IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

[Bureau à distance] suis-je la cible d'une attaque ?


Sujet :

Sécurité

  1. #1
    Membre expérimenté Avatar de 10_GOTO_10
    Profil pro
    Inscrit en
    Juillet 2004
    Messages
    885
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juillet 2004
    Messages : 885
    Points : 1 522
    Points
    1 522
    Par défaut [Bureau à distance] suis-je la cible d'une attaque ?
    Bonjour,

    J'ai un ordi (Windows XP Pro, updates à jour) dont je ne me sert qu'en accès distant (remote desktop). Depuis quelques jours, j'ai constaté une activité anormale du disque (alors que je n'étais pas connecté). En fouillant un peu, j'ai trouvé des erreurs systèmes assez alarmistes dans l'observateur d'événements:

    Le serveur Terminal Server a reçu un grand nombre de connexions non complètes. Le système peut faire l'objet d'une attaque.
    Et celle-là toutes les deux minutes environ:

    Le composant X.224 du protocole RDP a détecté une erreur dans le flux du protocole et a déconnecté le client.
    Et dans les logs du firewall (plus de 2 mégas d'erreurs, une erreur à la seconde environ, j'ai mis que les derniers) :

    2010-04-20 15:36:02 CLOSE TCP (Mon adresse IP) 66.235.142.20 1319 80 - - - - - - - - -
    2010-04-20 15:36:09 CLOSE TCP (Mon adresse IP) 174.129.246.30 1333 80 - - - - - - - - -
    2010-04-20 15:36:10 OPEN TCP (Mon adresse IP) 184.73.185.106 1334 80 - - - - - - - - -
    2010-04-20 15:36:10 OPEN TCP (Mon adresse IP) 81.52.251.112 1335 80 - - - - - - - - -
    2010-04-20 15:36:10 CLOSE TCP (Mon adresse IP) 184.73.185.106 1334 80 - - - - - - - - -
    2010-04-20 15:36:10 DROP TCP 184.73.185.106 (Mon adresse IP) 80 1334 430 AP 1774576030 309635275 6576 - - - RECEIVE
    2010-04-20 15:36:10 DROP TCP 184.73.185.106 (Mon adresse IP) 80 1334 40 FA 1774576420 309635275 6576 - - - RECEIVE
    2010-04-20 15:36:11 OPEN TCP (Mon adresse IP) 81.52.251.112 1336 80 - - - - - - - - -
    2010-04-20 15:36:11 OPEN TCP (Mon adresse IP) 81.52.251.112 1337 80 - - - - - - - - -
    2010-04-20 15:36:11 OPEN TCP (Mon adresse IP) 81.52.251.112 1338 80 - - - - - - - - -
    2010-04-20 15:36:11 OPEN TCP (Mon adresse IP) 81.52.251.112 1339 80 - - - - - - - - -
    2010-04-20 15:36:11 OPEN TCP (Mon adresse IP) 81.52.251.112 1340 80 - - - - - - - - -
    2010-04-20 15:36:11 OPEN TCP (Mon adresse IP) 174.129.246.30 1341 80 - - - - - - - - -
    2010-04-20 15:36:11 CLOSE TCP (Mon adresse IP) 174.129.246.30 1341 80 - - - - - - - - -
    2010-04-20 15:36:11 DROP TCP 174.129.246.30 (Mon adresse IP) 80 1341 48 SA 1840611465 489689616 5840 - - - RECEIVE
    2010-04-20 15:36:12 OPEN TCP (Mon adresse IP) 66.235.142.20 1342 80 - - - - - - - - -
    2010-04-20 15:36:12 OPEN TCP (Mon adresse IP) 81.52.251.112 1343 80 - - - - - - - - -
    2010-04-20 15:36:12 OPEN TCP (Mon adresse IP) 81.52.251.112 1344 80 - - - - - - - - -
    2010-04-20 15:36:12 OPEN TCP (Mon adresse IP) 81.52.251.112 1345 80 - - - - - - - - -
    2010-04-20 15:36:12 CLOSE TCP (Mon adresse IP) 81.52.251.112 1336 80 - - - - - - - - -
    2010-04-20 15:36:12 DROP TCP 81.52.251.112 (Mon adresse IP) 80 1336 40 R 1371669699 0 0 - - - RECEIVE
    2010-04-20 15:36:12 OPEN TCP (Mon adresse IP) 64.13.137.22 1346 443 - - - - - - - - -
    2010-04-20 15:36:13 CLOSE TCP (Mon adresse IP) 81.52.251.112 1340 80 - - - - - - - - -
    2010-04-20 15:36:13 DROP TCP 81.52.251.112 (Mon adresse IP) 80 1340 40 R 1374639935 0 0 - - - RECEIVE
    2010-04-20 15:36:13 CLOSE TCP (Mon adresse IP) 81.52.251.112 1338 80 - - - - - - - - -
    2010-04-20 15:36:13 DROP TCP 81.52.251.112 (Mon adresse IP) 80 1338 40 R 1367829460 0 0 - - - RECEIVE
    2010-04-20 15:36:14 CLOSE TCP (Mon adresse IP) 64.13.137.22 1346 443 - - - - - - - - -
    2010-04-20 15:36:15 DROP TCP 174.129.246.30 (Mon adresse IP) 80 1341 48 SA 1840611465 489689616 5840 - - - RECEIVE
    2010-04-20 15:36:19 CLOSE TCP (Mon adresse IP) 81.52.251.112 1343 80 - - - - - - - - -
    2010-04-20 15:36:19 CLOSE TCP (Mon adresse IP) 81.52.251.112 1345 80 - - - - - - - - -
    2010-04-20 15:36:21 DROP TCP 174.129.246.30 (Mon adresse IP) 80 1341 48 SA 1840611465 489689616 5840 - - - RECEIVE
    2010-04-20 15:36:21 CLOSE TCP (Mon adresse IP) 66.235.142.20 1342 80 - - - - - - - - -
    2010-04-20 15:36:21 CLOSE UDP (Mon adresse IP) 212.27.40.240 59437 53 - - - - - - - - -
    2010-04-20 15:36:21 CLOSE UDP (Mon adresse IP) 212.27.40.240 58480 53 - - - - - - - - -
    2010-04-20 15:36:21 CLOSE UDP (Mon adresse IP) 212.27.40.240 60265 53 - - - - - - - - -
    2010-04-20 15:36:21 DROP TCP 59.162.98.71 (Mon adresse IP) 6000 1433 44 S 617152512 0 16384 - - - RECEIVE
    2010-04-20 15:36:29 CLOSE TCP (Mon adresse IP) 81.52.251.112 1344 80 - - - - - - - - -
    2010-04-20 15:36:29 CLOSE TCP (Mon adresse IP) 81.52.251.112 1337 80 - - - - - - - - -
    2010-04-20 15:36:29 CLOSE TCP (Mon adresse IP) 81.52.251.112 1339 80 - - - - - - - - -
    2010-04-20 15:36:29 CLOSE TCP (Mon adresse IP) 81.52.251.112 1335 80 - - - - - - - - -
    2010-04-20 15:36:29 CLOSE TCP (Mon adresse IP) 72.21.207.100 1303 80 - - - - - - - - -
    2010-04-20 15:36:29 CLOSE TCP (Mon adresse IP) 72.21.207.164 1310 80 - - - - - - - - -
    2010-04-20 15:36:29 CLOSE TCP (Mon adresse IP) 216.137.61.74 1311 80 - - - - - - - - -
    2010-04-20 15:36:29 CLOSE TCP (Mon adresse IP) 216.137.61.74 1312 80 - - - - - - - - -
    2010-04-20 15:36:33 DROP TCP 174.129.246.30 (Mon adresse IP) 80 1341 48 SA 1840611465 489689616 5840 - - - RECEIVE
    2010-04-20 15:36:57 DROP TCP 174.129.246.30 (Mon adresse IP) 80 1341 48 SA 1840611465 489689616 5840 - - - RECEIVE
    2010-04-20 15:37:21 CLOSE UDP (Mon adresse IP) 212.27.40.240 55303 53 - - - - - - - - -
    2010-04-20 15:37:21 CLOSE UDP (Mon adresse IP) 212.27.40.240 53774 53 - - - - - - - - -
    2010-04-20 15:37:21 CLOSE UDP (Mon adresse IP) 212.27.40.240 56428 53 - - - - - - - - -
    2010-04-20 15:37:21 CLOSE UDP (Mon adresse IP) 212.27.40.240 60685 53 - - - - - - - - -
    2010-04-20 15:37:21 CLOSE UDP (Mon adresse IP) 212.27.40.240 56262 53 - - - - - - - - -
    2010-04-20 15:37:21 CLOSE UDP (Mon adresse IP) 212.27.40.240 65002 53 - - - - - - - - -
    2010-04-20 15:37:21 CLOSE UDP (Mon adresse IP) 212.27.40.240 63632 53 - - - - - - - - -
    2010-04-20 15:37:21 CLOSE UDP (Mon adresse IP) 212.27.40.240 52025 53 - - - - - - - - -
    2010-04-20 15:38:21 CLOSE UDP (Mon adresse IP) 62.147.144.254 68 67 - - - - - - - - -
    2010-04-20 15:38:56 INFO-EVENTS-LOST - - - - - - - - - - - - 14 -
    Si je désactive l'accès distant, ça semble se calmer (mais je ne peux plus me connecter, évidemment). J'ai essayer de changer le port 3389, y a-t-il d'autres moyens de sécuriser ce truc ? Coté client, je n'ai pas d'IP fixe, donc pas moyen de filtrer sur ça.

    Le coté rassurant, c'est que apparemment tout fonctionne normalement sur le poste, l'anti-virus ne détecte rien d'anormal, et je n'ai rien trouvé d'inquiétant en dehors de ça.

    Qu'en pensez-vous ? C'est grave docteur ?

  2. #2
    Expert éminent
    Avatar de Michaël
    Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    Juillet 2003
    Messages
    3 497
    Détails du profil
    Informations personnelles :
    Âge : 36
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux

    Informations forums :
    Inscription : Juillet 2003
    Messages : 3 497
    Points : 8 237
    Points
    8 237
    Par défaut
    Salut,
    La log que tu as mis ne sert à rien Il n'y a que du traffic web (http+dns).

    Utiliser remote desktop (à destination d'un xp) sur internet n'est pas ce qu'il y a de plus sécurisé Tu pourras changer ton port rdp mais il suffira d'un nouveau scan sur ton ordi pour savoir quels ports sont ouverts et tester les recettes de cuisine sur chaque port. Je te conseille plutôt une solution de type logmein : pas besoin d'ouvrir de port donc ton ordi ne sera pas attaquable par le bureau à distance

    En revanche, c'est bizarre que ton disque se mette à gratter lors des supposées attaques : il faudrait sortir le gestionnaire des tâches pour voir s'il n'y a pas une application qui s'amuse

  3. #3
    Rédacteur
    Avatar de Benj.
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    Septembre 2009
    Messages
    839
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Marne (Champagne Ardenne)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : Enseignement

    Informations forums :
    Inscription : Septembre 2009
    Messages : 839
    Points : 1 849
    Points
    1 849
    Par défaut
    Changer le port reste tout de même utile dans le sens ou peu de gens (Monsieur et Madame Tout-le-monde quoi) ne pense pas le faire et que les "scanneurs" se content juste d'un scan sur le port régulier.

    Et, si ça peut servir à quelqu'un, il suffit de modifier une clef dans le registre :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber
    Cf le KB de Microsoft
    Bazinga !

  4. #4
    Membre expérimenté Avatar de 10_GOTO_10
    Profil pro
    Inscrit en
    Juillet 2004
    Messages
    885
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juillet 2004
    Messages : 885
    Points : 1 522
    Points
    1 522
    Par défaut
    Citation Envoyé par Michaël Voir le message
    En revanche, c'est bizarre que ton disque se mette à gratter lors des supposées attaques : il faudrait sortir le gestionnaire des tâches pour voir s'il n'y a pas une application qui s'amuse
    Il y avait les processus jqs.exe (j'ai désactivé le service) et lsass.exe (normal, c'est lui qui gère les connexions)

    Citation Envoyé par Benj. Voir le message
    Et, si ça peut servir à quelqu'un, il suffit de modifier une clef dans le registre :
    Et, si ça peut servir à quelqu'un: ne soyez pas aussi stupide que moi et ne le faites pas à distance. Le firewall n'étant pas au courant du changement, j'imagine qu'il doit maintenant y avoir à l'écran une boîte de dialogue: "Voulez-vous autoriser le programme ... à utiliser le port ...". Mais vu que je suis à 600 km de là, je ne le saurait que quand je reviendrais. Pour l'instant, je suis à l'abri d'une attaque, plus personne ne peut se connecter... même pas moi. C'est digne du bêtisier, ça, heureusement qu'il n'y a rien de vital sur ce poste . La suite au prochain épisode. Merci de vos conseils avisés.

Discussions similaires

  1. [WS 2008] Redirection Imprimante locale sur une session bureau à distance
    Par agrimault dans le forum Windows Serveur
    Réponses: 7
    Dernier message: 30/07/2014, 16h10
  2. Réponses: 3
    Dernier message: 19/12/2012, 11h58
  3. configurer une connexion du bureau à distance
    Par cdevl32 dans le forum Windows XP
    Réponses: 1
    Dernier message: 16/03/2009, 11h26
  4. Réponses: 1
    Dernier message: 05/06/2007, 11h43
  5. [VB.NET] Ajouter une cible dans une URL
    Par guimartbis dans le forum ASP.NET
    Réponses: 3
    Dernier message: 04/05/2005, 15h17

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo