C’est pas mon histoire,mais je veut la partagée :
Jeudi 12 Sept2002
Comme chaque matin j’allume le serveur et les différents postes de travail de mon bureau de travail.4 machines en tout :un serveur pc de modeste puissance,2 pc récents et 1 Macintosh.Toutes les machines sont interconnectées par un hub et partage la connection internet câblée ,gérée par le serveur.
Serveur : pc 200mhz sous win98,il n’assure que le partage de la connection internet via logiciel Sygate et le fonctionnement du serveur mails interne ‘Anywhere Email Server’ .
A peine assis,stupeur!……pas moyen de se connecter a internet a partir des machines.Sygate affiche qu’un intrus la détourné a son profit.L’intrus est un certain Karlyne et utilise l’ip 62.205.67.224 .Il s’est introduit malgré la présence de NortonIS qui intègre un firewall/antivirus.
Non seulement le hacker détourne la connection a son profit,mais il empêche toute connection a partir des autres machines.
Que faire?????…..un trojan….couper la connection……..?
1- couper la connection et passer la machine a l’antivirus…..mais il détecte rien!!!
2- Installation d’un détecteur de trojan,comme the cleaner3.2….il détecte un trojan appelé Bigbrother,…..une recherche sur
http://vil.nai.com ruine tout espoir…c’est un hoaxe,et depuis la sortie de the cleaner il n’a pas bénéficier de mise a jour,donc il ne sert a rien.Les hackers ont toujours un pas d’avance sur les logiciels antivirus.
3- Reste a le traquer au sein du système :4 outils se révèlent nécessaires.
4- ItCan.NetMonitor pour détecté les activités sur la connection ,il identifie les cartes Ethernet et les modems sur le reseau ainsi que les adresses IP les utilisant.
5- Angry IP Scanner,reconnaît le port utilisé.Il faut le fermer ensuite avec le firewall,mais il reste le processus responsable de l’attaque,facile sur win2k-xp.
6- Sauf sur win98 il faut utiliser Task info2000,reconnaît tous les processus en mémoire et les DLL utilisées par chaque processus.
Identifier le port utilisé :
It Can.NetMonitor a détecté les 2 cartes éthernet du serveurs,d’un clic sur la Macadress apparaissent toutes les IP auxquels vous accédez ou qui accèdent a votre machine.Celle du hacker 62.205.67.224 est bien présente;impossible de savoir ou il se cache et que le serveur a partir duquel travaille le hacker n’a pu être identifié.
Il faut lancer AngryIP Scanner et lui demander de scanner une série d’adresses IP ,il les test et finit par tomber sur celle du hacker;il indique alors quel port est utilisé par le hacker pour entrer dans la machine.Banco , Karlyne utilise le port 1025.
Repérer le hacker :
Il est temps de téléphoner au service technique de votre fournisseur d’accès.Après quelques minutes ils confirment la présence du hacker et repère l’adresse IP.Le FAI s me déclarent ne rien pouvoir faire pour le retrouver ,car le hacker se cache derrière une cascade d’adresses.Difficile de remonter a la source…………. »lorsqu’une machine a été hackée,ses coordonnées sont aussitôt transmises a des réseaux de hackers qui reviennent inévitablement a la charge »………..
Bloquer le hacker :
Retour a Norton Firewall pour lui indiquer de bloquer le port 1025.
Le 14Septembre2002 :
après vérification itCan.NetMonitor observe toujours une activité inhabituelle.Je fermait des ports et le hacker en ouvrait d’autres.Donc,je laisse seulement les ports 80,25 et 21 du http,email et du ftp. Mon NIS bloque enfin le hacker.
Ou est le Trojan :………….comment ?
1- identifier les processus un par un qui tournent sur la machine.
2- Vérifier la validité des processus trouvés.
3- Interrompre un processus pour vérifier si c’est bien lui le responsable du trafic illigitime.Task info2000 permet d’identifier tous les processus en cours.Donc,après 2 hrs de recherche ,aucun processus ne semble anormal…..donc le trojan semble ne pas être un exécutable en tant que tel.Ses fonctions sont sans doute détournées par une dll.Je rouvre des ports pour savoir quel exécutable qui une fois lancé génère un trafic inhabituel.Stupéfaction :…………c’est le serveur même de Sygate=>SGSrvexe.Ma recherche sur internet m’a permit de savoir que les dll utilisées étaient conforme.Faut t’il éradiquer les dll une a une jusqu’au moment ou le SGsrv ne provoquera plus de trafic indu?………..Ça risque d’ôter une dll essentielle de windows.
Et en utilisant Trojan Garder ,il a détecté un trojan appelé updreg.exe ;il s’agit d’un fichier installé par Creative Labs,mais dont le rôle n’a pas encore été expliqué,malgré des demandes répétées.
A la Fin Novembre :
2 mois et demi après le hacking,Norton Antivirus détecte un trojan classique Backdoor.C’était peut-être lui le coupable !!!!
Alors ,j’ai pris la décision de passer a win-xp qui autorise ,en natif ,le partage d’une connection internet .Formatage complet du disque dur,et même un fdisk /mbr et réinitialisation de win-xp.J’ai installé aussi NortonInternetSecurity en laissant mes 3 ports principaux ouvert et installé Trojan-Garder.
