Mon WRT54G est infecté - Windows & Software
Marsh Posté le 27-12-2005 à 18:13:44
t'est sur que c'est ton routeur qui est infecté?
Marsh Posté le 27-12-2005 à 18:16:23
Oui oui, je fais un scan des ports ouverts sur mon WRT54G et c'est çà qui en ressort! J'ai isolé mon routeur, j'ai branché un seul PC, je scan les ports ouverts sur l'IP du routeur, y'a pas de doute.
Marsh Posté le 27-12-2005 à 18:28:22
encore mydoom, peut etre, enfin je doute mais qu'est ce que
* 4672 eD2Kt eD2K
* 27015 hle Half Life Engine
viennent foutre la
en plus un virus pour wrt54g ca m'étonne bcp, la mémoire est limitée
débranche tout les cables réseau, ya une activitée sur le routeur ou pas?
Marsh Posté le 27-12-2005 à 18:32:58
heu ce serais pas plutot la liste des port pour tel ou tel application?
genre une liste exhaustive des ports
Marsh Posté le 27-12-2005 à 21:37:20
Comme Saint Thomas, il faut que vous le voyez pour y croire.
Voilà une capture d'écran du résultat du scan effectué avec LanSpy (dsl j'ai la flemme d'installer nmap) sur 192.168.1.1 qui est l'adresse de mon routeur WRT54G. [J'ai tout débranché, il n'y a pas de confusion sur l'IP, c'est bien de mon routeur qu'il s'agît]
Faites vous-même un scan de votre WRT54G. Ce serait curieux de trouver tous ces port-là ouverts.
Je vois des tas de ports bizarres. Même le port 110 je ne l'explique pas : j'ai fait un reset usine; le WRT54G ne doit pas faire servir le POP3 par défault (et puis vers qui d'abord si ca devait l'être, comment le routeur pourrait choisir le serveur vers qui natter). Enfin passons c'est une petite remarque.
Donc tous mes paramètres sont ceux par default. Pas de redirection NAT, rien de configuré sur le WRT54G.
Marsh Posté le 27-12-2005 à 21:44:31
Mea culpa!
Je suis sur une piste, je retrouve les mêmes port sur un scan sur une livebox. Alors soit
1) je suis malchanceux et j'ai les mêmes virus sur une Inventel et une Linksys
2) je suis stupide et j'ai rien compris à la signification du résultat du scan sur Lanspy
3) je suis stupide d'utiliser Lanspy (d'origine russe ?)
Je ne crois pas à la 1
Marsh Posté le 27-12-2005 à 21:53:21
bizarre, je viens de faire un scan sur mon WRT54G (dd-wrt v23 beta1) avec LanSpy et j'obtiens le même résultat que toi.
Par contre avec nmap (sous linux)
nmap -sU -p 3127-3128 192.168.1.1 |
conclusion, un des deux logiciels raconte n'importe quoi
Marsh Posté le 27-12-2005 à 22:34:18
je confirme, lanspy a l'air de racconter nimporte quoi, j'ai le meme resultat que toi sur mon wrt54g sous hyperwrt :|
Marsh Posté le 28-12-2005 à 07:44:37
Quel dommage ! Je le trouvais bien ce petit logiciel
Je télécharge cygwin et je vérifie avec nmap qu'il n'y a pas de danger sur mon routeur.
Marsh Posté le 28-12-2005 à 08:21:38
Méfiance avec certains sites qui proposent un pseudo-scan de ports, et qui te proposent en même temps d'acheter un logiciel pare-feu!
Certains de ces sites sont volontairement faux, et te disent n'importe quoi pour t'inciter à acheter leur logiciel au lieu du logiciel concurrent que tu utilises.
Pour les ports ouverts sur ton PC, regarde plutôt ce qu'affiche:
netstat -an
depuis une fenêtre de commande ("listening" ports).
ensuite recherche à quoi correspondent ces ports.
Note: certains parefeux inconnus sont des "fakes". Avant de les charger den'importe où, recherche sur Google le site officiel. Certains contiennent des virus et backdoors.
Il y a des sites sérieux pour scanner les ports: regarde les sites des vendeurs d'antivirus, ou ceux recommandés par des organismes de veille de sécurité de type CERT (comme FRSIRT, le CERT français).
Note: un port peut être ouvert sur ton routeur par un PC connecté dessus via UPnP. Désactive UPnP, vire tous les mappings et forwarding de ports ou port-ranges. Maintenant refais un scan. Si le port n'est plus là, c'est bien un de tes PC qui est infecté par un virus capable de demander l'ouverture d'un port par UPnP.
Méfies-toi de UPnP si tu n'es pas sûr que tous tes PC sont cleans.
Mieux vaut configurer le modem manuellement: n'oublies pas de changer son mot de passe par défaut (souvent "0000" ou "1234" ), afin qu'aucun virus ne puisse accéder à sa configuration.
Marsh Posté le 28-12-2005 à 08:25:33
Note complémentaire! Certains modems-routeurs ont DEUX mots de passe de configuration: un pour l'interface websimplifiée, l'autre pour l'interface Telnet.
Dans l'interface Telnet, tu trouveras le plus souvent une commande permettant de restaurer leur configuration d'usine par défaut ("restore factory settings" ). Regarde ce qu'affiche la commande "help", ou procure toi la doc de l'interface "CLI" (ligne de commande) souvent en Anglais uniquement (même chez Alcatel, Sagem et Thomson).
Marsh Posté le 28-12-2005 à 12:02:46
Merci pour les infos, j'avais pas pensé à UPnP.
Ceci-dit, il s'agît d'un vieux routeur de 2 ans, sortant du placard, donc comme je le disais, il n'y a aucun réseau, aucun PC relié au routeur, à part celui que j'utilise pour le scan. Mais je pense pas qu'il soit infecté, c'est un ordi neuf que je viens d'installer et protèger. D'ailleurs le netstat me le confirme. Pour moi c'est Lanspy qui déconne. De toute façon je vais me mettre à nmap et nessus. Et puis installer Snort et IDSCenter.
Sinon le WRT54G avec une interface CLI ca m'interesserait de voir çà.
En tout cas merci à tous pour m'avoir donné du tps. ^_^
Marsh Posté le 28-12-2005 à 13:17:55
Citation : Merci pour les infos, j'avais pas pensé à UPnP. |
je l'ai pourtant désactivé donc le problème se situe ailleurs.
Citation : Sinon le WRT54G avec une interface CLI ca m'interesserait de voir çà. |
il suffit de mettre un firmware alternatif et tu auras accès un shell avec les commandes Unix (ls,...)
Marsh Posté le 29-12-2005 à 14:40:42
ah la vache, ca fait peur quand on lance ce truc ... J'obtiens aussi
3127 trojan => W32.Mydoom sur mon routeur Lynksis WRT54G
Mamannnnn
Marsh Posté le 27-12-2005 à 17:13:28
J'ai bidouillé et MAJ mon WRT54G v2.0 avec tout un tas de truc sur le Net dont HyperWRT et une version de Alchemy. Je n'ai rien pris de tout çà en P2P (si!si! c'est vrai!) mais je ne souviens plus de quels sites ca sort (no comment please). En tout cas je me suis retrouvé avec une Alchemy-V1.0 v3.37.6.8sv.
Hier je fais un scan des ports ouverts sur mon WRT54G et le résultat :
* 3127 trojan W32.Mydoom
* 4672 eD2Kt eD2K
* 27015 hle Half Life Engine
Mon réflexe, j'update le firmware avec le dernier de chez Linksys pour le WRT54G v2.0
Nouveau scan, rien à faire, le troyen est toujours dans le WRT54G.
Plusieurs remarques :
1) Je constate que le firmware ne réinstalle pas l'OS dans la machine.
Est-ce que si je reflash la machine en démontant le routeur, en connectant deux pin avec un tournevis et en faisant un reset, ca pourrait aller mieux ?
2) Tiens je savais pas qu'un petit rigolo avait fait un rootkit Mydoom pour Linux!
J'ai trouvé ici http://forum.hardware.fr/hardwaref [...] 763-37.htm
que devil106 a eu le même constat.
3) Comment je le retire ?
4) [à la K. Midnick] Je serai bien tenté d'attendre une connection pour trouver l'IP du debilium-profondium qui m'a pondu un firmware infecté et le filtrer par la suite. C'est jouable ?
5) Y'a t'il l'OS dans le GPL Code de Linksys ? Si oui, il doit y avoir moyen de tout réinstaller... tutorial ?
Si quelqu'un d'autre a des infos...