Discussion :

[gerald@23juin.net]

Bonjour à tous,

Désolé pour le titre, mais difficile à résumer en 3 mots ce qu'il m'arrive.
Je vais essayer d'être synthétique.

Je suis Web master.
Il y a quelques années, j'ai fait un site pour ami.
Il y a quelques mois, il m'a demandé de modifier certaines choses.. pour faire plus simple je lui ai collé mon CMS maison en php, mais je suis resté bloqué pour cause de manque d'info ( l'organisation n'est pas le fort de mon ami.. )

Chemin faisant, une de ses connaissances lui a proposé de lui refaire le site.. ok
Le transfert ( chez ovh ) n'a pas été évident.. J'avais déjà eu l'impression qu'on voulait "m'arracher le site".. bref. Il y a eu une paire d'emails avec la nouvelle webmastrice pas piqué des vers.

Il y a quelques jour, par curiosité, je suis allé regarder ce qui avait été pondu.
Ok.

Puis, j'ai constaté que mon navigateur ramait à fond, au bout de quelques clics, lenteur exagéré, firefox impossible à fermer proprement, etc..

Vers, Virus ?
Je cherche, je cherche..
J'ai trouvé quelques trucs, mais bon le résultat était identique pour la navigation..

Puis, malgré tout, cette histoire de site avait laissé quelques traces dans mon esprit.. Je suis retourné voir le site en question.
403 forbiden ?

Après divers tests et essais, j'ai découvert que c'est mon IP qui empêchait l'accès.
> Si je fais tester par un tiers, pas de soucis.
> Si je redémarre ma Box, aucun problème de navigateur et je peux accéder au site..
> Mais au bout de quelques minutes, je retrouve l'accès 403, et mon navigateur recommence à délirer.
> Je refais tester par des tiers à distance, le site est accessible.

Que mon IP soit enregistrée, pas de soucis, c'est facile.
Mais pour que juste moi j'ai l'accès coupé après une connexion... cela implique forcément qu'il a un truc qui m'identifie et qui tague mon IP sur le site..

Bref, je suis un peu perplexe.
Quelqu'un à une idée.. Cela m'évitera de faire la paranoïa inutile.

Détail stupide, j'ai remisé mon IP cop pour économiser de l'énergie.

Merci.

[gerald@23juin.net]

Visiblement, c'est ce qui m'arrive.
J'ai fait quelques recherches depuis le premier post.
J'ai scanné le trafic et j'ai découvert plusieurs traces ARP Gratuitous.

Ceux qui savent comprendrons, j'espère..
Visiblement, cela ressemble à de l'ARP poisoning.

Est-ce que quelqu'un aurait une idée pour me sortir de là.

Merci.

[homeostasie]

Que mon IP soit enregistrée, pas de soucis, c'est facile.
Mais pour que juste moi j'ai l'accès coupé après une connexion... cela implique forcément qu'il a un truc qui m'identifie et qui tague mon IP sur le site..

Dans quel but seulement toi aurait l'IP coupée?
Peut-être as tu des cookies qui t'identifies mais je pense que tu as dû déjà les supprimer.
Lorsque tu demandes à un ami de naviguer dessus, es tu sur qu'il y a passe assez de temps car peut être qu'au bout de plusieurs minutes, il aurait le même comportement?

J'ai scanné le trafic et j'ai découvert plusieurs traces ARP Gratuitous.

Ceux qui savent comprendrons, j'espère..
Visiblement, cela ressemble à de l'ARP poisoning.

Et toi tu ne sembles pas savoir...
L'ARP poisoining est une attaque déstinée sur un réseau local et non sur la toile Internet.
Ca doit être tout simplement ta box qui veut remettre à jour le cache de ta machine, ou sinon ton Wifi est découvert et quelqu'un détourne ton trafic réseau.

[gerald@23juin.net]

Merci homeostasie.

C'est justement le motif que je n'arrive pas à saisir,
mais vu le contexte, peut être une bête vengeance perso..

Plusieurs personnes ont surfé longtemps, sans soucis.
De mon coté, encore hier soir, il a fallu 10 secondes pour je sois banni.

Coté cookies je n'ai rien vu d'anormal..
Ceci dit aujourd'hui, même avec renouvellement de l'IP je suis BL.
Probablement l'adresse MAC qui est enregistrée dans le .htacess.

Pour le WIFI, la borne était effectivement ouverte, mais elle est désormais close, et j'ai continué à observer des requêtes ARP Gratuitious qui partent vers le broadcast.

Tu as certainement raison, je suis un béotien et je découvre cela avec un brin de fascination, n'empêche que je suis un tantinet inquiet.

Après les découvertes d'hier soir et la fermeture de la borne wifi, j'ai installé AntiARP, un truc simple, mais qui a bloqué pas mal de truc quand même, signe que les attaques se poursuivent.

Cela s'est calmé depuis que j'ai modifié le DHCP en attribuant chaque IP à l'adresse MAC de chaque poste, et modifié la Table sur chaque Poste.

Par ailleurs, il semble avéré que je sois le seul en blasklist sur le site, et si on suit le déroulement des opérations mes doutes sont légitimes.

J'ai eu un technicien chez ovh, qui a émis la possibilité qu'il y a avait peut être un truc sur ma machine. Il a également surfé sans pb sur le site.

Effectivement, les soucis de navigateur se sont reproduits à 2 reprises ce matin. Pourtant la config parait propre, rien ne cloche dans le listing HijackThis.. ( En tout cas pas, une ligne que je ne connaisse point.. )

En ayant lu un peu toute la nuit, j'ai vu effectivement que cela se passait essentiellement sur un réseau local..

Ce qui me tracasse, ce sont les 3 évènements ensemble :
> Trafic ARP bizarre, Blacklist IP sur le site, Dysfonctionnement du navigateur.
Et tout cela a peu près en même temps.

Pas de parano, mais j'aimerais bien comprendre.
Avis aux amateurs.

[Toutouyoutou]

Probablement l'adresse MAC qui est enregistrée dans le .htacess.

Hello,
C'es peu probable de te faire black-lister ton adresse MAC puisque celle ci n'est pas visible sur le net. (à part peut être avec un applet et ce serait détecté par un firewall...)

Ça vient donc certainement de chez toi... le site utilise peut-être une technologie qui est mal installée sur ton PC ( j'avais eu ce genre de souci au début de Silverlight ). As tu bien nettoyé tes fichiers temporaires cookies avant/après redémarrage de ta box ? As tu essayé avec un autre navigateur ? Un autre OS ?

[gerald@23juin.net]

Merci Toutouyoutou.

Tout cela a bien été fait, juste pas d'un autre OS
En plus le site ne présente pas vraiment de techno révolutionnaire.

Tiens je vais essayer avec un live CD ?

[gerald@23juin.net]

Bon,
Et bien A partir d'un Live CD linux,
je suis bel et bien black-listé du site.

A suivre..

[homeostasie]

Bon en effet, tout cela est louche et je comprends bien ton intérêt à comprendre ce qui se passe.
Etant donné que tu donnes pas mal d'informations et tu as fait nombre de test, on peut déjà exclure le fait que ca soit un programme malveillant qui te bloque l'accès à ce site (vu que tu as essayé depuis un live CD). Par contre, ce qui n'empêche pas qu'en parallèle tu sois infecté et que ça n'a rien à voir avec le problème actuel.

Après divers tests et essais, j'ai découvert que c'est mon IP qui empêchait l'accès.
> Si je fais tester par un tiers, pas de soucis.
> Si je redémarre ma Box, aucun problème de navigateur et je peux accéder au site..
> Mais au bout de quelques minutes, je retrouve l'accès 403, et mon navigateur recommence à délirer.
> Je refais tester par des tiers à distance, le site est accessible.

Je vois par contre que tu n'as pas essayé en passant par un proxy.
Pourquoi je dis cela, malgré que tu changes d'IP dynamiquement en redémarrant ta box, lorsque tu vas naviguer sur le site en question, il pourrait très bien avoir une page qui lance un script pour effectuer un whois sur ton IP. Il en ressortirait des informations comme ton FAI, ton département, ta ville et ton quartier. Et ça pourrait être un moyen pour te tracer. ;-)

Ce qui me tracasse, ce sont les 3 évènements ensemble :
> Trafic ARP bizarre, Blacklist IP sur le site, Dysfonctionnement du navigateur.
Et tout cela a peu près en même temps.

Pour moi, je séparerais les deux problèmes ainsi:
- le blacklist IP (faire l'essai avec un proxy)
- Trafic ARP bizarre causant éventiuellement un dysfonctionnement du navigateur, disfonctionnement que tu n'as pas du avoir avec ton liveCD, confirmes tu?

Concernant le trafic ARP, si tu veux plaus d'aide, j'aurais besoin de visualiser les trames qui circulent, connaître l'adresse MAC et IP de ton PC hôte et de ton routeur.

[gerald@23juin.net]

Cool homeostasie pour ton aide..

Effectivement peut être qu'il y a 2 choses différentes.

Coté ARP, j'ai constaté que le petit logiciel Anti ARP générait un maximum de requêtes. Cela se calme quand il est down.

Coté proxy, je n'ai effectivement pas fait, mais j'ai essayé via un site de navigation anonyme.. qui me procure une IP nouvelle.
Normalement, l'adresse MAc du serveur qui envoie les requêtes est inconnue du site que je cherche, mais IDEM --> 403 Forbiden.

Coté Navigateur, encore 2 ou 3 plantages sévères.
J'ai fait la mise à jour vers FF 3.6.2 ce matin, mais les pbs existaient déjà avant la MAJ vers 3.6

Désormais, même si je change l'IP l'accès est interdit depuis tous les postes de la maison. A part l'adresse MAC de la box, je ne vois pas ce qui pourrait être Black-listé.

Ton approche est intéressante pour la détection, mais il faudrait peut être qq secondes avant que l'ip soit down.. donc je pourrai voir le site à la première connexion.

Il n'y a pas eu de dysfonctionnement via le live CD, mais j'y suis resté quelques secondes simplement.

C'est sympa pour l'analyse de la trame.
Je te fais passer cela en MP.

Merci

[homeostasie]

Coté proxy, je n'ai effectivement pas fait, mais j'ai essayé via un site de navigation anonyme.. qui me procure une IP nouvelle.
Normalement, l'adresse MAc du serveur qui envoie les requêtes est inconnue du site que je cherche, mais IDEM --> 403 Forbiden.

Le mieux est que tu trouves un proxy anonyme, c'est à dire qui ne transmet pas l'IP orginal via un entête HTTP.

Désormais, même si je change l'IP l'accès est interdit depuis tous les postes de la maison. A part l'adresse MAC de la box, je ne vois pas ce qui pourrait être Black-listé.

Une adresse MAC circule seulement sur un même brin physique. Comme dit précédemment, ça ne sera pas un filtrage par adresse MAC.
Sinon quand tu parles d'accès interdit pour tout les postes, c.a.d dans le cas où ils sont tous configurés avec le même proxy? Car le proxy peut avoir un cache et te retourner la même page, ton navigateur aussi pourrait très bien récupérer la page qui est stockée dans son cache pour éviter de faire à nouveau la même requête.
Une fois que tu as l'accès forbidden et avant de faire tout nouvel essai, vide ton cache et supprime les cookies.

Ton approche est intéressante pour la détection, mais il faudrait peut être qq secondes avant que l'ip soit down.. donc je pourrai voir le site à la première connexion.

D'après ce que tu me dis, avant d'être blacklisté, tu naviguais pendant environ 10 secondes donc ensuite ça peut être une conséquence de l'explication au dessus.

Après première analyse des trames:
1) On constate que le script *.pl est appellé à chaque consultation de page et fourni des informations comme IP du visiteur, nom d'hôte du visiteur, Navigateur utilisé, Résolution d'écran, couleurs écran etc... qui pourraient petre utilisées pour tracer une personne.
2) As tu une console branchée sur ton réseau? ;-)

[gerald@23juin.net]

le traçage par le nom d'hôte..
Voilà peut être la solution.
Je vais faire un essai en changeant le nom..
ceci dit, cela reste curieux pour moi.. Comment le lien serait fait au départ..

Pour la console.. et wii..
J'avais oublié qu'elle était connecté en Wifi au moment ou j'ai fait le scan.
Mon fils ne jouait pas à cette heure là, mais j'avais remarqué qu'avec le wifi activité, elle restait en veille.
Tu pense que je dois aussi exploser mon mobile sfr contre un mur ( non, là ce sont mes nerfs qui lachent.. )


Par ailleurs, je viens de trouver via panda on-line un ver qu'il nomme Passtealer.KB. Je suis en train d'explorer la base de registre. Il est indiqué comme porte d'entrée potentielle pour un pirate.. Qui sait.

Merci infiniment en tout cas.
Je vais essayer d"avancer.

L'adresse MAC qui me perturbait devait être celle de la console.

[homeostasie]

le traçage par le nom d'hôte..
Voilà peut être la solution.

C'est ce que j'expliquais quand je te disais:

il pourrait très bien avoir une page qui lance un script pour effectuer un whois sur ton IP. Il en ressortirait des informations comme ton FAI, ton département, ta ville et ton quartier. Et ça pourrait être un moyen pour te tracer. ;-)

ceci dit, cela reste curieux pour moi.. Comment le lien serait fait au départ..

La réponse à ta question:

Il y a quelques années, j'ai fait un site pour ami.

Un ami doit quand même savoir où tu habites!

[gerald@23juin.net]

Bien noté.
Ceci dit :
Avec un nouveau nom d'hôte pour la machine, le black-list est direct..
Je sors d'une coupure de courant, l'IP était neuve..

Pour mon ami, lui sait ou j'habite.. pas la fille qui a pondu ce méchant site.
Ou au pire une vague indication, à moins qu'elle ai fait quelques recherches.. c'est facile.

Les machines c'est rigolo, mail existe le coté humain..

Mon ami, appelons le WASP, possède le compte chez ovh à son nom.
Il y a 2 jours, je l'ai appelé pour lui faire part de quelques interrogation et lui ai demandé de me filer son nickhandle pour accéder à son site.

Il ne les avais point et devait les demander à la miss qui code, pour son usage perso diras-t-on..

Sauf que 48h après, pas de news...

Tiens nouvelle coupure.. Merci onduleur.
Retour du jus, je peux envoyer

Bref, si elle traine des pieds..

[gerald@23juin.net]

Bien, bonjour à tous.
Depuis presque 30 ans et les premiers émois sur un zx81, j'ai connu pas mal de galères, celle ci restera mémorable.. j'espère qu'il y en aura d'autres.. c'est tellement rigolo.. ( a postériori, je vous rassure.. )

En ce qui concerne le souci initial, le blacklist de l'adresse IP, je sais désormais de quoi il en retourne.. Il y avait effectivement quelque chose.

Pour le reste, cela reste mystérieux, même si le phénomène ( navigateur lent ) s'est atténué.

En ce qui concerne les requêtes ARP, je concède un gros béotisme, dans tous les sens du terme. Il y avait bien des choses étranges, mais désormais un ipcop veille.. et il n'y a plus de traces.

Pour ceux qui aurait pu trouver certains de mes propos un peu déplacés, recevez mes plates excuses, je n'ai a opposer que la faiblesse de mes nerfs et une conjonction de plusieurs évènements bien malheureuse.

Merci à homéostasie pour son aide précieuse et fort judicieuse.

Pour terminer, un double salut numérique à une charmante personne et à un informateur finalement salutaire qui se reconnaîtront.

Bien à vous.
Je rêve parfois d'un monde sans fenêtres.

[sebhm]

je sais désormais de quoi il en retourne.. Il y avait effectivement quelque chose.

et tu veux pas nous dire quel etait le probleme ?
ca pourrait en aider certains peut etre.

et j'ai suivi le feuilleton..... c'est un peu comme si on m'enlevait le final de Plus Belle La Vie

[homeostasie]

Oui je suis d'accord avec sebhm, ca serait sympa de faire partager quel était le problème ou la technique employée au final pour te bannir?

Sinon, "de rien" pour l'aide. ;-)

[zadmalckz]

Salut tous,
nous avons un problème similaire.
sur un site Internet, au bout de quelques temps, certaines pages du site se bloquent (chargement de la page très long, plusieurs dixaines de minutes environ). Ce problème ne se pose pas avec d'autres personnes sur l'Internet. Il n'y a que nous qui avons ce problème concernant ce site.

Solutions trouvées :

Sur la LiveBox, on fixe les DNS avec ceux d'orange au lieu de les acquérir par DHCP.
Rien qu'avec cette manip, plus de blocage, le site devient bien plus fluide.

Concernant la donzelle citée plus haut, son site contient probablement des bouts de code javascript ou ajax. Là, la solution est de faire du javascript non intrusif.

Voilà, voilou. Avec ces points, le problème est résolu chez nous.

++
:-)