[Bureau à distance] suis-je la cible d'une attaque ?
Bonjour,
J'ai un ordi (Windows XP Pro, updates à jour) dont je ne me sert qu'en accès distant (remote desktop). Depuis quelques jours, j'ai constaté une activité anormale du disque (alors que je n'étais pas connecté). En fouillant un peu, j'ai trouvé des erreurs systèmes assez alarmistes dans l'observateur d'événements:
Citation:
Le serveur Terminal Server a reçu un grand nombre de connexions non complètes. Le système peut faire l'objet d'une attaque.
Et celle-là toutes les deux minutes environ:
Citation:
Le composant X.224 du protocole RDP a détecté une erreur dans le flux du protocole et a déconnecté le client.
Et dans les logs du firewall (plus de 2 mégas d'erreurs, une erreur à la seconde environ, j'ai mis que les derniers) :
Citation:
2010-04-20 15:36:02 CLOSE TCP (Mon adresse IP) 66.235.142.20 1319 80 - - - - - - - - -
2010-04-20 15:36:09 CLOSE TCP (Mon adresse IP) 174.129.246.30 1333 80 - - - - - - - - -
2010-04-20 15:36:10 OPEN TCP (Mon adresse IP) 184.73.185.106 1334 80 - - - - - - - - -
2010-04-20 15:36:10 OPEN TCP (Mon adresse IP) 81.52.251.112 1335 80 - - - - - - - - -
2010-04-20 15:36:10 CLOSE TCP (Mon adresse IP) 184.73.185.106 1334 80 - - - - - - - - -
2010-04-20 15:36:10 DROP TCP 184.73.185.106 (Mon adresse IP) 80 1334 430 AP 1774576030 309635275 6576 - - - RECEIVE
2010-04-20 15:36:10 DROP TCP 184.73.185.106 (Mon adresse IP) 80 1334 40 FA 1774576420 309635275 6576 - - - RECEIVE
2010-04-20 15:36:11 OPEN TCP (Mon adresse IP) 81.52.251.112 1336 80 - - - - - - - - -
2010-04-20 15:36:11 OPEN TCP (Mon adresse IP) 81.52.251.112 1337 80 - - - - - - - - -
2010-04-20 15:36:11 OPEN TCP (Mon adresse IP) 81.52.251.112 1338 80 - - - - - - - - -
2010-04-20 15:36:11 OPEN TCP (Mon adresse IP) 81.52.251.112 1339 80 - - - - - - - - -
2010-04-20 15:36:11 OPEN TCP (Mon adresse IP) 81.52.251.112 1340 80 - - - - - - - - -
2010-04-20 15:36:11 OPEN TCP (Mon adresse IP) 174.129.246.30 1341 80 - - - - - - - - -
2010-04-20 15:36:11 CLOSE TCP (Mon adresse IP) 174.129.246.30 1341 80 - - - - - - - - -
2010-04-20 15:36:11 DROP TCP 174.129.246.30 (Mon adresse IP) 80 1341 48 SA 1840611465 489689616 5840 - - - RECEIVE
2010-04-20 15:36:12 OPEN TCP (Mon adresse IP) 66.235.142.20 1342 80 - - - - - - - - -
2010-04-20 15:36:12 OPEN TCP (Mon adresse IP) 81.52.251.112 1343 80 - - - - - - - - -
2010-04-20 15:36:12 OPEN TCP (Mon adresse IP) 81.52.251.112 1344 80 - - - - - - - - -
2010-04-20 15:36:12 OPEN TCP (Mon adresse IP) 81.52.251.112 1345 80 - - - - - - - - -
2010-04-20 15:36:12 CLOSE TCP (Mon adresse IP) 81.52.251.112 1336 80 - - - - - - - - -
2010-04-20 15:36:12 DROP TCP 81.52.251.112 (Mon adresse IP) 80 1336 40 R 1371669699 0 0 - - - RECEIVE
2010-04-20 15:36:12 OPEN TCP (Mon adresse IP) 64.13.137.22 1346 443 - - - - - - - - -
2010-04-20 15:36:13 CLOSE TCP (Mon adresse IP) 81.52.251.112 1340 80 - - - - - - - - -
2010-04-20 15:36:13 DROP TCP 81.52.251.112 (Mon adresse IP) 80 1340 40 R 1374639935 0 0 - - - RECEIVE
2010-04-20 15:36:13 CLOSE TCP (Mon adresse IP) 81.52.251.112 1338 80 - - - - - - - - -
2010-04-20 15:36:13 DROP TCP 81.52.251.112 (Mon adresse IP) 80 1338 40 R 1367829460 0 0 - - - RECEIVE
2010-04-20 15:36:14 CLOSE TCP (Mon adresse IP) 64.13.137.22 1346 443 - - - - - - - - -
2010-04-20 15:36:15 DROP TCP 174.129.246.30 (Mon adresse IP) 80 1341 48 SA 1840611465 489689616 5840 - - - RECEIVE
2010-04-20 15:36:19 CLOSE TCP (Mon adresse IP) 81.52.251.112 1343 80 - - - - - - - - -
2010-04-20 15:36:19 CLOSE TCP (Mon adresse IP) 81.52.251.112 1345 80 - - - - - - - - -
2010-04-20 15:36:21 DROP TCP 174.129.246.30 (Mon adresse IP) 80 1341 48 SA 1840611465 489689616 5840 - - - RECEIVE
2010-04-20 15:36:21 CLOSE TCP (Mon adresse IP) 66.235.142.20 1342 80 - - - - - - - - -
2010-04-20 15:36:21 CLOSE UDP (Mon adresse IP) 212.27.40.240 59437 53 - - - - - - - - -
2010-04-20 15:36:21 CLOSE UDP (Mon adresse IP) 212.27.40.240 58480 53 - - - - - - - - -
2010-04-20 15:36:21 CLOSE UDP (Mon adresse IP) 212.27.40.240 60265 53 - - - - - - - - -
2010-04-20 15:36:21 DROP TCP 59.162.98.71 (Mon adresse IP) 6000 1433 44 S 617152512 0 16384 - - - RECEIVE
2010-04-20 15:36:29 CLOSE TCP (Mon adresse IP) 81.52.251.112 1344 80 - - - - - - - - -
2010-04-20 15:36:29 CLOSE TCP (Mon adresse IP) 81.52.251.112 1337 80 - - - - - - - - -
2010-04-20 15:36:29 CLOSE TCP (Mon adresse IP) 81.52.251.112 1339 80 - - - - - - - - -
2010-04-20 15:36:29 CLOSE TCP (Mon adresse IP) 81.52.251.112 1335 80 - - - - - - - - -
2010-04-20 15:36:29 CLOSE TCP (Mon adresse IP) 72.21.207.100 1303 80 - - - - - - - - -
2010-04-20 15:36:29 CLOSE TCP (Mon adresse IP) 72.21.207.164 1310 80 - - - - - - - - -
2010-04-20 15:36:29 CLOSE TCP (Mon adresse IP) 216.137.61.74 1311 80 - - - - - - - - -
2010-04-20 15:36:29 CLOSE TCP (Mon adresse IP) 216.137.61.74 1312 80 - - - - - - - - -
2010-04-20 15:36:33 DROP TCP 174.129.246.30 (Mon adresse IP) 80 1341 48 SA 1840611465 489689616 5840 - - - RECEIVE
2010-04-20 15:36:57 DROP TCP 174.129.246.30 (Mon adresse IP) 80 1341 48 SA 1840611465 489689616 5840 - - - RECEIVE
2010-04-20 15:37:21 CLOSE UDP (Mon adresse IP) 212.27.40.240 55303 53 - - - - - - - - -
2010-04-20 15:37:21 CLOSE UDP (Mon adresse IP) 212.27.40.240 53774 53 - - - - - - - - -
2010-04-20 15:37:21 CLOSE UDP (Mon adresse IP) 212.27.40.240 56428 53 - - - - - - - - -
2010-04-20 15:37:21 CLOSE UDP (Mon adresse IP) 212.27.40.240 60685 53 - - - - - - - - -
2010-04-20 15:37:21 CLOSE UDP (Mon adresse IP) 212.27.40.240 56262 53 - - - - - - - - -
2010-04-20 15:37:21 CLOSE UDP (Mon adresse IP) 212.27.40.240 65002 53 - - - - - - - - -
2010-04-20 15:37:21 CLOSE UDP (Mon adresse IP) 212.27.40.240 63632 53 - - - - - - - - -
2010-04-20 15:37:21 CLOSE UDP (Mon adresse IP) 212.27.40.240 52025 53 - - - - - - - - -
2010-04-20 15:38:21 CLOSE UDP (Mon adresse IP) 62.147.144.254 68 67 - - - - - - - - -
2010-04-20 15:38:56 INFO-EVENTS-LOST - - - - - - - - - - - - 14 -
Si je désactive l'accès distant, ça semble se calmer (mais je ne peux plus me connecter, évidemment). J'ai essayer de changer le port 3389, y a-t-il d'autres moyens de sécuriser ce truc ? Coté client, je n'ai pas d'IP fixe, donc pas moyen de filtrer sur ça.
Le coté rassurant, c'est que apparemment tout fonctionne normalement sur le poste, l'anti-virus ne détecte rien d'anormal, et je n'ai rien trouvé d'inquiétant en dehors de ça.
Qu'en pensez-vous ? C'est grave docteur ?