Mince, encore un pirate !

Avec quelques logiciels gratuits vous pouvez vous aussi détecter les "pirates" ou autres "nuisibles". On vous dit dans la presse qu'Internet est mal fréquenté, vous en aurez la preuve.

Les logiciels utilisés :

Kerio Personal Firewall 2.1.5
TinyLogger

Si votre machine est visible sur Internet, vous les trouverez plus rapidement, et eux vous trouverons plus facilement aussi. Attention, c'est un jeu dangereux, il faut être sûr de la sécurité de son ordinateur. On peut être visible, par exemple, en répondant aux commandes PING.

autoriser ICMP 8 (Echo Request) entrant
autoriser ICMP 0 (Echo Reply) sortant

Une fois qu'un "pirate" vous a détecté, vous risquez enregistrer ça (comme moi tout à l'heure) :

TinyLogger ouput

#	x	Direction	Date	Rule	Protocol	Source	Port	Destination	Port	Owner
39	Permitted	Incoming	01/May/2004 18:39:54	Packet to unopened port received	TCP	213.238.244.175	1769	localhost	2745	no owner
40	Permitted	Incoming	01/May/2004 18:39:54	Packet to unopened port received	TCP	213.238.244.175	1800	localhost	6129	no owner
41	Permitted	Incoming	01/May/2004 18:39:54	Packet to unopened port received	TCP	213.238.244.175	1804	localhost	3410	no owner
42	Permitted	Incoming	01/May/2004 18:39:54	Packet to unopened port received	TCP	213.238.244.175	1805	localhost	1433	no owner
43	Permitted	Incoming	01/May/2004 18:39:53	Packet to unopened port received	TCP	213.238.244.175	1805	localhost	1433	no owner
44	Permitted	Incoming	01/May/2004 18:39:53	Packet to unopened port received	TCP	213.238.244.175	1804	localhost	3410	no owner
45	Permitted	Incoming	01/May/2004 18:39:53	Packet to unopened port received	TCP	213.238.244.175	1800	localhost	6129	no owner
46	Permitted	Incoming	01/May/2004 18:39:53	Packet to unopened port received	TCP	213.238.244.175	1769	localhost	2745	no owner
47	Blocked	Incoming	01/May/2004 18:39:53	Generic Host Process for Win32 Services	TCP	213.238.244.175	1807	localhost	5000	C:\WINDOWS\SYSTEM32\SVCHOST.EXE
48	Permitted	Incoming	01/May/2004 18:39:53	Packet to unopened port received	TCP	213.238.244.175	1805	localhost	1433	no owner
49	Permitted	Incoming	01/May/2004 18:39:53	Packet to unopened port received	TCP	213.238.244.175	1804	localhost	3410	no owner
50	Blocked	Incoming	01/May/2004 18:39:53	Services Internet (IIS)	TCP	213.238.244.175	1801	localhost	80	C:\WINDOWS\SYSTEM32\INETSRV\INETINFO.EXE
51	Permitted	Incoming	01/May/2004 18:39:53	Packet to unopened port received	TCP	213.238.244.175	1800	localhost	6129	no owner
52	Blocked	Incoming	01/May/2004 18:39:53	SYSTEM	TCP	213.238.244.175	1798	localhost	445	SYSTEM
53	Blocked	Incoming	01/May/2004 18:39:53	SYSTEM	TCP	213.238.244.175	1792	localhost	445	SYSTEM
54	Blocked	Incoming	01/May/2004 18:39:53	SYSTEM	TCP	213.238.244.175	1784	localhost	445	SYSTEM
55	Blocked	Incoming	01/May/2004 18:39:53	Generic Host Process for Win32 Services	TCP	213.238.244.175	1777	localhost	1025	C:\WINDOWS\SYSTEM32\SVCHOST.EXE
56	Blocked	Incoming	01/May/2004 18:39:53	Generic Host Process for Win32 Services	TCP	213.238.244.175	1776	localhost	1025	C:\WINDOWS\SYSTEM32\SVCHOST.EXE
57	Permitted	Incoming	01/May/2004 18:39:53	Packet to unopened port received	TCP	213.238.244.175	1769	localhost	2745	no owner

Quelques explications sur les ports testés par le "pirate", avec l'aide de Internet Storm center :

80 : Services Internet (IIS)
445 : SYSTEM
1025 : "task scheduler rpc component" et Chevaux de Troie
1433 : Microsoft SQL Serveur
2745 : Bagle Virus Backdoor
3410 : Backdoor.OptixPro
5000 : "Universal Plug and Play" et Chevaux de Troie
6129 : Dameware Remote Admin

Il semble évident que ce n'est pas une opération gentille, le but étant de prendre le contrôle de l'ordinateur avec un Cheval de Troie déjà installé, ou une faille non corrigée sur un produit installé. Si vous n'avez pas de Firewall correctement configuré, vous avez peut-être été victime de ce genre de "nuisible".