pour trouver l'IP du debilium-profondium qui m'a pondu un firmware infecté et le filtrer par la suite. C'est jouable ?
5) Y'a t'il l'OS dans le GPL Code de Linksys ? Si oui, il doit y avoir moyen de tout réinstaller... tutorial ?
 
Si quelqu'un d'autre a des infos...

t'est sur que c'est ton routeur qui est infecté?

Oui oui, je fais un scan des ports ouverts sur mon WRT54G et c'est çà qui en ressort! J'ai isolé mon routeur, j'ai branché un seul PC, je scan les ports ouverts sur l'IP du routeur, y'a pas de doute.

encore mydoom, peut etre, enfin je doute mais qu'est ce que  
* 4672 eD2Kt eD2K
* 27015 hle Half Life Engine  
 
viennent foutre la
 
en plus un virus pour wrt54g ca m'étonne bcp, la mémoire est limitée
 
débranche tout les cables réseau, ya une activitée sur le routeur ou pas?

Tu as mis en place des redirections sur la table NAT ?

heu ce serais pas plutot la liste des port pour tel ou tel application?
genre une liste exhaustive des ports

Comme Saint Thomas, il faut que vous le voyez pour y croire.
Voilà une capture d'écran du résultat du scan effectué avec LanSpy (dsl j'ai la flemme d'installer nmap)  sur 192.168.1.1 qui est l'adresse de mon routeur WRT54G. [J'ai tout débranché, il n'y a pas de confusion sur l'IP, c'est bien de mon routeur qu'il s'agît]
 

 
Faites vous-même un scan de votre WRT54G. Ce serait curieux de trouver tous ces port-là ouverts.
 
Je vois des tas de ports bizarres. Même le port 110 je ne l'explique pas : j'ai fait un reset usine; le WRT54G ne doit pas faire servir le POP3 par défault (et puis vers qui d'abord si ca devait l'être, comment le routeur pourrait choisir le serveur vers qui natter). Enfin passons c'est une petite remarque.
Donc tous mes paramètres sont ceux par default. Pas de redirection NAT, rien de configuré sur le WRT54G.

Mea culpa!
 
Je suis sur une piste, je retrouve les mêmes port sur un scan sur une livebox. Alors soit
1) je suis malchanceux et j'ai les mêmes virus sur une Inventel et une Linksys
2) je suis stupide et j'ai rien compris à la signification du résultat du scan sur Lanspy
3) je suis stupide d'utiliser Lanspy (d'origine russe ?)
 
Je ne crois pas à la 1

bizarre, je viens de faire un scan sur mon WRT54G (dd-wrt v23 beta1) avec LanSpy et j'obtiens le même résultat que toi.
Par contre avec nmap (sous linux)

conclusion, un des deux logiciels raconte n'importe quoi

je confirme, lanspy a l'air de racconter nimporte quoi, j'ai le meme resultat que toi sur mon wrt54g sous hyperwrt :|

Quel dommage ! Je le trouvais bien ce petit logiciel
Je télécharge cygwin et je vérifie avec nmap qu'il n'y a pas de danger sur mon routeur.

Méfiance avec certains sites qui proposent un pseudo-scan de ports, et qui te proposent en même temps d'acheter un logiciel pare-feu!
Certains de ces sites sont volontairement faux, et te disent n'importe quoi pour t'inciter à acheter leur logiciel au lieu du logiciel concurrent que tu utilises.
 
Pour les ports ouverts sur ton PC, regarde plutôt ce qu'affiche:
  netstat -an
depuis une fenêtre de commande ("listening" ports).
 
ensuite recherche à quoi correspondent ces ports.
Note: certains parefeux inconnus sont des "fakes". Avant de les charger den'importe où, recherche sur Google le site officiel. Certains contiennent des virus et backdoors.
 
Il y a des sites sérieux pour scanner les ports: regarde les sites des vendeurs d'antivirus, ou ceux recommandés par des organismes de veille de sécurité de type CERT (comme FRSIRT, le CERT français).
 
Note: un port peut être ouvert sur ton routeur par un PC connecté dessus via UPnP. Désactive UPnP, vire tous les mappings et forwarding de ports ou port-ranges. Maintenant refais un scan. Si le port n'est plus là, c'est bien un de tes PC qui est infecté par un virus capable de demander l'ouverture d'un port par UPnP.
 
Méfies-toi de UPnP si tu n'es pas sûr que tous tes PC sont cleans.
Mieux vaut configurer le modem manuellement: n'oublies pas de changer son mot de passe par défaut (souvent "0000" ou "1234" ), afin qu'aucun virus ne puisse accéder à sa configuration.

Note complémentaire! Certains modems-routeurs ont DEUX mots de passe de configuration: un pour l'interface websimplifiée, l'autre pour l'interface Telnet.
Dans l'interface Telnet, tu trouveras le plus souvent une commande permettant de restaurer leur configuration d'usine par défaut ("restore factory settings" ). Regarde ce qu'affiche la commande "help", ou procure toi la doc de l'interface "CLI" (ligne de commande) souvent en Anglais uniquement (même chez Alcatel, Sagem et Thomson).

Merci pour les infos, j'avais pas pensé à UPnP.
Ceci-dit, il s'agît d'un vieux routeur de 2 ans, sortant du placard, donc comme je le disais, il n'y a aucun réseau, aucun PC relié au routeur, à part celui que j'utilise pour le scan. Mais je pense pas qu'il soit infecté, c'est un ordi neuf que je viens d'installer et protèger. D'ailleurs le netstat me le confirme. Pour moi c'est Lanspy qui déconne. De toute façon je vais me mettre à nmap et nessus. Et puis installer Snort et IDSCenter.
Sinon le WRT54G avec une interface CLI ca m'interesserait de voir çà.
 
En tout cas merci à tous pour m'avoir donné du tps. ^_^

je l'ai pourtant désactivé donc le problème se situe ailleurs.

il suffit de mettre un firmware alternatif et tu auras accès un shell avec les commandes Unix (ls,...)

ah la vache, ca fait peur quand on lance ce truc ... J'obtiens aussi  
3127 trojan => W32.Mydoom sur mon routeur Lynksis WRT54G
 
Mamannnnn