GROS_FAIGNAN Posté(e) le 2 septembre 2009 Partager Posté(e) le 2 septembre 2009 salut, juste pour avoir quelque détails sur un exploit, en cherchant la listes des cartes wifi disponible sous freeBSD (sur la page du materiel wifi compatible : http://www.freebsd.org/relnotes/6-STABLE/h...ha/support.html ) cette page d'aller sur le site atheros pour avoir plus de details, ce que je fais ( http://customerproducts.atheros.com/custom...cts/default.asp ) cette page m'indique une erreur 403.9 si je ne me trompe pas, (erreur d'authentification ou un truc comme sa) et m'invite a rafraichir la page ou a aller sur un autre lien : http://customerproducts.atheros.com/ et cette page m'affiche un Hacked by linuXploit_crew trop cool, l'erreur sur la page officiel d'atheros avait l'air d'etre "factice" et faite juste pour me rediriger vers la page frelaté, puisque 5 min plus tard le lien fonctionne, [EDIT] je vient de retrouver quelques details supplémetaire sur l'attaque : http://www.zone-h.org/mirror/id/8086984 impressionnant de voir que cette attaque a été découverte en 2008 et qu'elle est toujours d'actualité... donc ce que je voudrais savoir : 1/ doit-je avertir atheros ? les authorités ? que dois-je faire ? 2/ que doit-je craindre pour ma machine ? comment puis-je voir ce qui à réellement été fait ? 4/ de quels type d'attaque sagit il (IP spoofing...) ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
Mephisto Posté(e) le 2 septembre 2009 Partager Posté(e) le 2 septembre 2009 à mon avis, c'est plus une façon de comparer le volumes de leurs couilles. dans le doute, tu peux lancer quelques scans antiviraux. le scanner en ligne de kaspersky est pas mal sinon, les traditionnels hijackthis, adaware, spybot, avenger, combofix (les deux derniers, t'en aura sans doute pas besoin)... tout ce qui peu traîner... 1) ne t'en fais pas, atheros est certainement déjà au courant (dans le doute, tu peux prévenir par mail, mais tu ne sera sans doute pas le premier) 2) bof 3) à mon avis, ça va au delà d'une erreur de routage. ils ont réussi à récupérer un shell, et c'est soit de la reconf d'apache, soit du simple remplacement d'index. Lien vers le commentaire Partager sur d’autres sites More sharing options...
IFRIC4 Posté(e) le 2 septembre 2009 Partager Posté(e) le 2 septembre 2009 à mon avis, c'est plus une façon de comparer le volumes de leurs couilles.dans le doute, tu peux lancer quelques scans antiviraux. le scanner en ligne de kaspersky est pas mal sinon, les traditionnels hijackthis, adaware, spybot, avenger, combofix (les deux derniers, t'en aura sans doute pas besoin)... tout ce qui peu traîner... 1) ne t'en fais pas, atheros est certainement déjà au courant (dans le doute, tu peux prévenir par mail, mais tu ne sera sans doute pas le premier) 2) bof 3) à mon avis, ça va au delà d'une erreur de routage. ils ont réussi à récupérer un shell, et c'est soit de la reconf d'apache, soit du simple remplacement d'index. Et http://customerproducts.atheros.com/index.html est défacée par quelqu'un d'autre... Et http://customerproducts.atheros.com/index2.html propose des liens douteux Lien vers le commentaire Partager sur d’autres sites More sharing options...
GROS_FAIGNAN Posté(e) le 2 septembre 2009 Auteur Partager Posté(e) le 2 septembre 2009 1) ne t'en fais pas, atheros est certainement déjà au courant (dans le doute, tu peux prévenir par mail, mais tu ne sera sans doute pas le premier)2) bof 3) à mon avis, ça va au delà d'une erreur de routage. ils ont réussi à récupérer un shell, et c'est soit de la reconf d'apache, soit du simple remplacement d'index. 1) j'espere 2) ouf ! 3) donc a priori seul le server a été touché..? IEX se contente d'afficher la page hacker, mais n'est pas directement touché ... j'ai quand meme lancé un hijackthis au cas ou, j'ai rien vue de particulier, mais bon comme je sais les lire qu'a moitier... si tu peut confirmer / infirmer ... et accessoirement je vais lancer un kaspersky (ont est jamais trop prudent) log hijackthis Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:01:48, on 02/09/2009 Platform: Windows Vista SP2 (WinNT 6.00.1906) MSIE: Internet Explorer v8.00 (8.00.6001.18813) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\System32\igfxtray.exe C:\Windows\System32\hkcmd.exe C:\Windows\System32\igfxpers.exe C:\Windows\RtHDVCpl.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Program Files\NETGEAR\WG111v3\WG111v3.exe C:\Program Files\NETGEAR\WG111v3\WG111v3.exe C:\Windows\system32\igfxsrvc.exe C:\Windows\system32\wbem\unsecapp.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Windows\system32\Macromed\Flash\FlashUtil10c.exe C:\Windows\System32\cmd.exe C:\Windows\system32\conime.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Windows\System32\notepad.exe C:\Users\CHARLES\Desktop\DIVERS\programes\procexp.exe C:\Users\CHARLES\Desktop\DIVERS\programes\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url="http://www.google.fr/"]http://www.google.fr/[/url] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url="http://www.gateway.com/g/startpage.html?Ch=Retail&SubCH=&Br=EM&Loc=FRN_FR&Sys=PTB&M=eMachines"]http://www.gateway.com/g/startpage.html?Ch...amp;M=eMachines[/url] E510 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url="http://go.microsoft.com/fwlink/?LinkId=54896"]http://go.microsoft.com/fwlink/?LinkId=54896[/url] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url="http://go.microsoft.com/fwlink/?LinkId=54896"]http://go.microsoft.com/fwlink/?LinkId=54896[/url] R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url="http://www.gateway.com/g/startpage.html?Ch=Retail&SubCH=&Br=EM&Loc=FRN_FR&Sys=PTB&M=eMachines"]http://www.gateway.com/g/startpage.html?Ch...amp;M=eMachines[/url] E510 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - c:\windows\system32\BAE.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O4 - HKLM\..\Run: [igfxTray] C:\Windows\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [skytel] Skytel.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe O4 - Global Startup: Assistant Smart Wizard NETGEAR pour WG311v3.lnk = C:\Program Files\NETGEAR\WG111v3\WG111v3.exe O4 - Global Startup: NETGEAR WG111v3 Smart Wizard.lnk = C:\Program Files\NETGEAR\WG111v3\WG111v3.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O13 - Gopher Prefix: O16 - DPF: {493ACF15-5CD9-4474-82A6-91670C3DD66E} - [url="http://www.linkedin.com/cab/LinkedInContactFinderControl.cab"]http://www.linkedin.com/cab/LinkedInContactFinderControl.cab[/url] O23 - Service: NTI Backup Now 5 Agent Service (BUNAgentSvc) - NewTech Infosystems, Inc. - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe O23 - Service: Empowering Technology Service (ETService) - Unknown owner - C:\Program Files\EMACHINES\eMachines Recovery Management\Service\ETService.exe O23 - Service: Intel® Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: NTI Backup Now 5 Backup Service (NTIBackupSvc) - NewTech InfoSystems, Inc. - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe O23 - Service: NTI Backup Now 5 Scheduler Service (NTISchedulerSvc) - Unknown owner - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe -- End of file - 4889 bytes PS : process explorer m'affiche (par intermitence) une connexion par l'intermédiaire d'internet explorer vers une page ( http://ks303177.kimsufi.com/ ) que je n'ai pas ouverte moi meme, et lorsque j'ai été jeter un oeuil dessus elle m'affiche juste le message : It Works ! je trouve juste sa un peut curieux mais peut etre que je paranoise... [EDIT] IFRIC4 ouais c'est meme plus que douteux defacer un site sa veut dire le défigurer ...?? Lien vers le commentaire Partager sur d’autres sites More sharing options...
IFRIC4 Posté(e) le 2 septembre 2009 Partager Posté(e) le 2 septembre 2009 defacer un site sa veut dire le défigurer ...?? Oui, c'est un anglicisme pour "défigurer un site". Généralement, seule la page d'accueil est touchée, modifiée par un message à la gloire du pirate. Lien vers le commentaire Partager sur d’autres sites More sharing options...
GROS_FAIGNAN Posté(e) le 2 septembre 2009 Auteur Partager Posté(e) le 2 septembre 2009 defacer un site sa veut dire le défigurer ...?? Oui, c'est un anglicisme pour "défigurer un site". Généralement, seule la page d'accueil est touchée, modifiée par un message à la gloire du pirate. pas de virus dans ma machine... donc pour moi sa roule Lien vers le commentaire Partager sur d’autres sites More sharing options...
Mephisto Posté(e) le 3 septembre 2009 Partager Posté(e) le 3 septembre 2009 le log HiJackThis est clean. par contre, méfie toi de la kimsufi. si tu connais pas, ça à rien à faire ici. ça sent le server loué par un particulier, mal protégé, et rooté par 15 personnes à la fois. pourtant, un nmap montre qu'il n'y a que ssh+http+samba d'ouvert, donc à priori, rien à craindre de ton côté. mais peut-être l'inscription est-elle plus vieille, et que le serveur associé à ce DNS à changé en cours de route. ou peut-être sont-ce les restes de ma cuite qui me font bad tripper... Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.