Lorenzo Posté(e) le 22 mars 2018 Signaler Posté(e) le 22 mars 2018 Hello, Mon firewall me fait remarquer que toutes les heures j'ai une detection d'un Trojan sur le serveur Fibaro: ET CNC Zeus Tracker reported vers la destination 103.224.212.222 (Australia). Cela vous dit quelque chose?
jojo Posté(e) le 22 mars 2018 Signaler Posté(e) le 22 mars 2018 tu as beaucoup de modules / scènes / VDs ?
schwinny Posté(e) le 27 mars 2018 Signaler Posté(e) le 27 mars 2018 pour voir si une serait pas vérolé je pense...
jojo Posté(e) le 27 mars 2018 Signaler Posté(e) le 27 mars 2018 je me disais un petit recovery avec réinstall from scratch (c'est l'équivalent d'un format c:) Mais avant de tout réinstaller, un bon backup sur ta clé, puis copie de ton répertoire /backups sur ton PC. Et tu en profite pour faire tourner ton anti-virus sur ta clé Si pas le virus dans répertoire /backups => cool. si virus ailleurs =>tu remets sur la clé l'image que je partage dans ma signature puis tu y remets le contenu de ton répertoire /backups. Ensuite : Recovery COMPLET upgrade jusqu'à la dernière version backup à vide (pour régénérer la liste des backups disponibles) restore de ton backup Ce que tu auras perdu dans l'histoire : du temps tes icônes
Lorenzo Posté(e) le 27 mars 2018 Auteur Signaler Posté(e) le 27 mars 2018 ok. c'est pas cool en effet. J'ai pas trop le temps pour le moment. donc je laisse ainsi. Faire un reset complet depuis une autre image , cela me fait peur. Je ne l'ai jamais fait. Si je desactive tous les scenes, VDs, et je les rouvre pas à pas, est ce aussi une option? ou bien le virus est à la racine de la clé?
jojo Posté(e) le 27 mars 2018 Signaler Posté(e) le 27 mars 2018 désactiver les scènes, VD n'est pas une option, car si le virus est là que la scène ou le VD soit actif ou pas, le virus sera toujours présent. De plus, je pense que ton virus est sur la box, pas sur la clé. Pour en avoir le coeur net, mets ta clé dans un PC, et analyse là avec ton anti-virus. Tu peux la retirer alors que la box est up, car depuis quelques version du FW, il démonte la clé quand il n'en n'a pas besoin. Donc tu pourras valider que tu as toujours ton virus sur ta HC2, même sans la clé. Fait déjà cette analyse (qui te demandera peu de temps) et qui est SANS risque / difficulté, puis on verra quoi faire.
mprinfo Posté(e) le 27 mars 2018 Signaler Posté(e) le 27 mars 2018 On peut aussi utilisé un livecd que l'on installe sur une clé USB afin de scanner la clé interne mais j'ai un doute pour le virus la box est sous linuxEnvoyé de mon Smartphone ANDROID
schwinny Posté(e) le 27 mars 2018 Signaler Posté(e) le 27 mars 2018 Et ? il me semble que ca tourne sous une vieille debian obsolete... non ? un exploit est possible
Nico Posté(e) le 27 mars 2018 Signaler Posté(e) le 27 mars 2018 Bloque déjà le port en question en sortie. Et après comme, recovery et basta, tu ne perdras que tes icônes.
mprinfo Posté(e) le 28 mars 2018 Signaler Posté(e) le 28 mars 2018 Et ? il me semble que ca tourne sous une vieille debian obsolete... non ? un exploit est possible Oui la box est sous debian 6Envoyé de mon Smartphone ANDROID
Lorenzo Posté(e) le 28 mars 2018 Auteur Signaler Posté(e) le 28 mars 2018 ok. je ferai ce test mais pour le moment je suis loin de ma box. je ferai cela à mon retour. Je crains en effet que si virus y a c'est sur la box qui tourne en Linux.Comment cela pourrait il se faire? pour l'instant, mon firewall drop les messages. Est ce suffisant pour etre protégé ou ? J'ai pas vu dans le message le port qui est attaqué mais je vais creuser. Merci à vous
schwinny Posté(e) le 28 mars 2018 Signaler Posté(e) le 28 mars 2018 peux tu mettre une copie d'écran des logs de ton firewall stp ?
ADN182 Posté(e) le 31 mars 2018 Signaler Posté(e) le 31 mars 2018 C'est quoi ton firewall Lorenzo ? L'avantage c'est qu'il a réussi à le tracker mais potentiellement peut être d'autres personne on le problème.Envoyé de mon Nexus 5X en utilisant Tapatalk 1
ADN182 Posté(e) le 31 mars 2018 Signaler Posté(e) le 31 mars 2018 (modifié) Je viens de rechercher dans les logs de mon Asus. Et j'ai m'a HC2 qui dialogue avec cette IP, je vais mettre un règle de blocage le temps de trouvé de ou cela vient. Effectivement n'a pas l'air d'être un bon site... :s Modifié le 31 mars 2018 par ADN182 2
ADN182 Posté(e) le 31 mars 2018 Signaler Posté(e) le 31 mars 2018 (modifié) Quelques troubleshoot plus tard : Je ne sais pas encore à quoi correspond le PluginManager (si ça vient d'un plugin fibaro ou autre). Edit : Trouvé, il sagit d'un VD de check internet qui va sur www.realip.info qui correspond à l'ip 103.224.212.222 @Lorenzo Tu sais nous dire si tu dispose de ce VD ? Modifié le 31 mars 2018 par ADN182
Lorenzo Posté(e) le 6 avril 2018 Auteur Signaler Posté(e) le 6 avril 2018 Moi aussi j ai bloque la sortie vers cette addresse ip. Oui j utilise le VD CheckInternet. C est donc bien ce VD qui en est responsable. Vu le msg mc afee et celui du firewall de mon routeur SynologySRM j imagine que ce ne est pas une machine bienveillante... Envoyé de mon SM-N950F en utilisant Tapatalk
Lazer Posté(e) le 7 avril 2018 Signaler Posté(e) le 7 avril 2018 C'est peut être tout simplement que sur le même serveur mutualisé, tourne le site permettant de faire le Check Internet, et le site douteux Et ton firewall ne sait pas faire la différence. Les firewalls commerciaux aiment bien faire du zèle et préfèrent signaler des fausses alertes plutôt que d'en louper, afin de justifier leur utilité et la dépense effectuée par l'utilisateur.... Perso je n'ai jamais aimé ces outils commerciaux.... m'enfin chacun fait comme il veut
Messages recommandés