PhenIXUS

[rico17]

Bonjour,

Présentation du système
Ipcop 2:
Red PPPOE : ippublique
GREEN : 192.168.0.254

Sur les journaux du pare feu j'ai des connexions entrantes UDP ppp0 qui ont toutes comme destination mon IP publique sur le(s) ports 16465 et 16464, par contre les ip entrantes changent tous le temps donc impossible de bloquer en entrée, visiblement dues à un trojan du type zeroconnect ou approchant.
Je n'arrive pour l'instant pas à trouver l'origine de l'infection, et je souhaiterais via IPCOP bloquer le traffic en sortie vers ses ports, en attendant de trouver une solution définitive car je suis blacklisté chez CBL et Spamhaus zen à cause de cela.
Je suis preneur de toute piste à la fois pour bloquer les ports en sortie et pour identifier le ou les pC infectés.
je vous remercie par avance.

[jdh]

Il y a quelques confusions :
- connexions entrantes UDP ppp0 -> connexions entrantes sur port 16464-16465/udp
- je suis blacklisté chez CBL et Spamhaus zen à cause de cela -> non ! CBL et Spamhaus blackliste les ip ayant émis des mails notés spam.

Il est "normal" qu'une ip publique subisse des connexions entrantes, à commencer par les légitimes !
Un firewall normalement configuré doit rejeter (REJECT) ou oublier (DROP) la connexion entrante. Bien comprendre la différence et faire le bon choix !

L'ip source du trafic est sans doute forgée (c'est à dire fausse) : le "sans doute" peut être "sûrement".
Donc il y a peu de chance de trouver l'ip réelle source.

Il n'y a qu'une seul règle : ouvrir le moins de ports possibles (et limiter même les ports à des ip connues).

[rico17]

Déja merci pour ta réponse cependant ci-dessous, le résultat du CBL Lookup Utility, et spamhaus incémente sa liste avec CBL.

IP Address 62.160.x.x is listed in the CBL. It appears to be infected with a spam sending trojan, proxy or some other form of botnet.
It was last detected at 2013-10-28 14:00 GMT (+/- 30 minutes), approximately 1 days, 1 hours ago.
It has been relisted following a previous removal at 2013-06-06 15:07 GMT (144 days, 23 hours, 32 minutes ago)
This IP address is infected with, or is NATting for a machine infected with the ZeroAccess botnet, also known as Sirefef. More information can be found from Wikipedia. It is most often used for bitcoin mining or click fraud, but as it contains a downloader portion, it can do anything.
If this IP address is a NAT gateway, it should be possible to find which computer on your internal network is infected by implementing a filter on your firewall to detect and log attempts to send UDP packets to the Internet with a destination port number of 16465.
REMEMBER: ZeroAccess is NOT an Email spamming tool. This detection was NOT because of spam.

Un extrait du log du parefeu
15:41:50 RED DROP ppp0 UDP 199.255.209.163 49452 ::::: 62.160.x.x 16465
15:41:50 RED DROP ppp0 UDP 50.89.11.44 52104 ::::: 62.160.x.x 16465

Ce que je comprends, mais je me trompe peut-être, c'est que j'ai des connexions qui entre par le red via des ip surement forgée et qui ressortent par mon IP publique sur le port 16465.
Est ce bien cela ? et pour le coup faut'il que je crée une règle de pare feu et comment ?
Merci

[jdh]

Il y a 2 problèmes distincts (je le répète).

Blacklistage : je ne sais pas faire ...

Log : les logs sont normaux.
Mais vous en faites une mauvaise lecture :
- les paquets sont DROPés (c'est bien),
- le paquet est normalement décrit : ip source, port source, ip destination, port destination

[rico17]

Ok merci pour votre réponse.
En ce qui concerne le blacklistage, je peux gérer sans problème.
C'est vrai par contre que j'ai un problème de compréhension de ces logs, dropés (ils sont oubliés) c'est à dire qu'il ne sont pas acheminés vers mon IP publique.
J'ai créé des règles de pare feu pour ces connexions afin qu'elles soient "rejected", mais est ce mieux?
J'ai également créé des règles (pour les ports 16465 et 16464, "zeroaccces trojan") depuis le vert vers le rouge et depuis j'ai repéré une IP privée qui envoie des paquets vers le net sur ces ports les connexions sont désormais "rejected" également, ce qui m'étonne mais c'est peut être normal, c'est qu'avant que ces ports soient bloqués je ne voyais pas dans les logs, de connexion du vert vers le rouge sur ces ports, mais c'est peut être normal, moi cela m'étonne.
Je fais donc la demande de "deblacklisqtage" car les symptômes sont bloqués.
je vais désormais essayer de voir s'il y a des traces du trojan sur ce PC.
Par contre si vous voulez bien m'expliquer le fonctionnement des logs pour je comprenne mieux le principe, je suis, bien sur, preneur.
Et merci encore de consacrer du temps à mon problème.

[jdh]

15:41:50 RED DROP ppp0 UDP 199.255.209.163 49452 ::::: 62.160.x.x 16465

Se lit
- sur l'interface couleur RED
- interface linux ppp0
- paquet UDP
- venant de 199.255.209.163 port source 49452
- destiné à 62.160.x.x port cible 16465
- paquet DROPé

C'est très bien ainsi : il n'y a besoin d'aucune règle spécifique supplémentaire, et c'est le bon traitement (DROP meilleur que REJECT).

Perso, je ne passe pas de temps à ce type de choses parce que c'est parfaitement bien traité.

[rico17]

D'accord je comprends,
J'ai pu éradiqué le virus en question grâce aux logs du pare-feu, car aujourd'hui j'avais bien des connexions sortantes depuis le vert vers le rouge sur le port 16465, ce qui à fait le blaklistage de mon IP publique.
Tout est rentré dans l'ordre, le PC vu dans les logs est désormais clean et je n'ai plus de connexions sortantes vers le port incriminé.
Je tiens à préciser pour ceux qui connaitraient un jour le problème, le fait de bloquer les ports depuis toutes les interfaces (vert vers rouge, bleu vers rouge, ipsec vers rouge, open vpn vers rouge, orange vers rouge) à fait remonter l'information dans les logs du parefeu, j'ai vérifié dans les logs des précédents jours, aucune connexions sortantes vers le port 16465 depuis une IP privée en l’occurrence le réseau vert.
Ce virus, doit, je ne sais pas comment, faire en sorte de passer à travers les logs ou modifier l'affichage du port, je n'avais que des connexions sortantes en nombre sur des requêtes netbios sur cette Ip privée.
Je vais cependant conserver les règles de filtrage quelques jours et ensuite je les supprimerai, car si drop est meilleur, il n'y a pas lieu de mettre des règles superflues.
Merci encore pour les remarques.