Alertes étranges

Discussion:

Alertes étranges

(trop ancien pour répondre)

Gloops

2010-05-26 20:56:44 UTC

Bonjour tout le monde,

Je ne suis pas tout-à-fait certain d'être dans le bon forum, au moins en
voilà un qui fonctionne sans s'éloigner trop du thème.

Au long de la journée d'hier, Norton Internet Security m'a signalé avoir
bloqué des tentatives d'intrusion, toujours de la même adresse.

L'ordinateur signalé comme attaquant est le mien, enfin pour ça le
support de Symantec me confirme qu'il peut s'agir d'un problème de
traduction. L'adresse distante, mentionnée comme cible, est elle aussi
toujours la même d'une fois sur l'autre.

L'URL d'origine de l'attaque telle que mentionnée (oui, ça n'a pas
effrayé le traducteur d'avoir le même nom de domaine à "URL d'origine de
l'attaque" et à "adresse de destination") correspond à un fil RSS auquel
je suis abonné depuis un bout de temps mais aucun message n'est arrivé
dessus sauf le premier jour. Hier soir j'ai supprimé l'abonnement.

Aujourd'hui j'ai vu apparaître une alerte de ce type, contre une
douzaine hier, où il n'y a guère que le numéro de port qui varie d'une
fois à l'autre.

L'alerte Norton m'indique comme adresse de destination my.layouts2go.com
(92.211.131.185, 80)
Il ne m'a pas semblé en cherchant dans un whois qu'il y ait concordance
entre le nom de domaine et l'URL.

J'ai informé l'hébergeur de cette adresse distante, leaseweb.com, de mon
problème, avec une copie d'écran partielle sur l'alerte parce que Norton
n'a pas l'air d'avoir l'intention de laisser exporter cette alerte en
mode texte.

Pensez-vous que j'aie bien fait ?
J'avais d'abord essayé de contacter le webmestre de layouts2go.com,
avant de réaliser que si l'URL ne concorde pas, c'était une sottise de
ma part.
Quelqu'un serait-il en mesure de satisfaire ma curiosité sur ce qui a
bien pu se passer ? Pensez-vous qu'insister et fournir à leaseweb.com
les transcriptions texte (au clavier) de ces fichues alertes stockées en
format propriétaire fasse bien partie d'une saine prévention ? Ou est-ce
que je risque de taper à côté ?

testeur

2010-05-27 08:32:33 UTC

Permalink

Dans Norton Internet security, vous avez la possibilité d'exporter le fichier journal en format
texte.

Il faut aller dans la visionneuse du journal
Cliquer sur la catégorie concernée par le PB
puis, Menu Journal
exporter la catégorie en tant que => donner un nom de fichier.

Vous repostez ensuite l'extrait du fichier concernant le PB.

Olivier

Gloops

2010-05-27 09:38:55 UTC

Permalink

Post by testeur
Dans Norton Internet security, vous avez la possibilité d'exporter le fichier journal en format
texte.
Il faut aller dans la visionneuse du journal
Cliquer sur la catégorie concernée par le PB
puis, Menu Journal
exporter la catégorie en tant que => donner un nom de fichier.
Vous repostez ensuite l'extrait du fichier concernant le PB.
Olivier

Effectivement, cette semaine je n'ai pas vraiment les yeux en face des
trous, il faut avouer que je me serais bien passé d'être secoué comme
ces derniers temps.

Alors ça se présente sous la forme cvs, on va voir jusqu'à quel point ça
reste lisible dans un newsgroup en fonction des césures automatiques de
lignes ...
Le format de date en début de ligne devrait aider à s'y retrouver on dirait.

Tiens, un rapide coup d'œil m'indique que chaque occurrence fait l'objet
de deux ou trois enregistrements, mais peut-être y a-t-il une raison. Il
me semble que les informations présentées ne sont pas les mêmes d'une
ligne à l'autre.

Catégorie :Prévention d'intrusion
Date et heure,Risque,Activité,Etat,Action recommandée
,Catégorie ,Nom du risque ,Ordinateur attaquant ,URL d'origine
de l'attaque,Adresse de destination ,Adresse source ,Description du
trafic 
27/05/2010 09:08,Infos,La prévention d'intrusion a été
activée,Détecté,Aucune action nécessaire,Prévention d'intrusion,,,,,,
27/05/2010 09:08,Infos,Version du moteur de prévention d'intrusion :
4.5.0.67 Version du Jeu de définitions : 20100520.001,Détecté,Aucune
action nécessaire,Prévention d'intrusion,,,,,,
27/05/2010 09:08,Infos,La prévention d'intrusion contrôle 1555
signatures. Version du pilote : 9.1.2.5,Détecté,Aucune action
nécessaire,Prévention d'intrusion,,,,,,
25/05/2010 23:10,Elevé,Une tentative d'intrusion par UC00004 a été
bloquée.,Bloqué,Aucune action nécessaire,,HTTP FakeAV Scan Webpage
2,"UC00004 (192.168.1.102,
1335)",feed.ir2media.com/main.php?h=www.jeangabrielchelala.com&i=J8mjj9QYr/mhixj9UcFAyZEZ&e=4,"95.211.131.185,
80",192.168.1.102 (192.168.1.102),"TCP, Port 1335"
25/05/2010 22:55,Elevé,Une tentative d'intrusion par UC00004 a été
bloquée.,Bloqué,Aucune action nécessaire,,HTTP FakeAV Scan Webpage
2,"UC00004 (192.168.1.102,
1321)",feed.ir2media.com/main.php?h=www.jeangabrielchelala.com&i=J8mjj9QYr/mhixj9UcFAyZEZ&e=4,"95.211.131.185,
80",192.168.1.102 (192.168.1.102),"TCP, Port 1321"
25/05/2010 22:40,Elevé,Une tentative d'intrusion par UC00004 a été
bloquée.,Bloqué,Aucune action nécessaire,,HTTP FakeAV Scan Webpage
2,"UC00004 (192.168.1.102,
1300)",feed.ir2media.com/main.php?h=www.jeangabrielchelala.com&i=J8mjj9QYr/mhixj9UcFAyZEZ&e=4,"95.211.131.185,
80",192.168.1.102 (192.168.1.102),"TCP, Port 1300"
25/05/2010 22:25,Elevé,Une tentative d'intrusion par UC00004 a été
bloquée.,Bloqué,Aucune action nécessaire,,HTTP FakeAV Scan Webpage
2,"UC00004 (192.168.1.102,
1286)",feed.ir2media.com/main.php?h=www.jeangabrielchelala.com&i=J8mjj9QYr/mhixj9UcFAyZEZ&e=4,"95.211.131.185,
80",192.168.1.102 (192.168.1.102),"TCP, Port 1286"
25/05/2010 22:10,Elevé,Une tentative d'intrusion par UC00004 a été
bloquée.,Bloqué,Aucune action nécessaire,,HTTP FakeAV Scan Webpage
2,"UC00004 (192.168.1.102,
1251)",feed.ir2media.com/main.php?h=www.jeangabrielchelala.com&i=J8mjj9QYr/mhixj9UcFAyZEZ&e=4,"95.211.131.185,
80",192.168.1.102 (192.168.1.102),"TCP, Port 1251"
25/05/2010 21:55,Elevé,Une tentative d'intrusion par UC00004 a été
bloquée.,Bloqué,Aucune action nécessaire,,HTTP FakeAV Scan Webpage
2,"UC00004 (192.168.1.102,
1223)",my.layouts2go.com/main.php?e=4&h=www.jeangabrielchelala.com&i=J8mjj9QYr/mhixj9UcFAyZEZ,"95.211.131.185,
80",192.168.1.102 (192.168.1.102),"TCP, Port 1223"
25/05/2010 21:39,Elevé,Une tentative d'intrusion par UC00004 a été
bloquée.,Bloqué,Aucune action nécessaire,,HTTP FakeAV Scan Webpage
2,"UC00004 (192.168.1.102,
1146)",my.layouts2go.com/main.php?e=4&h=www.jeangabrielchelala.com&i=J8mjj9QYr/mhixj9UcFAyZEZ,"95.211.131.185,
80",192.168.1.102 (192.168.1.102),"TCP, Port 1146"
25/05/2010 20:59,Elevé,Une tentative d'intrusion par UC00004 a été
bloquée.,Bloqué,Aucune action nécessaire,,HTTP FakeAV Scan Webpage
2,"UC00004 (192.168.1.102,
2570)",my.layouts2go.com/main.php?e=4&h=www.jeangabrielchelala.com&i=J8mjj9QYr/mhixj9UcFAyZEZ,"95.211.131.185,
80",192.168.1.102 (192.168.1.102),"TCP, Port 2570"
25/05/2010 20:44,Elevé,Une tentative d'intrusion par UC00004 a été
bloquée.,Bloqué,Aucune action nécessaire,,HTTP FakeAV Scan Webpage
2,"UC00004 (192.168.1.102,
2512)",my.layouts2go.com/main.php?e=4&h=www.jeangabrielchelala.com&i=J8mjj9QYr/mhixj9UcFAyZEZ,"95.211.131.185,
80",192.168.1.102 (192.168.1.102),"TCP, Port 2512"
25/05/2010 19:44,Elevé,Une tentative d'intrusion par UC00004 a été
bloquée.,Bloqué,Aucune action nécessaire,,HTTP FakeAV Scan Webpage
2,"UC00004 (192.168.1.102,
2358)",my.layouts2go.com/main.php?e=4&h=www.jeangabrielchelala.com&i=J8mjj9QYr/mhixj9UcFAyZEZ,"95.211.131.185,
80",192.168.1.102 (192.168.1.102),"TCP, Port 2358"
25/05/2010 19:28,Elevé,Une tentative d'intrusion par UC00004 a été
bloquée.,Bloqué,Aucune action nécessaire,,HTTP FakeAV Scan Webpage
2,"UC00004 (192.168.1.102,
2334)",my.layouts2go.com/main.php?e=4&h=www.jeangabrielchelala.com&i=J8mjj9QYr/mhixj9UcFAyZEZ,"95.211.131.185,
80",192.168.1.102 (192.168.1.102),"TCP, Port 2334"
25/05/2010 19:13,Elevé,Une tentative d'intrusion par UC00004 a été
bloquée.,Bloqué,Aucune action nécessaire,,HTTP FakeAV Scan Webpage
2,"UC00004 (192.168.1.102,
2320)",my.layouts2go.com/main.php?e=4&h=www.jeangabrielchelala.com&i=J8mjj9QYr/mhixj9UcFAyZEZ,"95.211.131.185,
80",192.168.1.102 (192.168.1.102),"TCP, Port 2320"
25/05/2010 18:58,Elevé,Une tentative d'intrusion par UC00004 a été
bloquée.,Bloqué,Aucune action nécessaire,,HTTP FakeAV Scan Webpage
2,"UC00004 (192.168.1.102,
2275)",my.layouts2go.com/main.php?e=4&h=www.jeangabrielchelala.com&i=J8mjj9QYr/mhixj9UcFAyZEZ,"95.211.131.185,
80",192.168.1.102 (192.168.1.102),"TCP, Port 2275"
25/05/2010 18:43,Elevé,Une tentative d'intrusion par UC00004 a été
bloquée.,Bloqué,Aucune action nécessaire,,HTTP FakeAV Scan Webpage
2,"UC00004 (192.168.1.102,
2200)",my.layouts2go.com/main.php?e=4&h=www.jeangabrielchelala.com&i=J8mjj9QYr/mhixj9UcFAyZEZ,"95.211.131.185,
80",192.168.1.102 (192.168.1.102),"TCP, Port 2200"
25/05/2010 18:28,Elevé,Une tentative d'intrusion par UC00004 a été
bloquée.,Bloqué,Aucune action nécessaire,,HTTP FakeAV Scan Webpage
2,"UC00004 (192.168.1.102,
2163)",my.layouts2go.com/main.php?e=4&h=www.jeangabrielchelala.com&i=J8mjj9QYr/mhixj9UcFAyZEZ,"95.211.131.185,
80",192.168.1.102 (192.168.1.102),"TCP, Port 2163"
25/05/2010 14:57,Elevé,Une tentative d'intrusion par UC00004 a été
bloquée.,Bloqué,Aucune action nécessaire,,HTTP FakeAV Scan Webpage
2,"UC00004 (192.168.1.102,
2061)",my.layouts2go.com/main.php?e=4&h=www.jeangabrielchelala.com&i=J8mjj9QYr/mhixj9UcFAyZEZ,"95.211.131.185,
80",192.168.1.102 (192.168.1.102),"TCP, Port 2061"
25/05/2010 14:42,Elevé,Une tentative d'intrusion par UC00004 a été
bloquée.,Bloqué,Aucune action nécessaire,,HTTP FakeAV Scan Webpage
2,"UC00004 (192.168.1.102,
2033)",my.layouts2go.com/main.php?e=4&h=www.jeangabrielchelala.com&i=J8mjj9QYr/mhixj9UcFAyZEZ,"95.211.131.185,
80",192.168.1.102 (192.168.1.102),"TCP, Port 2033"
25/05/2010 14:27,Elevé,Une tentative d'intrusion par UC00004 a été
bloquée.,Bloqué,Aucune action nécessaire,,HTTP FakeAV Scan Webpage
2,"UC00004 (192.168.1.102,
2022)",my.layouts2go.com/main.php?e=4&h=www.jeangabrielchelala.com&i=J8mjj9QYr/mhixj9UcFAyZEZ,"95.211.131.185,
80",192.168.1.102 (192.168.1.102),"TCP, Port 2022"
25/05/2010 14:12,Elevé,Une tentative d'intrusion par UC00004 a été
bloquée.,Bloqué,Aucune action nécessaire,,HTTP FakeAV Scan Webpage
2,"UC00004 (192.168.1.102,
2001)",my.layouts2go.com/main.php?e=4&h=www.jeangabrielchelala.com&i=J8mjj9QYr/mhixj9UcFAyZEZ,"95.211.131.185,
80",192.168.1.102 (192.168.1.102),"TCP, Port 2001"
25/05/2010 12:56,Elevé,Une tentative d'intrusion par UC00004 a été
bloquée.,Bloqué,Aucune action nécessaire,,HTTP FakeAV Scan Webpage
2,"UC00004 (192.168.1.102,
1779)",my.layouts2go.com/main.php?e=4&h=www.jeangabrielchelala.com&i=J8mjj9QYr/mhixj9UcFAyZEZ,"95.211.131.185,
80",192.168.1.102 (192.168.1.102),"TCP, Port 1779"
25/05/2010 10:50,Elevé,Une tentative d'intrusion par UC00004 a été
bloquée.,Bloqué,Aucune action nécessaire,,HTTP FakeAV Scan Webpage
2,"UC00004 (192.168.1.102,
1498)",my.layouts2go.com/main.php?e=4&h=www.jeangabrielchelala.com&i=J8mjj9QYr/mhixj9UcFAyZEZ,"95.211.131.185,
80",192.168.1.102 (192.168.1.102),"TCP, Port 1498"
25/05/2010 05:00,Elevé,Une tentative d'intrusion par UC00004 a été
bloquée.,Bloqué,Aucune action nécessaire,,HTTP FakeAV Scan Webpage
2,"UC00004 (192.168.1.102,
1135)",my.layouts2go.com/main.php?e=4&h=www.jeangabrielchelala.com&i=J8mjj9QYr/mhixj9UcFAyZEZ,"95.211.131.185,
80",192.168.1.102 (192.168.1.102),"TCP, Port 1135"
25/05/2010 03:00,Elevé,Une tentative d'intrusion par UC00004 a été
bloquée.,Bloqué,Aucune action nécessaire,,HTTP FakeAV Scan Webpage
2,"UC00004 (192.168.1.102,
1727)",my.layouts2go.com/main.php?e=4&h=www.jeangabrielchelala.com&i=J8mjj9QYr/mhixj9UcFAyZEZ,"95.211.131.185,
80",192.168.1.102 (192.168.1.102),"TCP, Port 1727"
25/05/2010 02:45,Elevé,Une tentative d'intrusion par UC00004 a été
bloquée.,Bloqué,Aucune action nécessaire,,HTTP FakeAV Scan Webpage
2,"UC00004 (192.168.1.102,
1712)",my.layouts2go.com/main.php?e=4&h=www.jeangabrielchelala.com&i=J8mjj9QYr/mhixj9UcFAyZEZ,"95.211.131.185,
80",192.168.1.102 (192.168.1.102),"TCP, Port 1712"
25/05/2010 02:30,Elevé,Une tentative d'intrusion par UC00004 a été
bloquée.,Bloqué,Aucune action nécessaire,,HTTP FakeAV Scan Webpage
2,"UC00004 (192.168.1.102,
1705)",my.layouts2go.com/main.php?e=4&h=www.jeangabrielchelala.com&i=J8mjj9QYr/mhixj9UcFAyZEZ,"95.211.131.185,
80",192.168.1.102 (192.168.1.102),"TCP, Port 1705"
25/05/2010 02:15,Elevé,Une tentative d'intrusion par UC00004 a été
bloquée.,Bloqué,Aucune action nécessaire,,HTTP FakeAV Scan Webpage
2,"UC00004 (192.168.1.102,
1690)",my.layouts2go.com/main.php?e=4&h=www.jeangabrielchelala.com&i=J8mjj9QYr/mhixj9UcFAyZEZ,"95.211.131.185,
80",192.168.1.102 (192.168.1.102),"TCP, Port 1690"
25/05/2010 01:14,Elevé,Une tentative d'intrusion par UC00004 a été
bloquée.,Bloqué,Aucune action nécessaire,,HTTP FakeAV Scan Webpage
2,"UC00004 (192.168.1.102,
1500)",my.layouts2go.com/main.php?e=4&h=www.jeangabrielchelala.com&i=J8mjj9QYr/mhixj9UcFAyZEZ,"95.211.131.185,
80",192.168.1.102 (192.168.1.102),"TCP, Port 1500"
24/05/2010 21:12,Elevé,Une tentative d'intrusion par UC00004 a été
bloquée.,Bloqué,Aucune action nécessaire,,HTTP FakeAV Scan Webpage
2,"UC00004 (192.168.1.102,
2475)",my.layouts2go.com/main.php?e=4&h=www.jeangabrielchelala.com&i=J8mjj9QYr/mhixj9UcFAyZEZ,"95.211.131.185,
80",192.168.1.102 (192.168.1.102),"TCP, Port 2475"
24/05/2010 19:56,Infos,Version du moteur de prévention d'intrusion :
4.6.0.23 Version du Jeu de définitions : 20100518.002,Détecté,Aucune
action nécessaire,Prévention d'intrusion,,,,,,
24/05/2010 19:56,Infos,La prévention d'intrusion a été
activée,Détecté,Aucune action nécessaire,Prévention d'intrusion,,,,,,
24/05/2010 19:56,Infos,La prévention d'intrusion contrôle 1541
signatures. Version du pilote : 9.2.0.97,Détecté,Aucune action
nécessaire,Prévention d'intrusion,,,,,,
24/05/2010 09:03,Infos,La prévention d'intrusion a été
activée,Détecté,Aucune action nécessaire,Prévention d'intrusion,,,,,,
24/05/2010 09:03,Infos,La prévention d'intrusion contrôle 1555
signatures. Version du pilote : 9.1.2.5,Détecté,Aucune action
nécessaire,Prévention d'intrusion,,,,,,
24/05/2010 09:03,Infos,Version du moteur de prévention d'intrusion :
4.5.0.67 Version du Jeu de définitions : 20100513.002,Détecté,Aucune
action nécessaire,Prévention d'intrusion,,,,,,
22/05/2010 12:23,Infos,La prévention d'intrusion a été
activée,Détecté,Aucune action nécessaire,Prévention d'intrusion,,,,,,
22/05/2010 12:23,Infos,La prévention d'intrusion contrôle 1555
signatures. Version du pilote : 9.1.2.5,Détecté,Aucune action
nécessaire,Prévention d'intrusion,,,,,,
22/05/2010 12:23,Infos,Version du moteur de prévention d'intrusion :
4.5.0.67 Version du Jeu de définitions : 20100513.002,Détecté,Aucune
action nécessaire,Prévention d'intrusion,,,,,,
20/05/2010 18:14,Infos,La prévention d'intrusion a été
activée,Détecté,Aucune action nécessaire,Prévention d'intrusion,,,,,,
20/05/2010 18:14,Infos,Version du moteur de prévention d'intrusion :
4.5.0.67 Version du Jeu de définitions : 20100513.002,Détecté,Aucune
action nécessaire,Prévention d'intrusion,,,,,,
20/05/2010 18:14,Infos,La prévention d'intrusion contrôle 1555
signatures. Version du pilote : 9.1.2.5,Détecté,Aucune action
nécessaire,Prévention d'intrusion,,,,,,
20/05/2010 13:28,Infos,La prévention d'intrusion a été
activée,Détecté,Aucune action nécessaire,Prévention d'intrusion,,,,,,
20/05/2010 13:28,Infos,La prévention d'intrusion contrôle 1439
signatures. Version du pilote : 9.1.0.159,Détecté,Aucune action
nécessaire,Prévention d'intrusion,,,,,,
20/05/2010 13:28,Infos,Version du moteur de prévention d'intrusion :
4.5.0.67 Version du Jeu de définitions : 20090828.002,Détecté,Aucune
action nécessaire,Prévention d'intrusion,,,,,,

Bruno S

2010-05-27 18:34:38 UTC

Permalink

Post by Gloops

Post by testeur
Dans Norton Internet security, vous avez la possibilité d'exporter le
fichier journal en format
texte.
Il faut aller dans la visionneuse du journal
Cliquer sur la catégorie concernée par le PB
puis, Menu Journal
exporter la catégorie en tant que => donner un nom de fichier.
Vous repostez ensuite l'extrait du fichier concernant le PB.
Olivier

../..

Post by Gloops
Alors ça se présente sous la forme cvs, on va voir jusqu'à quel point ça
reste lisible dans un newsgroup en fonction des césures automatiques de
lignes ...
Le format de date en début de ligne devrait aider à s'y retrouver on dirait.

../..

Post by Gloops
Catégorie :Prévention d'intrusion
Date et heure,Risque,Activité,Etat,Action recommandée
,Catégorie ,Nom du risque ,Ordinateur attaquant ,URL d'origine
de l'attaque,Adresse de destination ,Adresse source ,Description du
trafic 
27/05/2010 09:08,Infos,La prévention d'intrusion a été
activée,Détecté,Aucune action nécessaire,Prévention d'intrusion,,,,,,
4.5.0.67 Version du Jeu de définitions : 20100520.001,Détecté,Aucune
action nécessaire,Prévention d'intrusion,,,,,,
27/05/2010 09:08,Infos,La prévention d'intrusion contrôle 1555
signatures. Version du pilote : 9.1.2.5,Détecté,Aucune action
nécessaire,Prévention d'intrusion,,,,,,
25/05/2010 23:10,Elevé,Une tentative d'intrusion par UC00004 a été
bloquée.,Bloqué,Aucune action nécessaire,,HTTP FakeAV Scan Webpage
2,"UC00004 (192.168.1.102,
1335)",feed.ir2media.com/main.php?h=www.jeangabrielchelala.com&i=J8mjj9QYr/mhixj9UcFAyZEZ&e=4,"95.211.131.185,
80",192.168.1.102 (192.168.1.102),"TCP, Port 1335"
25/05/2010 22:55,Elevé,Une tentative d'intrusion par UC00004 a été
bloquée.,Bloqué,Aucune action nécessaire,,HTTP FakeAV Scan Webpage
2,"UC00004 (192.168.1.102,
1321)",feed.ir2media.com/main.php?h=www.jeangabrielchelala.com&i=J8mjj9QYr/mhixj9UcFAyZEZ&e=4,"95.211.131.185,
80",192.168.1.102 (192.168.1.102),"TCP, Port 1321"

snip ../..

Post by Gloops
signatures. Version du pilote : 9.1.0.159,Détecté,Aucune action
nécessaire,Prévention d'intrusion,,,,,,
4.5.0.67 Version du Jeu de définitions : 20090828.002,Détecté,Aucune
action nécessaire,Prévention d'intrusion,,,,,,

Ouaah, Norton fait des progrès, il s'intéresse maintenant au principal
vecteur d'infection : l'ICC !

Donc, si je comprends bien, un utilisateur s'abonne à un flux RSS
(éventuellement moisi) puis pense à se désabonner.

Norton prends le relai : le PC (192.168.1.102) essaie de se connecter au
flux RSS (95.211.131.185), heureusement Norton est la.
l'ICC est protégée, qu'il le veuille ou pas. Donc Norton bloque l'accès
au flux RSS et le dit (sinon ca sert à rien puisque c'est pas marketing)!

Donc l'ICC fait n'importe quoi, le site de RSS aussi et Norton itou.

Miam, elle est belle l'informatique grand public

Gloops

2010-05-27 21:03:06 UTC

Permalink

Post by Bruno S
Ouaah, Norton fait des progrès, il s'intéresse maintenant au principal
vecteur d'infection : l'ICC !

C'est une carte à puce, ce truc ?

Post by Bruno S
Donc, si je comprends bien, un utilisateur s'abonne à un flux RSS
(éventuellement moisi) puis pense à se désabonner.
Norton prends le relai : le PC (192.168.1.102) essaie de se connecter au
flux RSS (95.211.131.185), heureusement Norton est la.
l'ICC est protégée, qu'il le veuille ou pas. Donc Norton bloque l'accès
au flux RSS et le dit (sinon ca sert à rien puisque c'est pas marketing)!

Je me suis effectivement un peu douté d'un truc de ce style.
Mais j'ai eu un doute en voyant ça
http://www.generic-nic.net/dyn/whois/ask?query=95.211.131.185

Ou alors leaseweb ça serait leur hébergeur, ça n'empêcherait pas
l'adresse de bien être celle du flux ?

Post by Bruno S
Donc l'ICC fait n'importe quoi, le site de RSS aussi et Norton itou.

Tout le monde débloquerait à la fois ?
Ou il y en aurait quand même un qui induirait les autres en erreur ?
Comme je m'apprêtais à le faire on dirait en allant un peu vite en besogne.

Post by Bruno S
Miam, elle est belle l'informatique grand public

Ben, on est bien, avec ça.

testeur

2010-05-27 21:32:20 UTC

Permalink

"Alors ça se présente sous la forme cvs, on va voir jusqu'à quel point ça
reste lisible dans un newsgroup en fonction des césures automatiques de
lignes ..."

Vous êtes sur que l'on ne peut pas changer l'option de sortie du format CSV
en TXT (moi dans ma version il n'y a que TXT)
Le csv sert normalement à enter les données sous Excel, mais la avec les
passages à la ligne, Excel ne retrouve pas ses petits.

Olivier.

Gloops

2010-05-27 22:41:18 UTC

Permalink

Post by testeur
"Alors ça se présente sous la forme cvs, on va voir jusqu'à quel point ça
reste lisible dans un newsgroup en fonction des césures automatiques de
lignes ..."
Vous êtes sur que l'on ne peut pas changer l'option de sortie du format CSV
en TXT (moi dans ma version il n'y a que TXT)
Le csv sert normalement à enter les données sous Excel, mais la avec les
passages à la ligne, Excel ne retrouve pas ses petits.
Olivier.

Ben oui, ça sort un fichier d'extension txt (l'autre format proposé
étant me semble-t-il un format propriétaire), et en voyant ce que j'ai
publié on voit bien que les champs sont séparés par des virgules. Ou
bien nous n'avons pas vu la même chose ?

Bon, je suis arrivé avec des questions, j'ai l'impression que je vais
repartir avec d'autres questions ?

Gloops

2010-05-28 19:54:21 UTC

Permalink

Post by Gloops
Bonjour tout le monde,
Je ne suis pas tout-à-fait certain d'être dans le bon forum, au moins en
voilà un qui fonctionne sans s'éloigner trop du thème.
Au long de la journée d'hier, Norton Internet Security m'a signalé avoir
bloqué des tentatives d'intrusion, toujours de la même adresse.
L'ordinateur signalé comme attaquant est le mien, enfin pour ça le
support de Symantec me confirme qu'il peut s'agir d'un problème de
traduction. L'adresse distante, mentionnée comme cible, est elle aussi
toujours la même d'une fois sur l'autre.
L'URL d'origine de l'attaque telle que mentionnée (oui, ça n'a pas
effrayé le traducteur d'avoir le même nom de domaine à "URL d'origine de
l'attaque" et à "adresse de destination") correspond à un fil RSS auquel
je suis abonné depuis un bout de temps mais aucun message n'est arrivé
dessus sauf le premier jour. Hier soir j'ai supprimé l'abonnement.
Aujourd'hui j'ai vu apparaître une alerte de ce type, contre une
douzaine hier, où il n'y a guère que le numéro de port qui varie d'une
fois à l'autre.
L'alerte Norton m'indique comme adresse de destination my.layouts2go.com
(92.211.131.185, 80)
Il ne m'a pas semblé en cherchant dans un whois qu'il y ait concordance
entre le nom de domaine et l'URL.
J'ai informé l'hébergeur de cette adresse distante, leaseweb.com, de mon
problème, avec une copie d'écran partielle sur l'alerte parce que Norton
n'a pas l'air d'avoir l'intention de laisser exporter cette alerte en
mode texte.
Pensez-vous que j'aie bien fait ?
J'avais d'abord essayé de contacter le webmestre de layouts2go.com,
avant de réaliser que si l'URL ne concorde pas, c'était une sottise de
ma part.
Quelqu'un serait-il en mesure de satisfaire ma curiosité sur ce qui a
bien pu se passer ? Pensez-vous qu'insister et fournir à leaseweb.com
les transcriptions texte (au clavier) de ces fichues alertes stockées en
format propriétaire fasse bien partie d'une saine prévention ? Ou est-ce
que je risque de taper à côté ?

Ah, encore une récidive ce soir.
Et ce coup-là, ce n'est pas Thunderbird qui a fait le coup.