pfSense Support Subscription

Author Topic: Recherche de malware  (Read 147 times)

0 Members and 1 Guest are viewing this topic.

Offline gaelds

  • Newbie
  • *
  • Posts: 3
  • Karma: +0/-0
    • View Profile
Recherche de malware
« on: October 11, 2017, 05:30:48 am »
Bonjour,
J'ai un ou plusieurs PC sur notre réseau infecté par le trojan ZeroAccess, et j'aimerais donc identifier lesquels. J'ai lu qu'il fallait bloquer les ports UDP : 16464, 16465, 16470, 16471. J'ai donc créer une règle qui bloque les ports de 16464 à 16471 en activant les logs. Mais ensuite je ne trouve pas où vérifier les logs de cette règle ...?

Offline chris4916

  • Hero Member
  • *****
  • Posts: 1745
  • Karma: +85/-11
    • View Profile
Re: Recherche de malware
« Reply #1 on: October 11, 2017, 06:53:17 am »
Puisque tu as, à juste titre, activé le log au niveau de la règle, tu peux maintenant aller voir dans le log du fw (status/system/Fw) et même faire un filtre sur les ports utilisés

Offline gaelds

  • Newbie
  • *
  • Posts: 3
  • Karma: +0/-0
    • View Profile
Re: Recherche de malware
« Reply #2 on: October 11, 2017, 07:01:03 am »
Ok merci pour la réponse rapide. C’est ce que je fais d’habitude mais je ne vois rien concernant ces ports. Et comme je suis toujours à zéro sur cette règle dans la colonne « States », je suppose que soit la règle n’est pas correcte, soit le PC infecté n’est pas allumé… ?

Offline ccnet

  • Hero Member
  • *****
  • Posts: 2777
  • Karma: +35/-11
    • View Profile
Re: Recherche de malware
« Reply #3 on: October 11, 2017, 08:13:41 am »
Ou bien les éventements sont trop anciens et pas conservés dans les logs du firewall ...

Offline chris4916

  • Hero Member
  • *****
  • Posts: 1745
  • Karma: +85/-11
    • View Profile
Re: Recherche de malware
« Reply #4 on: October 11, 2017, 08:52:09 am »
Ou bien encore qu'une autre règle en amont s'applique avant celle ci qui reste donc à 0.
L'ordre des règles à une importance capitale, dans tous les cas

Offline gaelds

  • Newbie
  • *
  • Posts: 3
  • Karma: +0/-0
    • View Profile
Re: Recherche de malware
« Reply #5 on: October 11, 2017, 09:57:34 am »
La règle est en haut, je vais revérifier sur plusieurs jours , ce ne serait pas étonnant que le ou les PC soient éteints aujourd'hui mercredi (établissement scolaire).

Offline jdh

  • Hero Member
  • *****
  • Posts: 1669
  • Karma: +43/-11
    • View Profile
Re: Recherche de malware
« Reply #6 on: October 11, 2017, 11:30:24 am »
Ce forum n'est pas conçu pour apporter de l'aide à la désinstallation ou la détection de virus : il y a d'autres forums pour cela.
Les questions posées ne semblent pas avoir été vraiment cherché : les logs de base se trouvent aisément !

Le seul intérêt de ce fil est de rappeler les nécessaires (et professionnelles) bonnes pratiques :
- il faut créer des règles pour tous les flux sortants sur chaque interface : LAN, WIFI, ...
- les utilisateurs de PC sur un réseau professionnel ne doivent pas être administrateurs locaux (c'est mon cas p.e.).
- les PC doivent avoir les outils habituels antivirus et firewall actifs et à jour, et ils doivent être à jour de mise à jour Windows.
- les flux habituels de navigation et de mail doivent être particulièrement surveillés et contrôlés.


Le virus indiqué est particulièrement ancien ! Il est surprenant de voir ce type de malware encore en circulation ...
Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

Offline Philolaus

  • Newbie
  • *
  • Posts: 1
  • Karma: +0/-0
    • View Profile
Re: Recherche de malware
« Reply #7 on: October 12, 2017, 10:25:20 am »
Peut-être que votre problème est le suivant: Cleanserp n’est qu’une des nombreuses applications imposteurs qui circulent sur Internet. Sa conception soignée semble s’aligner avec les meilleures pratiques de provision de recherche sur Internet, mais le mode d’installation et les traits de comportement trahissent sa vraie nature. Les utilisateurs infectés par ce PUP sont incapables d’appliquer leurs paramètres en ligne personnalisés, de sorte qu’ils doivent endurer le service d’escrocerie de Cleanserp.net qui remplace la page d’accueil, le moteur de recherche par défaut et la nouvelle page d’onglet sans demander clairement l’autorisation.
http://webera.fr/cleanserp/

Offline jdh

  • Hero Member
  • *****
  • Posts: 1669
  • Karma: +43/-11
    • View Profile
Re: Recherche de malware
« Reply #8 on: October 12, 2017, 11:21:00 am »
Ce forum n'est pas là pour détecter, éradiquer les virus, ni pour faire la pub de son site ... Point
Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)