Utilisation de Wireshark suite blacklistage CBL - Réseaux - Systèmes & Réseaux Pro
Marsh Posté le 23-09-2013 à 15:03:08
ta qu'a bloquer cette ip sur ton firewall, tout le traffic sortant n'y allant pas
Marsh Posté le 23-09-2013 à 15:26:54
C'est ce que j'ai demandé à mon responsable qui à la main sur les firewall ... Mais j'aimerais bien trouvé quel poste sème la zizanie
Marsh Posté le 23-09-2013 à 15:41:20
Ouais enfin wsnpoem c'est un trojan pour contrôler une machine à distance, bloquer en direction d'une adresse externe servira pas à grand chose
Ce qui m'étonne c'est que ce bot date de 2008, qu'il est bien connu et bien repéré par les antivirus et Malwarebytes. A la rigueur je serais tenté de dire de prendre chaque poste un à un, les déconnecter du réseau, booter sur un livecd avec un antivirus dessus (une liste ici) avec les dernières définitions de virus, et formater/wipper carrément le poste qui a la chose dessus.
Une autre solution, si tu as de quoi faire un boot PXE, serait de faire un serveur dédié, redémarrer les machines une nuit dessus pour charger un antivirus en "livePXE", de mettre les résultats dans un répertoire dédié partagé.
Marsh Posté le 23-09-2013 à 15:52:57
Oui le truc est vieux .. J'ai passé tous mes postes, surpprimès les trucs mais rien n'y fait.
Marsh Posté le 24-09-2013 à 11:33:37
Si le virus est encore actif sur certains postes, pourquoi ne pas faire une vérification des ports ouverts par celui-ci pour le détecter ?
Port aléatoire ?
A distance, ça se fait bien si ton antivirus est pas trop sensible à du scan de ports
Marsh Posté le 24-09-2013 à 18:00:07
Ça pourrait aussi être un utilisateur itinérant / avec sa machine personnelle si par exemple des commerciaux ou autre se connectent sur votre réseau interne en wifi ou quoi, enfin c’est une piste à creuser.
Sinon pour wireshark je ne m'en suis pas trop servit (dans mon cas j'utilise Fing sur smartphone pour découvrir un réseau, mais on ne peux pas tracer des paquets ou autre avec), mais oui ça me semble une bonne idée pour ne pas tourner en rond des heures!
L'histoire de booter en PXE aussi, mais c'est pe un brin sortir la grosse artillerie dans l'immédiat.
Marsh Posté le 24-09-2013 à 19:00:06
Sinon tu peux déjà vérifier si tes postes ont us OS supporté et complètement patché aussi...
Marsh Posté le 26-09-2013 à 21:14:30
J'ai eu le souci récemment, ça prend 3 secondes de regarder dans les logs du firewall quelle machine a émis une requête vers l'IP indiquée par CBL.
Surtout que CBL explique très bien pourquoi tu te fais blacklister (IP distante, heure, etc...)
Marsh Posté le 23-09-2013 à 14:56:52
Bonjour,
Depuis une semaine, tous les jours, je suis bloqué par un blacklistage de mon adresse publique par CBL.
En gros, il m'accuse de spammer une adresse située au Pays Bas.
Je demande le retrait, cela marche mais le lendemain de nouveau banni. J'ai scanné ma trentaine de postes informatiques avec Microsoft Essential + Malware Bytes et je n'ai rien trouvé de probant. Je serais infecté par le cheval de troie Zeus aussi connu comme "Zbot" et "wsnpoem".
Impossible de m'en défaire.
J'ai l'adresse de destination qui est 95.211.120.23:80. J'aurais voulu avoir de l'aide pour m'en défaire. Je pensais utilisé Wireshark que je mettrais sur mon serveur pour trouver l'adresse source et ainsi voir quel poste pose problème.
Une bonne idée? Comment la mettre en place?
Merci
---------------
Cnam : RSX101 - CCE105 - RCP105 - RSX112 - NSY115 - NFP107 - NSY104 - NFE155 - NFE107 - NFE108 - EME102 - TET102 - Bulats Niv.2 [-]