[Bureau à distance] suis-je la cible d'une attaque ?

Bonjour,

J'ai un ordi (Windows XP Pro, updates à jour) dont je ne me sert qu'en accès distant (remote desktop). Depuis quelques jours, j'ai constaté une activité anormale du disque (alors que je n'étais pas connecté). En fouillant un peu, j'ai trouvé des erreurs systèmes assez alarmistes dans l'observateur d'événements:

Citation:

Le serveur Terminal Server a reçu un grand nombre de connexions non complètes. Le système peut faire l'objet d'une attaque.

Et celle-là toutes les deux minutes environ:

Citation:

Le composant X.224 du protocole RDP a détecté une erreur dans le flux du protocole et a déconnecté le client.

Et dans les logs du firewall (plus de 2 mégas d'erreurs, une erreur à la seconde environ, j'ai mis que les derniers) :

Citation:

2010-04-20 15:36:02 CLOSE TCP (Mon adresse IP) 66.235.142.20 1319 80 - - - - - - - - -
2010-04-20 15:36:09 CLOSE TCP (Mon adresse IP) 174.129.246.30 1333 80 - - - - - - - - -
2010-04-20 15:36:10 OPEN TCP (Mon adresse IP) 184.73.185.106 1334 80 - - - - - - - - -
2010-04-20 15:36:10 OPEN TCP (Mon adresse IP) 81.52.251.112 1335 80 - - - - - - - - -
2010-04-20 15:36:10 CLOSE TCP (Mon adresse IP) 184.73.185.106 1334 80 - - - - - - - - -
2010-04-20 15:36:10 DROP TCP 184.73.185.106 (Mon adresse IP) 80 1334 430 AP 1774576030 309635275 6576 - - - RECEIVE
2010-04-20 15:36:10 DROP TCP 184.73.185.106 (Mon adresse IP) 80 1334 40 FA 1774576420 309635275 6576 - - - RECEIVE
2010-04-20 15:36:11 OPEN TCP (Mon adresse IP) 81.52.251.112 1336 80 - - - - - - - - -
2010-04-20 15:36:11 OPEN TCP (Mon adresse IP) 81.52.251.112 1337 80 - - - - - - - - -
2010-04-20 15:36:11 OPEN TCP (Mon adresse IP) 81.52.251.112 1338 80 - - - - - - - - -
2010-04-20 15:36:11 OPEN TCP (Mon adresse IP) 81.52.251.112 1339 80 - - - - - - - - -
2010-04-20 15:36:11 OPEN TCP (Mon adresse IP) 81.52.251.112 1340 80 - - - - - - - - -
2010-04-20 15:36:11 OPEN TCP (Mon adresse IP) 174.129.246.30 1341 80 - - - - - - - - -
2010-04-20 15:36:11 CLOSE TCP (Mon adresse IP) 174.129.246.30 1341 80 - - - - - - - - -
2010-04-20 15:36:11 DROP TCP 174.129.246.30 (Mon adresse IP) 80 1341 48 SA 1840611465 489689616 5840 - - - RECEIVE
2010-04-20 15:36:12 OPEN TCP (Mon adresse IP) 66.235.142.20 1342 80 - - - - - - - - -
2010-04-20 15:36:12 OPEN TCP (Mon adresse IP) 81.52.251.112 1343 80 - - - - - - - - -
2010-04-20 15:36:12 OPEN TCP (Mon adresse IP) 81.52.251.112 1344 80 - - - - - - - - -
2010-04-20 15:36:12 OPEN TCP (Mon adresse IP) 81.52.251.112 1345 80 - - - - - - - - -
2010-04-20 15:36:12 CLOSE TCP (Mon adresse IP) 81.52.251.112 1336 80 - - - - - - - - -
2010-04-20 15:36:12 DROP TCP 81.52.251.112 (Mon adresse IP) 80 1336 40 R 1371669699 0 0 - - - RECEIVE
2010-04-20 15:36:12 OPEN TCP (Mon adresse IP) 64.13.137.22 1346 443 - - - - - - - - -
2010-04-20 15:36:13 CLOSE TCP (Mon adresse IP) 81.52.251.112 1340 80 - - - - - - - - -
2010-04-20 15:36:13 DROP TCP 81.52.251.112 (Mon adresse IP) 80 1340 40 R 1374639935 0 0 - - - RECEIVE
2010-04-20 15:36:13 CLOSE TCP (Mon adresse IP) 81.52.251.112 1338 80 - - - - - - - - -
2010-04-20 15:36:13 DROP TCP 81.52.251.112 (Mon adresse IP) 80 1338 40 R 1367829460 0 0 - - - RECEIVE
2010-04-20 15:36:14 CLOSE TCP (Mon adresse IP) 64.13.137.22 1346 443 - - - - - - - - -
2010-04-20 15:36:15 DROP TCP 174.129.246.30 (Mon adresse IP) 80 1341 48 SA 1840611465 489689616 5840 - - - RECEIVE
2010-04-20 15:36:19 CLOSE TCP (Mon adresse IP) 81.52.251.112 1343 80 - - - - - - - - -
2010-04-20 15:36:19 CLOSE TCP (Mon adresse IP) 81.52.251.112 1345 80 - - - - - - - - -
2010-04-20 15:36:21 DROP TCP 174.129.246.30 (Mon adresse IP) 80 1341 48 SA 1840611465 489689616 5840 - - - RECEIVE
2010-04-20 15:36:21 CLOSE TCP (Mon adresse IP) 66.235.142.20 1342 80 - - - - - - - - -
2010-04-20 15:36:21 CLOSE UDP (Mon adresse IP) 212.27.40.240 59437 53 - - - - - - - - -
2010-04-20 15:36:21 CLOSE UDP (Mon adresse IP) 212.27.40.240 58480 53 - - - - - - - - -
2010-04-20 15:36:21 CLOSE UDP (Mon adresse IP) 212.27.40.240 60265 53 - - - - - - - - -
2010-04-20 15:36:21 DROP TCP 59.162.98.71 (Mon adresse IP) 6000 1433 44 S 617152512 0 16384 - - - RECEIVE
2010-04-20 15:36:29 CLOSE TCP (Mon adresse IP) 81.52.251.112 1344 80 - - - - - - - - -
2010-04-20 15:36:29 CLOSE TCP (Mon adresse IP) 81.52.251.112 1337 80 - - - - - - - - -
2010-04-20 15:36:29 CLOSE TCP (Mon adresse IP) 81.52.251.112 1339 80 - - - - - - - - -
2010-04-20 15:36:29 CLOSE TCP (Mon adresse IP) 81.52.251.112 1335 80 - - - - - - - - -
2010-04-20 15:36:29 CLOSE TCP (Mon adresse IP) 72.21.207.100 1303 80 - - - - - - - - -
2010-04-20 15:36:29 CLOSE TCP (Mon adresse IP) 72.21.207.164 1310 80 - - - - - - - - -
2010-04-20 15:36:29 CLOSE TCP (Mon adresse IP) 216.137.61.74 1311 80 - - - - - - - - -
2010-04-20 15:36:29 CLOSE TCP (Mon adresse IP) 216.137.61.74 1312 80 - - - - - - - - -
2010-04-20 15:36:33 DROP TCP 174.129.246.30 (Mon adresse IP) 80 1341 48 SA 1840611465 489689616 5840 - - - RECEIVE
2010-04-20 15:36:57 DROP TCP 174.129.246.30 (Mon adresse IP) 80 1341 48 SA 1840611465 489689616 5840 - - - RECEIVE
2010-04-20 15:37:21 CLOSE UDP (Mon adresse IP) 212.27.40.240 55303 53 - - - - - - - - -
2010-04-20 15:37:21 CLOSE UDP (Mon adresse IP) 212.27.40.240 53774 53 - - - - - - - - -
2010-04-20 15:37:21 CLOSE UDP (Mon adresse IP) 212.27.40.240 56428 53 - - - - - - - - -
2010-04-20 15:37:21 CLOSE UDP (Mon adresse IP) 212.27.40.240 60685 53 - - - - - - - - -
2010-04-20 15:37:21 CLOSE UDP (Mon adresse IP) 212.27.40.240 56262 53 - - - - - - - - -
2010-04-20 15:37:21 CLOSE UDP (Mon adresse IP) 212.27.40.240 65002 53 - - - - - - - - -
2010-04-20 15:37:21 CLOSE UDP (Mon adresse IP) 212.27.40.240 63632 53 - - - - - - - - -
2010-04-20 15:37:21 CLOSE UDP (Mon adresse IP) 212.27.40.240 52025 53 - - - - - - - - -
2010-04-20 15:38:21 CLOSE UDP (Mon adresse IP) 62.147.144.254 68 67 - - - - - - - - -
2010-04-20 15:38:56 INFO-EVENTS-LOST - - - - - - - - - - - - 14 -

Si je désactive l'accès distant, ça semble se calmer (mais je ne peux plus me connecter, évidemment). J'ai essayer de changer le port 3389, y a-t-il d'autres moyens de sécuriser ce truc ? Coté client, je n'ai pas d'IP fixe, donc pas moyen de filtrer sur ça.

Le coté rassurant, c'est que apparemment tout fonctionne normalement sur le poste, l'anti-virus ne détecte rien d'anormal, et je n'ai rien trouvé d'inquiétant en dehors de ça.

Qu'en pensez-vous ? C'est grave docteur ?

Salut,
La log que tu as mis ne sert à rien :aie: Il n'y a que du traffic web (http+dns).

Utiliser remote desktop (à destination d'un xp) sur internet n'est pas ce qu'il y a de plus sécurisé :? Tu pourras changer ton port rdp mais il suffira d'un nouveau scan sur ton ordi pour savoir quels ports sont ouverts et tester les recettes de cuisine sur chaque port. Je te conseille plutôt une solution de type logmein : pas besoin d'ouvrir de port donc ton ordi ne sera pas attaquable par le bureau à distance ;)

En revanche, c'est bizarre que ton disque se mette à gratter lors des supposées attaques : il faudrait sortir le gestionnaire des tâches pour voir s'il n'y a pas une application qui s'amuse ;)

Changer le port reste tout de même utile dans le sens ou peu de gens (Monsieur et Madame Tout-le-monde quoi) ne pense pas le faire et que les "scanneurs" se content juste d'un scan sur le port régulier.

Et, si ça peut servir à quelqu'un, il suffit de modifier une clef dans le registre :
Code:

1 2 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber
Cf le KB de Microsoft

Citation:

Envoyé par Michaël

En revanche, c'est bizarre que ton disque se mette à gratter lors des supposées attaques : il faudrait sortir le gestionnaire des tâches pour voir s'il n'y a pas une application qui s'amuse ;)

Il y avait les processus jqs.exe (j'ai désactivé le service) et lsass.exe (normal, c'est lui qui gère les connexions)

Citation:

Envoyé par Benj.

Et, si ça peut servir à quelqu'un, il suffit de modifier une clef dans le registre :

Et, si ça peut servir à quelqu'un: ne soyez pas aussi stupide que moi et ne le faites pas à distance. Le firewall n'étant pas au courant du changement, j'imagine qu'il doit maintenant y avoir à l'écran une boîte de dialogue: "Voulez-vous autoriser le programme ... à utiliser le port ...". Mais vu que je suis à 600 km de là, je ne le saurait que quand je reviendrais. Pour l'instant, je suis à l'abri d'une attaque, plus personne ne peut se connecter... même pas moi. C'est digne du bêtisier, ça, heureusement qu'il n'y a rien de vital sur ce poste :D . La suite au prochain épisode. Merci de vos conseils avisés.