MSRPC_RemoteActivate_bo

Question

Salut,
Mon firewall detecte une connexion: "MSRPC_RemoteActivate_buffer_overflow" qu'il ne stoppe pas.
J'ai appliqué le patch recommandé dans le bulletin de securite crosoft ms03-026. (http://www.microsoft.com/technet/security/bulletin/ms03-026.mspx)
(http://www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=2354406C-C5B6-44AC-9532-3DE40F69C074)
mon port 135 est bloqué en tcp & udp mais ça passe quand même...???
A quoi cela peut il etre du ? virus ? trojan ? spyware ?

Afficher la suite

darkcrystal33 · Answer

je pense que c'est dû a un vers/virus...
c'est quoi ton firewall?

vas lire ici:
http://www.secuobs.com/news/15122003udp-broadcast-rpc-dcom.htm

vérifie que tu as les 4 patchs adéquats installés.

*** http://vil.nai.com/vil/stinger/ ***
*** http://www.ravantivirus.com/scan/ ***

sboudbliff · Answer

firewall: blackice pc protection
il n'y a que 3 patchs à installer
l'update de sécurité pour le MS03-049 se trouve dans le patch 828035
je les ai déja tous les 3
Je comprends pas tres bien:
cette connexion, ça veux dire qu'un virus se trouvant sur ma machine se connecte au net ou que quelqu'un ayant un virus chez lui se connecte chez moi ?

sboudbliff · Answer

bon, j'ai viré blackice.
j'ai mis kerio pf 2.1.5 à la place avec cette config : http://perso.wanadoo.fr/websecurite/kerioPF.htm
j'ai bloqué les connexions entrantes sur les ports 135 et 445.
j'ai ajouté une règle pour firefox.
Cependant, je ne parviens plus à me connecter sur certains sites (google, shieldsup, par ex.) ???
heuresement, ça passe sur commentcamarche !!! 8D

darkcrystal33 · Answer

c'est que tu as une régle dans kerio qui bloque les informations nécessaires a la connexion...

firefox se connecte sans problème à google ou ShieldsUP!
le port 135 n'est pas non plus requis pour s'y connecter.

pourquoi n'installe tu pas zonealarm? il est gratuit simple d'emploi et en français...ça t'éviteras d'avoir a configurer des régles et a bloquer des données par erreur.
ici: http://download.zonelabs.com/bin/free/fr/znalm.html
de plus il est de plus beaucoup plus performant pour ce qui est des leak tests, voir ici: http://www.firewallleaktester.com/tests.htm

par ailleurs ta version de kerio n'est pas a jour...
la derniére est la 4.0.16 - April 14, 2004
tu peux télécharger la Limited free edition ici:
http://www.kerio.com/kpf_download.html

*** http://vil.nai.com/vil/stinger/ ***
*** http://www.ravantivirus.com/scan/ ***

sboudbliff · Answer

En autorisant la connexion udp de firefox, j'ai pu me connecter aux sites ???
résultat de test shieldsup!
file sharing:
j'ai un "1" devant "Attempting connection to your computer. . . "

common ports:
failed. j'ai "stealth" partout sauf port 1029 "closed"

all service ports: passed

darkcrystal33 · Answer

je fait mieux que toi :) bon, lol...tréve de plaisanteries, essaye zonealarm je pense que tu seras beaucoup mieux protégé qu'avec cette vieille version de kerio, et des régles non officielles...
----------------------------------------------------------------------------

GRC Port Authority Report created on UTC: 2004-05-31 at 13:24:12

Results from scan of ports: 0, 21-23, 25, 79, 80, 110, 113,
119, 135, 139, 143, 389, 443, 445,
1002, 1024-1030, 1720, 5000

0 Ports Open
0 Ports Closed
26 Ports Stealth
---------------------
26 Ports Tested

ALL PORTS tested were found to be: STEALTH.

TruStealth: PASSED - ALL tested ports were STEALTH,
- NO unsolicited packets were received,
- NO Ping reply (ICMP Echo) was received.
----------------------------------------------------------------------------
GRC Port Authority Report created on UTC: 2004-05-31 at 13:23:07

Results from scan of ports: 0-1055

0 Ports Open
0 Ports Closed
1056 Ports Stealth
---------------------
1056 Ports Tested

ALL PORTS tested were found to be: STEALTH.

TruStealth: PASSED - ALL tested ports were STEALTH,
- NO unsolicited packets were received,
- NO Ping reply (ICMP Echo) was received.
-------------------------------------------------------------------------------
PS: pour obtenir les résultats détaillés en mode texte comme ci-dessus, clique sur le gros bouton bleu nommé "text summary" et qui se trouve en dessous de la liste des ports.

*** http://vil.nai.com/vil/stinger/ ***
*** http://www.ravantivirus.com/scan/ ***

darkcrystal33 · Answer

pour ton probème de port 1029 utilise DCOMbobulator.
essaye aussi UnPlug n' Pray, et Shoot The Messenger.

voir les liens ci-dessous:
http://grc.com/files/dcombob.exe
http://grc.com/files/unpnp.exe
http://grc.com/files/shootthemessenger.exe

*** http://vil.nai.com/vil/stinger/ ***
*** http://www.ravantivirus.com/scan/ ***

sboudbliff · Answer

Je suis passé sur zonealarm free 4.5.594
J'ai passé le unplug'n pray

GRC Port Authority Report created on UTC: 2004-06-04 at 15:33:19

Results from scan of ports: 0, 21-23, 25, 79, 80, 110, 113,
119, 135, 139, 143, 389, 443, 445,
1002, 1024-1030, 1720, 5000

0 Ports Open
0 Ports Closed
26 Ports Stealth
---------------------
26 Ports Tested

ALL PORTS tested were found to be: STEALTH.

TruStealth: PASSED - ALL tested ports were STEALTH,
- NO unsolicited packets were received,
- NO Ping reply (ICMP Echo) was received.
----------------------------------------------------------------------

GRC Port Authority Report created on UTC: 2004-06-04 at 15:38:30

Results from scan of ports: 0-1055

0 Ports Open
0 Ports Closed
1056 Ports Stealth
---------------------
1056 Ports Tested

ALL PORTS tested were found to be: STEALTH.

TruStealth: PASSED - ALL tested ports were STEALTH,
- NO unsolicited packets were received,
- NO Ping reply (ICMP Echo) was received.

----------------------------------------------------------------------
Tout est nickel !!
meci du coup de main!!
a+

darkcrystal33 · Answer

de rien...++*** http://vil.nai.com/vil/stinger/ ****** http://www.ravantivirus.com/scan/ ***

MSRPC_RemoteActivate_bo

9 réponses

Votre réponse

Newsletters