Précédent   Forum des professionnels en informatique > Systèmes > Windows > Sécurité
Recharger cette page Requète HTTP mystérieuse [Résolu]
S'inscrire Règles FAQ Marquer les forums comme lus
Sécurité Anti virus, firewall, spywares, vers, trojan, ... Avant de poster -> La Rubrique Sécurité
Partagez cette discussion sur d'autres réseaux sociaux : Viadeo Twitter Google Facebook Digg Delicious MySpace Yahoo
Réponse Proposer ce sujet en actualité
 
Outils de la discussion
Publicité
'
Vieux 08/03/2011, 19h58   #1
Invité de passage
 
Inscription : mars 2011
Messages : 9
Détails du profil
Informations forums :
Inscription : mars 2011
Messages : 9
Points : 4
Points : 4
Par défaut Requète HTTP mystérieuse
Bonjour,

Je viens d'installer wireshark et je me suis rendu compte que j'avais ce genre de requêtes sans effectuer aucun surf internet

Code :
Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
POST /t/r.php HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Host: serveur-no-ip
Content-Length: 190
Cache-Control: no-cache



d=SUITE-DE-CARACTERES&i=SUITE-DE-CARACTERES#&v=r1HTTP/1.1 200 OK
Date: Tue, 08 Mar 2011 18:18:52 GMT
Server: Apache/2.2.16 (Unix) mod_ssl/2.2.16 OpenSSL/0.9.8e-fips-rhel5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 PHP/5.2.14
X-Powered-By: PHP/5.2.14
Content-Length: 104
Content-Type: text/html

ZG9jbGtifGh0dHA6Ly93d3cuY3B1bGFwdG9wLmNvbS9zZWFyY2gvYW50aWNoZWF0Ni5waHA/dXNlcm5hbWU9d3d3fDEwMDAwfDF8MA==

J'ai tester la chaine ZG9jbGtifGh0dHA6Ly93d3cuY3B1bGFwdG9wLmNvbS9zZWFyY2gvYW50aWNoZWF0Ni5waHA/dXNlcm5hbWU9d3d3fDEwMDAwfDF8MA== en la decodant en base 64 et j'ai le résultat ci-dessous :

Code :
Sélectionner tout - Visualiser dans une fenêtre à part
doclkb|http://www.cpulaptop.com/search/anticheat6.php?username=www|10000|1|0

Savez vous comment je pourrais décoder la ligne qui correspond au :
d=SUITE-DE-CARACTERES&i=SUITE-DE-CARACTERES#&v=r1HTTP/1.1 200 OK
rom_95 est déconnecté   Envoyer un message privé Réponse avec citation 00
Vieux 09/03/2011, 23h24   #2
Invité de passage
 
Inscription : mars 2011
Messages : 9
Détails du profil
Informations forums :
Inscription : mars 2011
Messages : 9
Points : 4
Points : 4
Je viens de tester avec decode64 la requette ci-dessous :

Code :
Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
POST /t/r.php HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Host: serveur-no-ip
Content-Length: 190
Cache-Control: no-cache



d=Mi42LjAuNjAwMnxcXD9cVm9sdW1lezJiYzYzMzkyLTRhODQtMTFkZi1iNThmLTAwMTZkNGNiZTQ5YX1c&i=aGtwbi5zZXJ2ZWh0dHAuY29tfHducGQuc2VsZmlwLmNvbXwvdC9yLnBocHw1MDAwMDB8MTAwMDAwfFNvZnR3YXJlXFlhaG9vfDE#&v=r1HTTP/1.1 200 OK
Date: Tue, 08 Mar 2011 18:18:52 GMT
Server: Apache/2.2.16 (Unix) mod_ssl/2.2.16 OpenSSL/0.9.8e-fips-rhel5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 PHP/5.2.14
X-Powered-By: PHP/5.2.14
Content-Length: 104
Content-Type: text/html

ZG9jbGtifGh0dHA6Ly93d3cuY3B1bGFwdG9wLmNvbS9zZWFyY2gvYW50aWNoZWF0Ni5waHA/dXNlcm5hbWU9d3d3fDEwMDAwfDF8MA==
Code :
Sélectionner tout - Visualiser dans une fenêtre à part
1
2
i=aGtwbi5zZXJ2ZWh0dHAuY29tfHducGQuc2VsZmlwLmNvbXwvdC9yLnBocHw1MDAwMDB8MTAwMDAwfFNvZnR3YXJlXFlhaG9vfDE#&v=r
donne le contenu ci-dessous :
Code :
Sélectionner tout - Visualiser dans une fenêtre à part
1
2
2.6.0.6002|\\?\Volume{2bc63392-4a84-11df-b58f-0016d4cbe49a}\hkpn.servehttp.com|wnpd.selfip.com|/t/r.php|500000|100000|Software\Yahoo|1+
et la chaine
Code :
Sélectionner tout - Visualiser dans une fenêtre à part
ZG9jbGtifGh0dHA6Ly93d3cuY3B1bGFwdG9wLmNvbS9zZWFyY2gvYW50aWNoZWF0Ni5waHA/dXNlcm5hbWU9d3d3fDEwMDAwfDF8MA==
donne :
Code :
Sélectionner tout - Visualiser dans une fenêtre à part
1
2
doclkb|http://www.cpulaptop.com/search/anticheat6.php?username=www|10000|1|0
Avez vous une idée de quoi cela peut être ?
rom_95 est déconnecté   Envoyer un message privé Réponse avec citation 00
Vieux 09/03/2011, 23h39   #3
Rédacteur
 
Avatar de pi-2r
 
Inscription : juin 2006
Messages : 1 388
Détails du profil
Informations forums :
Inscription : juin 2006
Messages : 1 388
Points : 2 216
Points : 2 216
Bonsoir,

concernant l'adresse hkpn.servehttp.com|, ça m'a tout l'aire d'être un espace de stockage....
lance un scan hijackthis ainsi que ton antivirus.
__________________
Les pièges de l'Internet
Helix, réponse à une intrusion
[ Pas de questions techniques en MP ]


"La plus grande gloire n'est pas de ne jamais tomber, mais de se relever à chaque chute." Confucius
"Si j’ai vu si loin, c’est que j’étais monté sur des épaules de géants." Isaac Newton
pi-2r est déconnecté   Envoyer un message privé Réponse avec citation 00
Vieux 10/03/2011, 21h25   #4
Invité de passage
 
Inscription : mars 2011
Messages : 9
Détails du profil
Informations forums :
Inscription : mars 2011
Messages : 9
Points : 4
Points : 4
effectivement, j'etais infecté par un trojan. J'aurais bien aimé savoir quelles informations etaient transmise mais bon
rom_95 est déconnecté   Envoyer un message privé Réponse avec citation 00
Réponse Proposer ce sujet en actualité Cette discussion est résolue.
Outils de la discussion



Fuseau horaire GMT +2. Il est actuellement 17h58.

Nous contacter - Developpez.com - Archives - Haut de page

 
 
Developpez.com

Nous contacter

Participez

Informations légales

 
Services

Forum Windows

Blogs

Hébergement

 
Partenaires

Hébergement Web