Discussion :

[Alcius]

Bonjour,
Nous avons un réseau avec un domaine AD et Kaspersky est installé sur tous les postes, avec possibilité d'une administration centrale de Kaspersky.

Depuis l'install de Kaspersky, je recois dans mon mail le message suivant:

"L'événement Découverte d'attaques de réseau s'est produit sur l'ordinateur ... dans le domaine ...à ... Intrusion.Win.LSASS.exploit! Adresse IP de l'ordinateur à l'origine de l'attaque: 172.16.6.71. Protocole/service: TCP sur le port local 139. Heure: ..."

Je recois ce message 2 ou 3 fois par jour. L'ordinateur à l'otigine de l'attaque est toujours le meme, et les attaque sont produites uniquement sur deux ordinateurs, sur les ports 139 et 445.

Que veut dire ce message ?
Comment résoudre le problème ?

Merci pour votre aide.

[ram-0000]

Ce message veut dire qu'il y a probablement un virus ou vers sur la machine 172.16.6.71 qui tente d'exploiter une faille de sécurité LSASS.

On retrouse ces manches et on passe un autre antivirus et un anti-malware sur cette machine

[Alcius]

Merci ramm-000
Mais quel antivirus ou anti-malware utiliser pour éradiquer ce virus ? Est ce que le virus réussi à lancer ses attaques ? Ou bien les attaque sont bloqués par Kaspersky ?

[ram-0000]

Comment l'enlever, je ne sais pas (c'est pas ma spécialité) mais je pense que si kaspesky le détecte, c'est au moins qu'il le bloque à l'entrée (enfin j'espère)

[_solo]

Va surtout demander a l'admin de revoir les basics du reseaux parce que cette plage IP est toujours reserve a moins que l'iana la sorite du placard , j'ai pas vu d'annonce cette semaine en tout cas :/ .

[ram-0000]

cette plage IP est toujours reserve

Oui, elle est réservée pour construire des réseaux locaux, réservée ne veut pas dire interdite. Donc c'est possible que sur un réseau interne d'entreprise on trouve cette adresse IP. Cf la RFC 1934

[Alcius]

Exact Ram, Cette IP correspond à une plage d'adresse que nous utilisons en interne. Mais _solo, quel rapport avec le problème soulevé dans ce post ??!

[sloshy]

Bonjour,
Je pense que le PC qui lance l'attaque est vérolé, dans un premier temps il serait intéressant de le déconnecter du réseau local et soit d'effectuer quelques recherche pour savoir quel est le malware a l'origine du problème ou (plus généralement dans le cas d'une entreprise) de remettre une image sur la machine.

amicalement, sloshy

[Alcius]

Merci sloshy, pour ta réponse. Mais je n'ai pas bien compris 1 chose:
- "remettre une image sur la machine" : Qu'est ce que cela veut dire ?

Si PC vérolé veut dire PC infecté, Oui, mais comment le désinfecter, et avec quel outil ? Comment trouver le malware ? Kasperky est déja installé, et il n'a apparemment pas pu le supprimer. Moi qui pensait que kaspersky était très efficace ...