ben ouais, j'ai, pour la premiere fois en 2 ans, reçu un virus (en double !) par e-mail donc, je m'amuse avec ...
le fautif : un email intitulé "Your Documents" venant d'une des nombreuses adresses vers lesquelles j'ai 'démarché' mais dont l'ip ne correspond pas ...
premiere étape : Nmap sur l'ip : 81.80.167.30
QUOTE |
Starting nmap V. 3.00 ( http://www.insecure.org/nmap/ ) Warning: OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port Interesting ports on ncc-promotional.rain.fr (81.80.167.30): (The 1597 ports scanned but not shown below are in state: closed) Port State Service 135/tcp filtered loc-srv 137/tcp filtered netbios-ns 138/tcp filtered netbios-dgm 139/tcp filtered netbios-ssn Remote OS guesses: Axis 200+ Web Camera running OS v1.42, Cisco Catalyst 2820 Management Console, FlowPoint/2000 - 2200 SDSL Router (v1.2.3 - 3.0.4) or ASCOM Timeplex Access Router, DSL Router: Flowpoint 144/22XX v3.0.8 or SpeedStream 5851 v4.0.5.1, IBM MVS TCP/IP stack V. 3.2 or AIX 4.3.2, Windows 98SE + IE5.5sp1 Nmap run completed -- 1 IP address (1 host up) scanned in 11 seconds |
QUOTE |
morvan@debian:~$ dig ncc-promotional.rain.fr ; <<>> DiG 9.2.1 <<>> ncc-promotional.rain.fr ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 45932 ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 4, ADDITIONAL: 3 ;; QUESTION SECTION: ;ncc-promotional.rain.fr. IN A ;; ANSWER SECTION: ncc-promotional.rain.fr. 3303 IN A 81.80.128.121 ncc-promotional.rain.fr. 3303 IN A 194.250.69.14 ;; AUTHORITY SECTION: rain.fr. 2924 IN NS ns.transpac.net. rain.fr. 2924 IN NS bow.rain.fr. rain.fr. 2924 IN NS ns2.nic.fr. rain.fr. 2924 IN NS proof.rain.fr. ;; ADDITIONAL SECTION: bow.rain.fr. 82924 IN A 194.51.3.49 ns2.nic.fr. 86177 IN A 192.93.0.4 proof.rain.fr. 82924 IN A 194.51.3.65 ;; Query time: 84 msec ;; SERVER: 192.168.0.7#53(192.168.0.7) ;; WHEN: Mon Mar 1 17:22:58 2004 ;; MSG SIZE rcvd: 210 |
QUOTE |
Server: Apache/1.3.29 (Unix) PHP/4.3.2 |
Bientôt il va lire à la main les datagrammes qu'il reçoit...c'est beau un geek.
remarques, tant que je ne me retrouves pas avec une rj45 au cul ...
/me verifie discretement ...
j'ai un touret de câble presque pas entamer et un stock pas possible de prises RJ je peux t'arranger ca si tu veux Momo
Special dédicace to Momo : gémalokrane encore une fois
Y'a nmap 3.50
Mouhahaha !! Il est terrible !!
bon, mon av mis à jour viens enfin de d'identifier le virus en question : Worm Netsky.D, un petit nouveau faisant du mass mailing, utilisant le carnet d'adresse de la machine infecté et faisant beeper le pc infecté le 2 mars de 6 heure à 9 heure ...
donc si demain il est encore là, je monte un "dossier" que j'envoie au ... qui sert d'admin sur le domaine en question ...
Je vais faire un virus qui reboot la machine le 4 juin à 2 heure moi...
Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)