gargamel01000 Posté(e) le 23 janvier 2015 Signaler Posté(e) le 23 janvier 2015 Bonsoir à tous, Ma maison étant en cours de construction, j'ai connecté ma HC2 au bureau pour tester ses fonctionnalités et ses possibilités. Et quelle fut ma surprise en voyant que mes firewalls (des stormshield SN500 tous neuf) me detectent un malware en sortie de ma HC2. Il s'agit du malware Pitty Tiger un logiciel d'infiltration et d'espionnage. Voici une copie d'écran vous en pensez quoi ?
Lazer Posté(e) le 23 janvier 2015 Signaler Posté(e) le 23 janvier 2015 Hum T'as pas un autre IDS pour valider que le flux intercepté n'est pas un faux positif ? C'est flippant quand même...
Krikroff Posté(e) le 24 janvier 2015 Signaler Posté(e) le 24 janvier 2015 je vais suivre le sujet avec beaucoup d'attention mais pour moi c'est un faux positif. http://ml.fibaro.com/saveMLUser.php 1404550869.756 192.168.0.x TCP_MISS/200 221 GET http://ml.fibaro.com/get_ml.php? - DIRECT/109.95.152.167 text/html 1404550869.765 192.168.0.x NONE/417 4668 POST http://ml.fibaro.com/saveMLUser.php - NONE/- text/html 1404550869.769 192.168.0.x NONE/417 4668 POST http://ml.fibaro.com/saveMLUser.php - NONE/- text/html 1404550869.773 192.168.0.x NONE/417 4668 POST http://ml.fibaro.com/saveMLUser.php - NONE/- text/html Le HC2 balance des requêtes en méthode POST sur les serveurs Fibaro, mais pour envoyer quoi comme informations ?
fdp2 Posté(e) le 24 janvier 2015 Signaler Posté(e) le 24 janvier 2015 Quoi que ce soit, ça ne me plait pas des masse que la box envoie des infos chez fibaro... Krikroff : a quoi correspondent ces reqêtes ? Où as tu récupéré ces infos ?
Nico Posté(e) le 24 janvier 2015 Signaler Posté(e) le 24 janvier 2015 Bah pour moi cela parait logique, elle doit déjàenvoyer une sorte de keep alive avec son IP public, pour que la partie Remonte fonctionne. Sinon le home.fibaro ne pourrait pas fonctionner... Pareil pour les users/mot de passe, une fois qu'on est sur home.fibaro, nos comptes créés localement fonctionne, donc ils doivent bien remonter sur leur serveur.
NetIPSO Posté(e) le 24 janvier 2015 Signaler Posté(e) le 24 janvier 2015 wow je viens de regarder toutes les requêtes DNS de la fibaro , voila ce que ca donne.... en moins de 5 secondes ! c'est en continue... client 192.168.1.62#39863: query: www.google.com IN A + (192.168.1.10) client 192.168.1.62#57313: query: 99.24.125.74.in-addr.arpa IN PTR + (192.168.1.10) client 192.168.1.62#54058: query: www.google.com IN A + (192.168.1.10) client 192.168.1.62#34929: query: 147.24.125.74.in-addr.arpa IN PTR + (192.168.1.10) client 192.168.1.62#59471: query: www.google.com IN A + (192.168.1.10) client 192.168.1.62#41013: query: 106.24.125.74.in-addr.arpa IN PTR + (192.168.1.10) client 192.168.1.62#45058: query: www.google.com IN A + (192.168.1.10) client 192.168.1.62#60354: query: 105.24.125.74.in-addr.arpa IN PTR + (192.168.1.10) client 192.168.1.62#51803: query: www.google.com IN A + (192.168.1.10) client 192.168.1.62#35991: query: 104.24.125.74.in-addr.arpa IN PTR + (192.168.1.10) client 192.168.1.62#35784: query: www.google.com IN A + (192.168.1.10) client 192.168.1.62#53065: query: 103.24.125.74.in-addr.arpa IN PTR + (192.168.1.10) client 192.168.1.62#54164: query: www.google.com IN A + (192.168.1.10) client 192.168.1.62#59221: query: 99.24.125.74.in-addr.arpa IN PTR + (192.168.1.10) client 192.168.1.62#53169: query: www.google.com IN A + (192.168.1.10) client 192.168.1.62#59151: query: 147.24.125.74.in-addr.arpa IN PTR + (192.168.1.10) client 192.168.1.62#32952: query: www.google.com IN A + (192.168.1.10) client 192.168.1.62#47983: query: 106.24.125.74.in-addr.arpa IN PTR + (192.168.1.10) client 192.168.1.62#35128: query: www.google.com IN A + (192.168.1.10) client 192.168.1.62#58929: query: 105.24.125.74.in-addr.arpa IN PTR + (192.168.1.10) client 192.168.1.62#44610: query: www.google.com IN A + (192.168.1.10) client 192.168.1.62#50698: query: 104.24.125.74.in-addr.arpa IN PTR + (192.168.1.10) client 192.168.1.62#44137: query: www.google.com IN A + (192.168.1.10) client 192.168.1.62#40783: query: 103.24.125.74.in-addr.arpa IN PTR + (192.168.1.10) client 192.168.1.62#36297: query: www.google.com IN A + (192.168.1.10) client 192.168.1.62#52663: query: 99.24.125.74.in-addr.arpa IN PTR + (192.168.1.10) client 192.168.1.62#54886: query: www.google.com IN A + (192.168.1.10) client 192.168.1.62#54623: query: 147.24.125.74.in-addr.arpa IN PTR + (192.168.1.10) client 192.168.1.62#35168: query: www.google.com IN A + (192.168.1.10) client 192.168.1.62#59220: query: 106.24.125.74.in-addr.arpa IN PTR + (192.168.1.10) client 192.168.1.62#35030: query: www.google.com IN A + (192.168.1.10) client 192.168.1.62#40832: query: 105.24.125.74.in-addr.arpa IN PTR + (192.168.1.10) client 192.168.1.62#54101: query: www.google.com IN A + (192.168.1.10) client 192.168.1.62#45118: query: 104.24.125.74.in-addr.arpa IN PTR + (192.168.1.10) client 192.168.1.62#53712: query: www.google.com IN A + (192.168.1.10) client 192.168.1.62#43310: query: 103.24.125.74.in-addr.arpa IN PTR + (192.168.1.10) client 192.168.1.62#48785: query: www.google.com IN A + (192.168.1.10) client 192.168.1.62#59555: query: 99.24.125.74.in-addr.arpa IN PTR + (192.168.1.10) client 192.168.1.62#35323: query: www.google.com IN A + (192.168.1.10) client 192.168.1.62#60638: query: 147.24.125.74.in-addr.arpa IN PTR + (192.168.1.10) client 192.168.1.62#60519: query: www.google.com IN A + (192.168.1.10) client 192.168.1.62#34655: query: 106.24.125.74.in-addr.arpa IN PTR + (192.168.1.10) client 192.168.1.62#60825: query: www.google.com IN A + (192.168.1.10) client 192.168.1.62#47557: query: 105.24.125.74.in-addr.arpa IN PTR + (192.168.1.10) client 192.168.1.62#51029: query: www.google.com IN A + (192.168.1.10) client 192.168.1.62#52278: query: 104.24.125.74.in-addr.arpa IN PTR + (192.168.1.10) client 192.168.1.62#52265: query: www.google.com IN A + (192.168.1.10) client 192.168.1.62#52297: query: 103.24.125.74.in-addr.arpa IN PTR + (192.168.1.10) client 192.168.1.62#59041: query: www.google.com IN A + (192.168.1.10) client 192.168.1.62#45521: query: 99.24.125.74.in-addr.arpa IN PTR + (192.168.1.10) client 192.168.1.62#41589: query: www.google.com IN A + (192.168.1.10) client 192.168.1.62#41616: query: 147.24.125.74.in-addr.arpa IN PTR + (192.168.1.10) client 192.168.1.62#41052: query: www.google.com IN A + (192.168.1.10) client 192.168.1.62#59726: query: 106.24.125.74.in-addr.arpa IN PTR + (192.168.1.10)
Bono2007 Posté(e) le 24 janvier 2015 Signaler Posté(e) le 24 janvier 2015 Warning: mysql_connect() [function.mysql-connect]: Host 'v167.c3.dhosting.pl' is blocked because of many connection errors; unblock with 'mysqladmin flush-hosts' in /home/klient.dhosting.pl/fibargroup4/ml.fibaro.com/public_html/saveMLUser.php on line 8DB error Juste une base de donnée à priori pour effectivement faire le lien entre home.fibaro.com et la box.
gargamel01000 Posté(e) le 24 janvier 2015 Auteur Signaler Posté(e) le 24 janvier 2015 J'ai oublié de vous dire que ma connection a distance fonctionne parfaitement, meme si mo firewall bloque les requêtes.
Shad Posté(e) le 24 janvier 2015 Signaler Posté(e) le 24 janvier 2015 Il n'y a rien dans le ficher saveMLuser.php array(0) {} et 0 caractere dans le get Pour moi ce n'est rien de grave.
NetIPSO Posté(e) le 24 janvier 2015 Signaler Posté(e) le 24 janvier 2015 voila ce qui est envoyer chez figaro : J'ai bien sur enlevé les informations perso pour les users déclare admin et xxxx PK_AccessPoint=HC2-XXXXXX_Key=XX..XXuserID=144userName=USERNAMEinterval=20 Pour j'ai créer un fichier php : cat saveMLUser.php <?php $fp = fopen ("info.txt", "w+"); foreach($_POST as $key=>$value) { fwrite ($fp, "$key=$value"); } fclose ($fp); ?> et une modification de mon dns perso qui revois tous ml.fibaro.com sur mon serveur local...
Berale64 Posté(e) le 24 janvier 2015 Signaler Posté(e) le 24 janvier 2015 Je comprends pourquoi la petite loupiote de ma LiveBox clignote en permanence depuis que j'ai une Fibaro.
fdp2 Posté(e) le 24 janvier 2015 Signaler Posté(e) le 24 janvier 2015 @Netipso : j'ai pas vraiment compris a quoi correspondent les infos que tu as remplacé par des xxx ? Id de ta box ? Password ? Envoyé de mon SM-G900F en utilisant Tapatalk
NetIPSO Posté(e) le 24 janvier 2015 Signaler Posté(e) le 24 janvier 2015 effectivement il y a l'ID de la BOX ainsi que la clef pour la connection distante (enfin je suppose) les ID des users ainsi que leur Noms. il y a également en parallèle une requête vers http://www.realip.info qui permet d'avoir votre IP ainsi qu'une pseudo localisation.
Lazer Posté(e) le 24 janvier 2015 Signaler Posté(e) le 24 janvier 2015 @NetIPSO : Concernant les requêtes vers Google, c'est le script de détection de connexion àInternet, qui permet d'allumer la diode en façade. Rien d'anormal de ce coté là.
Nico Posté(e) le 24 janvier 2015 Signaler Posté(e) le 24 janvier 2015 Donc c'est bien ce que je pensais plus haut, c'est simplement pour pouvoir faire fonctionner le home.fibaro.
NetIPSO Posté(e) le 24 janvier 2015 Signaler Posté(e) le 24 janvier 2015 effectivement je pense que c'est pour le home.fibaro. Ok pour la requête google... enfin un requête / seconde ca me parait exagérer pour une detection a internet... puis quid des requêtes vers les IP 74.125.24.XX des IP également fournis par google, a quoi servent elles ?
XSRomano Posté(e) le 23 février 2015 Signaler Posté(e) le 23 février 2015 bonjour les jeunes des news alors ca craint ou pas ? on doit bloquer sur son FW? @+ XSR
Messages recommandés