|
Attaques Lovesan et Helkern
Bonsoir
pour défier une personne sur l'utilité d'un firewall, j'ai décidé d'en installer un pour lui prouver que ça ne servait rien j'ai donc pris Kaspersky antihacker que j 'avais sous la main, et depuis ce matin, il m'informe d'attques : Quote:
Oui bon j'aurais pu chercher sur google, mais je préférais faire confiance à votre expérience :) Merci d'avance :) |
Re: Attaques Lovesan et Helkern
Lovesan doit etre une variante de msblaster
Ces attaques utilisent des failles qui ont été comblé par des modif de microsoft, cela concerne le service RPC de controle a distance. si le systeme d'exploitation est a jour , si tous les patchs pour les failles de sécurité ont été téléchargés (cf windows update), normalement cela ne pose aucun problème. Par contre si ce n'est pas le cas , la il y a probleme, et le micro peut etre infecté, maintenant est-ce que le firewall est capable de detecter les connexions sortantes ? cela n'est hélas pas toujours le cas. je sais que quand msblaster venait de sortir, mon firewall a été le premier a m'avertir (mon antivirus n'etant pas encore a jour), Kerio est capable de detecter les connexions sortantes, et m'a tout de suite alerté, j'ai tout de suite compris le fonctionnement du vers, et j'ai pu le supprimer manuellement. Donc dire qu'un firewall est totalement inutile, je ne suis pas d'accord, il detecte meme les virus ! |
Re: Attaques Lovesan et Helkern
Tout dépend comment tu configures ton firewall, LeMoi ;).
Si tu places une règle filtrante à la position n alors que tu as placé une règle tolérante englobant entre autre le principe de la règle filtrante à la position n-1, alors la première règle est neutralisée par la seconde règle, vu que le firewall lit les règles par ordre descendant. Un firewall bien configuré est toujours utile. Mais .............. celà ne suffit pas. En effet, des services risqués lancés au démarrage peuvent quand même créer des failles, malgré le meilleur firewall du monde. Exemple : le service X utilisé par une application Y cause une faille exploitable. Même en interdisant les ports utilisés par ce protocole par une règle Q, la faille existe toujours car une autre règle R placée prioritairement et concernant le service Y est autorisée. Et comme le service Y est lié au service X, soit tu interdits tout ce qui est lié à Y et tu ne peux plus surfer (parce que le service Y est le service RPC par exemple), soit tu appliques un patch correctif s'il existe pour enlever le lien entre X et Y. |
Re: Attaques Lovesan et Helkern
Même si un firewall n'est pas suffisant pour protéger une station de travail, il n'en reste pas moins indispensable pour assurer un minimum de sécurité ... d'ailleurs le SP2 de Windows XP apportera de grandes nouveautés à ce niveau, notamment en ce qui concerne la gestion des connexions sortantes, ce qui est une excellente chose. Reste à savoir comment les connexions routées vont être prises en compte ...
|
Quote:
Oui, moi aussi je recoit les memes annonces que toi, et j'ai reconnu les rapport de antihacker lol Tu es pas le seul a les recevoir, j'ai un autre ami qui as ce meme firewall, et qui hoo comme de par hasard a installé le STOP Sign in de tu sais qui...Et c'est depuis ce moment la que les attaques Helkerns et LoveSan fuse... Coincidence?:confused: Désolé pour les admin de ce site, c'est pas pour faire de la pub, bien au contraire... Mais peut etre tu devrait lire ce post... http://forum.oodlz.com/viewtopic.php?t=1030 Sincérement, Cain. |
J'ai désactivé la protection contre ce type d'attaques dans Anti-Hacker, mon pc dispose de tous les correctifs à jour mais je subis une tentative d'attaque toutes les 5 minutes
Cain : un pc tout frais déballé et connecté à internet reçoit une première attaque dès les premières minutes (entre 10 et 20), ce virus se propage tout seul, chaque pc infecté lance des connexions au hasard jusqu'à trouver des pc non patchés pour les contaminer à leur tour. |
Tout le monde prend des blaster, il n'y à qu'à tenter de lacher un WinXP pas trop patché, ou un Win200 même SP4 et un Win2003, à chaque fois j'étais infecté après 2 minutes de connexion, c'est super rapide. Le tout, c'est d'avoir un firewall, même modeste, d'installé (celui par défaut de WinXP marche bien).
|
Je crois bien que la dernière version de KAH (1.7quelquechose) ne s'emebte plus à avertir de ces attaques :)
|
non, j'ai la 1.7.130 et si je laisse activée la protection contre ce type d'attaques, mon log se remplit très vite ;)
|
Le log, oui, mais avant, si tu touchais à aucune option, la fenetre revenait au premier plan toutes les 5 minutes ^^
|
il faut juste que la case "Afficher la fenêtre principale en cas d'intrusion" soit décochée dans les paramètres mais elle est activée par défaut, j'ai dû la désactiver manuellement.
J'ai installé pour la première fois ce firewall, ce n'était pas un upgrade ;) |
SOS je suis perdu !
:eek: Bonjour, je dois être un peu bête mais je ne comprends rien, j'ai essayé de lire vos post mais c'est compliqué : moi aussi j'ai Karpeski dernière version (qui pousse son petit cri de cochon égorgé pour me dire que je suis attaqué par le réseau "helkern". Pourtant : j'ai le SP2 à jour, j'ai le firewall XP, et j'ai essayé de passer le petit patch qui soi disant détexte et détruit le vers helkern (téléchargé chez symantec) qui me dit qu'il n'en trouve pas trace...
Donc je pige plus : je suis infecté par ce ver ou non ? Il est sur ma machine ? Comment le savoir, et surtout je dois faire quoi, pourquoi mon antivirus (Karpeski) ne le trouve pas, s'il est là ? Le firewall il sert à quelque chose dans cette histoire ? Les alertes de Karpeski, c'est grave docteur ? En fait ce que je ne comprends pas : avec mon firewall XP, ¨mon antivirus, ces attaques représentent-elles un danger ou non, si je désactive l'alerte de Karpeski, je risque rien ? MERCI DE VOTRE AIDE ! |
C'est pas un virus sur ta machine, c'est des vilains qui tentent de passer.
Si tu désactive les messages d'alertes, comme son nom l'indique, tu ne seras plus averti pour les attaques mais elles continueront à avoir lieu et toi à les rejeter... Jusque au jour où... PAF ! Non je déconne :p Par-contre moi c'est étrange Kerio 4 n'y voit mais c'est AVP qui bloque... |
J'ai la solution
http://grc.com/dcom/
...Il vaut mieux désactiver DCOM plutôt que de faire taire ton antivirus quand des attaques arrivent... |
attaquer aussi part Helkern
bonsoir a vous je suis nouveau sur ce forum
voila moi aussi je subi les attaques de Helkern, il y a un truc pour le niquer une bonne fois pour toute ?. j'ai eux aussi une attaque de tipe DDos. c'est koi des attaques de tipe DDos? car mon aussi je suis depuit quelque jour avec Kasperky anti hacker car norton firewall ne la jamais bloc il dormer ,c'est Kasperky anti-virus qui me bloquer tout les attaque de Helkern c'est normal que c'est mon anti virus qui le bloc? . c'est attaque sa viend pas de la police ? voila attend vos réponce . bossnikuts76 |
Quote:
|
Les trames Helkern que ton KAH voit sont des scories : c'est comme le broadcast, il en a mis de partout le petit cochon http://childerikk.free.fr/smilies/icon_mrgreen.gif.
|
Quote:
sinon il y a une solution pour qu'il arrete de me faire chierhttp://www.newdimension-fr.net/forum...cons/icon9.gif c'est quoi une attaque de tipe DDos ? car suite a sa mon firewall ma dit qu'il avais temporairement bloqué mon net. voici les quelques attaque que j'ai hier 29/04/2005 09:58:57 Votre ordinateur a été attaqué depuis 60.191.1.169. Attaque - Helkern. Attaque refoulée. 29/04/2005 14:21:42 Votre ordinateur a été attaqué depuis 60.191.1.173. Attaque - Helkern. Attaque refoulée. 29/04/2005 16:09:03 Votre ordinateur a été attaqué depuis slip-218-6-169-231.ch.cn.prserv.net. Attaque - Helkern. Attaque refoulée. 29/04/2005 16:36:43 Votre ordinateur a été attaqué depuis 221.8.65.106. Attaque - Helkern. Attaque refoulée. 29/04/2005 18:12:46 Votre ordinateur a été attaqué depuis 60.191.1.166. Attaque - Helkern. Attaque refoulée. 29/04/2005 18:15:26 Votre ordinateur a été attaqué. Attaque - DDoS (refus de service). Attaque refoulée. 29/04/2005 22:26:16 Votre ordinateur a été attaqué depuis 218.30.80.21. Attaque - Helkern. Attaque refoulée. et ce matin quand j'ai allumer mon pc 2 min aprés une attaque il et trés matinal 30/04/2005 08:21:37 Votre ordinateur a été attaqué depuis 221.6.123.171. Attaque - Helkern. Attaque refoulée. merci a toi de ta réponce car la sa prend la téte http://www.newdimension-fr.net/forum...cons/icon8.gif bossnikuts76 |
Quote:
http://www.dslreports.com/scan (cliquer sur "probe") http://check.sdv.fr/ (cliquer sur "tester mon poste") http://www.pcflank.com/ (surtout stealth test et trojans test) https://grc.com/x/ne.dll?bh0bkyd2 (proceed, puis common ports) http://scan.sygatetech.com/ (les 6 types de test) |
Il faut bien mettre a jour avec les dernieres versions des logiciels présents car des failles et des Exploits sont compilés tous les jours.
Des que vous etes connectés à internet, ne laissez pas de session sans mot de passe, et definissez des mot de passe et user compliqués. Pour savoir a quel point ton pc est corrompu, va sous DOS et tape : net share tu auras la liste des dossiers et/ou des disques en acces possibles depuis la connexion à distance sur le port 139 135 et/ou 3389. Si tu as un partage de type C$, D$, E$, ADMIN$, IPC$, alors vire les (si tu es en réseau local, il faut envisager une stratégie de partage de dossiers interne, et definir tes propres noms de partages des disques, mais surtout pas C$ ou Admin$, car ce sont ceux qui sont les plus vulnérables au scan et hack NT. Ca se fait avec : net share <nom de partage> <disque>:<chemin> /add /unlimited par exemple : net share DISQUEC$ C:\ /add /unlimited) si tu en as un, fait : net share <nom de partage C$ IPC$ ou autre> /delete regarde aussi les USER, avec : net user desactive les comptes a distance, et envisage un Batch de restauration des droit sur systeme NT. sous Windows 2000 ou server 2003, il faut encore etre plus vigilent, et mettre des mots de passes incrackables (du genre : NTpass#985_uiop-µ qui se revele tres dur a cracker meme avec un brute force.) Installe un firewall et defini des regles de securités strictes. Regarde quels sont tes ports ouverts avec "netstat -n" sous dos, et regarde quels sont les ports de communications utilisés par test logiciels courants. Bloque tous les autres, avec portdedebut-portdefin ) Antihacker est bien, mais verifie ta source. Si tu l'as pris sur un server Warez, tu peux etre sur qu'un faille est dissimulée quelque part. Si apres ca tu as encore un doute, va sur un site de scanner de port, et tape : 1-65535 Tous tes ports seront scannés (ca peut prendre du temps) et tu seras fixé sur qui utilise ton pc sans que tu ne le voies. Voilà, si ca peut t'aider, si tu as des question n'hesite pas a le dire ici. ;) salut yeb215 |
Hébéééééé y'a de l'écho entre ici et le topic "Droits d'accès d'un fichier" ou bien ? :p
D'abord, salut et bienvenue à toi sur NDFR yeb215. Il a parfois été reproché (à tort ou pas n'est pas la question) à certains membres d'être rudes avec les "nouveaux" du forum. Ce n'est pas du tout mon intention, juste quelques petites remarques toutefois (avant que quelqu'un d'autre ne le fasse plus brutalement) :
|
AIDE
J'ai le meme problème (HelKern) avec une Version 1.7.130, voila ce dit le centre de support de Kaspersky :
Je subis des attaques Helkern, suis je infecté ? En général, l'attaque de réseau Helkern ne vient pas d'un virus ou d'un trojan sur votre ordinateur. Il s'agit, dans la plupart des cas, des ordinateurs infecté par un virus qui envoi ces attaques. Attaques virus type HELKERN Comprendre les attaques virus type "Helkern" Cette attaque procede par envoi de paquets UDP speciaux, capables d'executer du code malveillant, vers l'ordinateur qui en est victime. L'attaque se traduit par un ralentissement de la connexion Internet. Les attaques, bloques par Kaspersky Anti-Virus, ont comme origine d'autre ordinateurs connectes a Internet et infecte par un virus ou en provenance de personnes mal intentionnees. Vous ne pouvez pas desactiver ces attaques, mais uniquement les bloquer. La seule chose que vous pouvez faire est de porter plainte aupres des autorites competentes. Mais Attention, en regle generale, les fournisseurs d'acces font changer les adresses IP de leurs clients a chaque reconnection et donc dans ce cas, la plainte sera vers quelqu'un qui ne sera pas forcement votre attaquant. Si vous souhaitez desactiver l'apparition de ce message lors du bloquage d'une attaque, veuillez suivre la procedure ci-dessous : 1. Ouvrez la fenetre principale de Kaspersky Anti-Virus Personal en effectuant un double clic gauche sur l'icone "K" situee en bas a droite de votre ecran. 2. Cliquez sur l'onglet "Parametres" puis sur "Protection en temps reel". 3. Sur la nouvelle fenetre apparue, cliquez sur "Configuration de la zone protegee". 4. Cochez la case intitulee "Ne pas m'avertir en cas d'attaque de reseau" 5. Validez en cliquant sur le bouton "OK" sur les fenetres restantes. J'ai aussi quelques attaques Ddos : DDos Refus de Service Je m'étonne du fait que Anti-Hacker bloque tout accès à Internet lors d'un "DDos Refus de Service" et ce même pour une minute. Que se passe t'il si l'on crée une règle de manière à bloquer tout paquet IP ? Anti-Hacker est-il compatible avec le Peer-to-peer ? Lorsque vous recevez une quantité d'attaques DDOS conséquente, il arrive que Aanti-hacker bloque tout les paquets en provenance de votre ordinateur, en banissant à la fois votre adresse IP et celle de l'assaillant. C'est pourquoi nous vous conseillons de mettre la durée de bloquage de l'assaillant à 0 (zero) minute afin de ne pas avoir de coupure Internet. Dans tout les cas, les attaques que vous recevez par Internet sont automatiquement bloquées par Kaspersky Anti-Hacker, c'est pourquoi il n'est pas nécessaire de créer des règles bloquant tout paquet IP car cela serait redondant. En ce qui concerne l'utilisation de logiciels de Peer-to-Peer, il n'y a aucune incompatibilité avec le logiciel Kaspersky Anti-Hacker. Vous devez cependant créer des règles de filtrage de paquet nécessaire au bon fonctionnement de votre logiciel. Lors d'une attaque de type Ddos, Anti-Hacker la bloque mais bloque également 'temporairement' toute activité internet: web, Que faire ??? Lorsqu'une telle attaque est bloquée. Le logiciel bloque également la machine de l'assaillant pendant une durée de 60 minutes (défini dans les paramètres). Pour vérifier les paramètres de durée,
Lovesan L'attaque de Lovesan essaie de détecter une faille dans le service DCOM RPC des systèmes d'exploitation Windows NT 4.0/NT 4.0 Terminal Services Edition/2000/XP/Server (tm) 2003 de votre ordinateur. Lorsque cette faille est détectée, le programme malfaisant, permettant d’effectuer n'importe quelle manipulation sur votre machine, vous est transmis. Voila tout ce que je sais, j'espere que ca vous aidera ! AcidBurN |
| All times are GMT +2. The time now is 12:53. |
Powered by vBulletin® Version 3.8.4
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.