ARPSpoofing / ARPPoisoning/UDPflooding/ddos..
binou
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
c'est vraiment debarrassant d'avoir une putain d'adresse ip qui me suit toute la nuit et toute la journée ,avec un fai qui fait rien pour l'empecher ,cette ip redirige le trafic réseau de mon ip vers ça machine et mon fai bouge plus contre ça ,elle flood ma connexion et la coupe chaque 15mn ,alors la ,croyez moi j'ai chercher par tout afin de bloquer cette ip ,depuis Fortguard ,arptables,ebtables jusqu'a ARPwatch et toujours sans resultat . Elle est détectable cette ip dans le log et portant je peut rien faire pour la blocker ,c'est comme si je bloque mon ip ,la connexion se ferme précisement en seconde a chaque 15mn passée de connexion internet , j'ai essayer meme de retourner l'arp spoofing sur cette machine et sans resultat ,j'ai opté pour des version pro d'anti ddos et toujours sans resultat.j'ai binder mon ip en static et toujours rien....!!!!!
voir meme que dernierement on m'empeche de se connecter a internet et a chaque fois que je me connecte (manuellement) mon fai refuse le nom et le mot de passe et je peut me connecter q(aprés plusieurs tentatives.
si quelqun connait il une methode pour lutter contre ces attaques ou un anti ddos efficace je lui serais reconnaissant .
c'est vraiment debarrassant d'avoir une putain d'adresse ip qui me suit toute la nuit et toute la journée ,avec un fai qui fait rien pour l'empecher ,cette ip redirige le trafic réseau de mon ip vers ça machine et mon fai bouge plus contre ça ,elle flood ma connexion et la coupe chaque 15mn ,alors la ,croyez moi j'ai chercher par tout afin de bloquer cette ip ,depuis Fortguard ,arptables,ebtables jusqu'a ARPwatch et toujours sans resultat . Elle est détectable cette ip dans le log et portant je peut rien faire pour la blocker ,c'est comme si je bloque mon ip ,la connexion se ferme précisement en seconde a chaque 15mn passée de connexion internet , j'ai essayer meme de retourner l'arp spoofing sur cette machine et sans resultat ,j'ai opté pour des version pro d'anti ddos et toujours sans resultat.j'ai binder mon ip en static et toujours rien....!!!!!
voir meme que dernierement on m'empeche de se connecter a internet et a chaque fois que je me connecte (manuellement) mon fai refuse le nom et le mot de passe et je peut me connecter q(aprés plusieurs tentatives.
si quelqun connait il une methode pour lutter contre ces attaques ou un anti ddos efficace je lui serais reconnaissant .
A voir également:
- ARPSpoofing / ARPPoisoning/UDPflooding/ddos..
- Xvideoservicethief 2019 linux ddos - Télécharger - Copie & Extraction
- Xvideoservicethief 2019 linux ddos attack free download for windows 7 - Forum Logiciels
- Comment savoir si DDOS? - Forum Réseau
- Peine pour Ddos ✓ - Forum Vos droits sur internet
- Je me suis fais DDoS... - Forum Réseau
3 réponses
Bonsoir
Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.
-> http://images.malwareremoval.com/random/RSIT.exe
! Déconnecte toi et ferme toutes tes applications en cours !
Double-clique sur " RSIT.exe " pour le lancer .
-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .
* Devant l'option "List files/folders created ..." , tu choisis : 2 months
* clique ensuite sur " Continue " pour lancer l'analyse ...
-> laisse faire le scan et ne touche pas au PC ...
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).
Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...
Important : poste un rapport, puis l'autre dans la réponse suivante
Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum
( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )
Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.
-> http://images.malwareremoval.com/random/RSIT.exe
! Déconnecte toi et ferme toutes tes applications en cours !
Double-clique sur " RSIT.exe " pour le lancer .
-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .
* Devant l'option "List files/folders created ..." , tu choisis : 2 months
* clique ensuite sur " Continue " pour lancer l'analyse ...
-> laisse faire le scan et ne touche pas au PC ...
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).
Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...
Important : poste un rapport, puis l'autre dans la réponse suivante
Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum
( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )
voici le rapport:
SmitFraudFix v2.417
Rapport fait à 22:38:57,05, 23/05/2009
Executé à partir de C:\Documents and Settings\maher\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\xampp\apache\bin\apache.exe
C:\Program Files\DynDNS Updater\DynUpSvc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\xampp\mysql\bin\mysqld.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\xampp\apache\bin\apache.exe
C:\WINDOWS\vsnpstd3.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\DynDNS Updater\DynTray.exe
C:\Program Files\FortGuard\Firewall\fortguardservice.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\maher
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\maher\LOCALS~1\Temp
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\maher\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\maher\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
»»»»»»»»»»»»»»»»»»»»»»»» RK
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: Connexion réseau Intel(R) PRO/100 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.2.1
Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 193.95.93.77
DNS Server Search Order: 193.95.122.40
HKLM\SYSTEM\CCS\Services\Tcpip\..\{364D91A2-57C8-478A-8F2A-10E1248F2D9D}: NameServer=193.95.93.77 193.95.122.40
HKLM\SYSTEM\CCS\Services\Tcpip\..\{4D53AF35-EA64-4F1A-9710-6744292BB5A8}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{364D91A2-57C8-478A-8F2A-10E1248F2D9D}: NameServer=193.95.93.77 193.95.122.40
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4D53AF35-EA64-4F1A-9710-6744292BB5A8}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{364D91A2-57C8-478A-8F2A-10E1248F2D9D}: NameServer=193.95.93.77 193.95.122.40
HKLM\SYSTEM\CS2\Services\Tcpip\..\{4D53AF35-EA64-4F1A-9710-6744292BB5A8}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
SmitFraudFix v2.417
Rapport fait à 22:38:57,05, 23/05/2009
Executé à partir de C:\Documents and Settings\maher\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\xampp\apache\bin\apache.exe
C:\Program Files\DynDNS Updater\DynUpSvc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\xampp\mysql\bin\mysqld.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\xampp\apache\bin\apache.exe
C:\WINDOWS\vsnpstd3.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\DynDNS Updater\DynTray.exe
C:\Program Files\FortGuard\Firewall\fortguardservice.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\maher
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\maher\LOCALS~1\Temp
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\maher\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\maher\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
»»»»»»»»»»»»»»»»»»»»»»»» RK
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: Connexion réseau Intel(R) PRO/100 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.2.1
Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 193.95.93.77
DNS Server Search Order: 193.95.122.40
HKLM\SYSTEM\CCS\Services\Tcpip\..\{364D91A2-57C8-478A-8F2A-10E1248F2D9D}: NameServer=193.95.93.77 193.95.122.40
HKLM\SYSTEM\CCS\Services\Tcpip\..\{4D53AF35-EA64-4F1A-9710-6744292BB5A8}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{364D91A2-57C8-478A-8F2A-10E1248F2D9D}: NameServer=193.95.93.77 193.95.122.40
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4D53AF35-EA64-4F1A-9710-6744292BB5A8}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{364D91A2-57C8-478A-8F2A-10E1248F2D9D}: NameServer=193.95.93.77 193.95.122.40
HKLM\SYSTEM\CS2\Services\Tcpip\..\{4D53AF35-EA64-4F1A-9710-6744292BB5A8}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Re
1)Tu n'as pas désinstallé fortguard.Fait le stp merci
2)#Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
----------------------------------------------------------------------------
3)# Relance le programme Smitfraud :
Cette fois choisis l’option 2, réponds oui à tous ;
Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum
NB: SmitFraudFix utilise process.exe qui est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
4)Repostes un hijackthis,merci
1)Tu n'as pas désinstallé fortguard.Fait le stp merci
2)#Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
----------------------------------------------------------------------------
3)# Relance le programme Smitfraud :
Cette fois choisis l’option 2, réponds oui à tous ;
Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum
NB: SmitFraudFix utilise process.exe qui est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
4)Repostes un hijackthis,merci
alors ,
d'aprés ce fichier de log tout est normal a mon avis ,reste que c'est un probleme de reseau .
le pirate a mon avis il fait son attaque depuis le reseau naturellement ,et pour vous informer c'est un programme ecrit en perl qu'il possede et il l'execute depuis l'invite de commande toutefois on laissant ce programme toujours en marche il tourne en cercle vicieux et a chaque fois que je me connecte il m'envoi des packets que surcharge ma connexion et ainsi a chaque fois que je me connecte jusq'ua deconnection . ça me cause des probleme si je vais me connecter a intenet genre mon fai n'accepte pas le nom d'utilisateut et le mot de passe ou delai depassé.
exemple :
if ($ARGV[1] ==0 && $ARGV[2] !=0) {
system("sleep($time);killall -9 udp) &");
goto randpackets;
ou on a :
$port=$ARGV[1]; port
$time=$ARGV[2];temps
il laisse tourner le programme et se repose et je suis le vectime .
donc ce que je cherche un firewell qui me<permet de bloquer cette ip tout simplement et l'interdire a ce connecter a mon pc au lieu de perdre la connexion a chaque fois que je la bloque . et si c'est un port ordinaire que le pirate se connecte avec alors la je peut facillement le bloquer ,mais il change toujours le port a chaque connexion et si je bloque l'ip je perd la connexion ,c'est un malin.
voici cesque revele le fichier de log pfirwall
Line 21: 2009-05-23 06:21:46 DROP TCP 83.24.10.30 41.224.144.253 3530 15313 52 S 4050613718 0 65535 - - - RECEIVE
Line 22: 2009-05-23 06:21:46 DROP UDP 83.24.XX.XX 73.68.XX.XX 7091 15313 42 - - - - - - - RECEIVE
Line 23: 2009-05-23 06:21:49 DROP UDP 83.24.XX.XX 73.68.XX.XX 3530 15313 52 S 4050613718 0 65535 - - - RECEIVE
Line 24: 2009-05-23 06:21:49 DROP UDP 83.24.XX.XX 73.68.XX.XX 7091 15313 42 - - - - - - - RECEIVE
Line 25: 2009-05-23 06:21:53 DROP UDP 83.24.XX.XX 73.68.XX.XX 7091 15313 42 - - - - - - - RECEIVE
Line 28: 2009-05-23 06:21:55 DROP TCP 83.24.XX.XX 73.68.XX.XX 3530 15313 52 S 4050613718 0 65535 - - - RECEIVE
Line 30: 2009-05-23 06:21:56 DROP UDP 83.24.XX.XX 73.68.XX.XX 7091 15313 42 - - - - - - - RECEIVE
Line 76: 2009-05-23 06:22:42 DROP UDP 83.24.XX.XX 73.68.XX.XX 7091 15313 42 - - - - - - - RECEIVE
Line 77: 2009-05-23 06:22:42 DROP TCP83.24.XX.XX 73.68.XX.XX 3551 15313 52 S 1075743401 0 65535 - - - RECEIVE
Line 78: 2009-05-23 06:22:45 DROP TCP 83.24.XX.XX 73.68.XX.XX 3551 15313 52 S 1075743401 0 65535 - - - RECEIVE
Line 79: 2009-05-23 06:22:45 DROP UDP 83.24.XX.XX 73.68.XX.XX 7091 15313 42 - - - - - - - RECEIVE
Line 81: 2009-05-23 06:22:49 DROP UDP 83.24.XX.XX 73.68.XX.XX 7091 15313 42 - - - - - - - RECEIVE
Line 82: 2009-05-23 06:22:51 DROP TCP 83.24.XX.XX 73.68.XX.XX 3551 15313 52 S 1075743401 0 65535 - - - RECEIVE
Line 83: 2009-05-23 06:22:52 DROP UDP 83.24.XX.XX 73.68.XX.XX 7091 15313 42 - - - - - - - RECEIVE
Line 140: 2009-05-23 06:24:42 DROP UDP 83.24.XX.XX 73.68.XX.XX 7091 15313 42 - - - - - - - RECEIVE
Line 141: 2009-05-23 06:24:42 DROP TCP 83.24.XX.XX 73.68.XX.XX 3594 15313 52 S 3523438338 0 65535 - - - RECEIVE
Line 143: 2009-05-23 06:24:45 DROP TCP 83.24.XX.XX 73.68.XX.XX 3594 15313 52 S 3523438338 0 65535 - - - RECEIVE
et ainsi tcp/udp receive from 83.24.XX.XX depuis hier matin jusqu'au moment ou j'ecrit ce message .
le fichier PFIRWALL révéle cette ip a chaque derniere connexion , et c'est une ip fixe donc facile a tracer .( j'ai contacter le fai de cette ip ,et j'attend le reponse .)
et concernant FORTGUARD C'est une version pro efficace en cas d'intrusion genre SQL Injection,et pour Kaspersky il me semble qu' avira est mieux quand on a une ram de moyennant 80% utilisée la plut part de temps car avira agit plus vite (cesqu'on me dit).je sait pas si t'as remarquer depuis le fichier de log que je heberge mon site sur mon pc .bloquer cette ip sur un intervalle depuis le port X jusqu'au port y ça me pose des problemes sur le site indexation google et les autre robots ou utilisateurs. (le pc est fermé pour le moment )
je le bloque cette ip je perd la connexion si non de meme apres quelque temps.
en attendant si quelqun connait il un programme qui intervient et affiche toutes infos de connexions au lieu de reveler les intrusions ça sera génial .et merci beacoup Guillaume.
d'aprés ce fichier de log tout est normal a mon avis ,reste que c'est un probleme de reseau .
le pirate a mon avis il fait son attaque depuis le reseau naturellement ,et pour vous informer c'est un programme ecrit en perl qu'il possede et il l'execute depuis l'invite de commande toutefois on laissant ce programme toujours en marche il tourne en cercle vicieux et a chaque fois que je me connecte il m'envoi des packets que surcharge ma connexion et ainsi a chaque fois que je me connecte jusq'ua deconnection . ça me cause des probleme si je vais me connecter a intenet genre mon fai n'accepte pas le nom d'utilisateut et le mot de passe ou delai depassé.
exemple :
if ($ARGV[1] ==0 && $ARGV[2] !=0) {
system("sleep($time);killall -9 udp) &");
goto randpackets;
ou on a :
$port=$ARGV[1]; port
$time=$ARGV[2];temps
il laisse tourner le programme et se repose et je suis le vectime .
donc ce que je cherche un firewell qui me<permet de bloquer cette ip tout simplement et l'interdire a ce connecter a mon pc au lieu de perdre la connexion a chaque fois que je la bloque . et si c'est un port ordinaire que le pirate se connecte avec alors la je peut facillement le bloquer ,mais il change toujours le port a chaque connexion et si je bloque l'ip je perd la connexion ,c'est un malin.
voici cesque revele le fichier de log pfirwall
Line 21: 2009-05-23 06:21:46 DROP TCP 83.24.10.30 41.224.144.253 3530 15313 52 S 4050613718 0 65535 - - - RECEIVE
Line 22: 2009-05-23 06:21:46 DROP UDP 83.24.XX.XX 73.68.XX.XX 7091 15313 42 - - - - - - - RECEIVE
Line 23: 2009-05-23 06:21:49 DROP UDP 83.24.XX.XX 73.68.XX.XX 3530 15313 52 S 4050613718 0 65535 - - - RECEIVE
Line 24: 2009-05-23 06:21:49 DROP UDP 83.24.XX.XX 73.68.XX.XX 7091 15313 42 - - - - - - - RECEIVE
Line 25: 2009-05-23 06:21:53 DROP UDP 83.24.XX.XX 73.68.XX.XX 7091 15313 42 - - - - - - - RECEIVE
Line 28: 2009-05-23 06:21:55 DROP TCP 83.24.XX.XX 73.68.XX.XX 3530 15313 52 S 4050613718 0 65535 - - - RECEIVE
Line 30: 2009-05-23 06:21:56 DROP UDP 83.24.XX.XX 73.68.XX.XX 7091 15313 42 - - - - - - - RECEIVE
Line 76: 2009-05-23 06:22:42 DROP UDP 83.24.XX.XX 73.68.XX.XX 7091 15313 42 - - - - - - - RECEIVE
Line 77: 2009-05-23 06:22:42 DROP TCP83.24.XX.XX 73.68.XX.XX 3551 15313 52 S 1075743401 0 65535 - - - RECEIVE
Line 78: 2009-05-23 06:22:45 DROP TCP 83.24.XX.XX 73.68.XX.XX 3551 15313 52 S 1075743401 0 65535 - - - RECEIVE
Line 79: 2009-05-23 06:22:45 DROP UDP 83.24.XX.XX 73.68.XX.XX 7091 15313 42 - - - - - - - RECEIVE
Line 81: 2009-05-23 06:22:49 DROP UDP 83.24.XX.XX 73.68.XX.XX 7091 15313 42 - - - - - - - RECEIVE
Line 82: 2009-05-23 06:22:51 DROP TCP 83.24.XX.XX 73.68.XX.XX 3551 15313 52 S 1075743401 0 65535 - - - RECEIVE
Line 83: 2009-05-23 06:22:52 DROP UDP 83.24.XX.XX 73.68.XX.XX 7091 15313 42 - - - - - - - RECEIVE
Line 140: 2009-05-23 06:24:42 DROP UDP 83.24.XX.XX 73.68.XX.XX 7091 15313 42 - - - - - - - RECEIVE
Line 141: 2009-05-23 06:24:42 DROP TCP 83.24.XX.XX 73.68.XX.XX 3594 15313 52 S 3523438338 0 65535 - - - RECEIVE
Line 143: 2009-05-23 06:24:45 DROP TCP 83.24.XX.XX 73.68.XX.XX 3594 15313 52 S 3523438338 0 65535 - - - RECEIVE
et ainsi tcp/udp receive from 83.24.XX.XX depuis hier matin jusqu'au moment ou j'ecrit ce message .
le fichier PFIRWALL révéle cette ip a chaque derniere connexion , et c'est une ip fixe donc facile a tracer .( j'ai contacter le fai de cette ip ,et j'attend le reponse .)
et concernant FORTGUARD C'est une version pro efficace en cas d'intrusion genre SQL Injection,et pour Kaspersky il me semble qu' avira est mieux quand on a une ram de moyennant 80% utilisée la plut part de temps car avira agit plus vite (cesqu'on me dit).je sait pas si t'as remarquer depuis le fichier de log que je heberge mon site sur mon pc .bloquer cette ip sur un intervalle depuis le port X jusqu'au port y ça me pose des problemes sur le site indexation google et les autre robots ou utilisateurs. (le pc est fermé pour le moment )
je le bloque cette ip je perd la connexion si non de meme apres quelque temps.
en attendant si quelqun connait il un programme qui intervient et affiche toutes infos de connexions au lieu de reveler les intrusions ça sera génial .et merci beacoup Guillaume.
Bonjour
Tout ceci se passe sur ton serveur?
https://www.apachefriends.org/fr/index.html
Donc aprés quelques recherches avec trace route voila le résultat:
1)DNS Server Search Order: 193.95.93.77 :Palerme (Italie)
2)DNS Server Search Order: 193.95.122.40:Palerme (Italie)
ensuite
Line 21: 2009-05-23 06:21:46 DROP TCP 83.24.10.30 41.224.144.253 3530 15313 52 S 4050613718 0 65535 - - - RECEIVE
3) 83.24.10.30:on se retrouve en Pologne
4)41.224.144.253:et là on arrive en Tunisie
Si ça peut d'aider
Tout ceci se passe sur ton serveur?
https://www.apachefriends.org/fr/index.html
Donc aprés quelques recherches avec trace route voila le résultat:
1)DNS Server Search Order: 193.95.93.77 :Palerme (Italie)
2)DNS Server Search Order: 193.95.122.40:Palerme (Italie)
ensuite
Line 21: 2009-05-23 06:21:46 DROP TCP 83.24.10.30 41.224.144.253 3530 15313 52 S 4050613718 0 65535 - - - RECEIVE
3) 83.24.10.30:on se retrouve en Pologne
4)41.224.144.253:et là on arrive en Tunisie
Si ça peut d'aider
attend que je scan et je te file le log.
Logfile of random's system information tool 1.06 (written by random/random)
Run by maher at 2009-05-23 21:52:32
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 14 GB (11%) free of 160 GB
Total RAM: 1 GB (9% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:58:00, on 23/05/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\xampp\apache\bin\apache.exe
C:\Program Files\DynDNS Updater\DynUpSvc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\xampp\mysql\bin\mysqld.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\xampp\apache\bin\apache.exe
C:\WINDOWS\vsnpstd3.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\DynDNS Updater\DynTray.exe
C:\Program Files\FortGuard\Firewall\fortguardservice.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\maher\Bureau\RSIT.exe
C:\Program Files\trend micro\maher.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.live.com/sphome.aspx
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.live.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.files-ftp.com/~unicorni/phpBB2/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.live.com/sphome.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - Global Startup: DynDNS Updater Tray Icon.lnk = C:\Program Files\DynDNS Updater\DynTray.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
O17 - HKLM\System\CCS\Services\Tcpip\..\{364D91A2-57C8-478A-8F2A-10E1248F2D9D}: NameServer = 193.95.93.77 193.95.122.40
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apache2.2 - Apache Software Foundation - C:\xampp\apache\bin\apache.exe
O23 - Service: BrlAPI - Unknown owner - C:\cygwin\bin\cygrunsrv.exe
O23 - Service: DynDNS Updater - Dynamic Network Services, Inc. - C:\Program Files\DynDNS Updater\DynUpSvc.exe
O23 - Service: FortGuard DDoS Firewall (fortguard) - Unknown owner - C:\Program Files\FortGuard\Firewall\fortguardservice.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: mysql - Unknown owner - C:\xampp\mysql\bin\mysqld.exe
O23 - Service: NoIPDUCService - Unknown owner - C:\Program Files\No-IP\DUC20.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: XAMPP Service (XAMPP) - Unknown owner - C:\xampp\service.exe
1)désinstalle fortguard;il y a mieux comme pare feu.Mais on verra ça après.
2)Télécharge SmitfraudFix (de de S!Ri, balltrap34 et moe31) : http://www.geekstogo.com/forum/files/file/6-smitfraudfix/
- Enregistres-le sur le bureau
- Double-clique sur SmitfraudFix.exe et choisis l'option 1 puis Entrée
- Un rapport sera généré, poste-le dans ta prochaine réponse.
NB: SmitFraudFix utilise process.exe qui est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.