Accueil
Dernières images
Se connecter pour répondre
BlackHatFondateur
- Messages : 3
Réputation : 0
Date d'inscription : 22/01/2018 
Repérer & se protéger d'une backdoor.
Sam 27 Jan - 23:50
[list="color: rgb(64, 10, 24); font-family: verdana, sans-serif; font-size: 11px; text-align: justify; background-color: rgb(253, 248, 228);"]
[*] Les repérés une fois qu'ils sont entrés :
Les Backdoors ont besoin d'ouvrir une ou des portes pour se mettre à l'écoute. C'est par cette activité qu'on peut, quelquefois, les repérer, surtout si les ports ouverts sont inhabituels ou n'ont aucune raison d'être ouverts à un instant T. Voir Anti-trojan pour éradiquer un trojan installé et voir aussi Anti-pirate pour empêcher un nouveau Backdoor de s'implanter ou, en tout cas, de communiquer.
Certains Backdoors camouflent cette activité en utilisant des ports dont l'usage est fréquent ou n'éveille pas de soupçons a priori (les ports réservés aux services ftp, irc, etc. ...). Un utilisateur attentif (mais averti aussi ce qui n'est pas le cas de l'immense majorité des internautes d'aujourd'hui dont la communauté s'éloigne de plus en plus de la communauté initiale essentiellement faites d'informaticiens) devrait se demander pourquoi tel service est actuellement actif alors qu'il ne devrait pas l'être.
Pour voir quels sont les ports en écoute maintenant,
Avec certains outils analysant les comportements des tâches on peut également détecter un trafic inhabituel sur le réseau.
[*]Les empêcher d'être actifs
Une fois entrés il faut les empêcher d'ouvrir un port et de se mettre à l'écoute derrière ce port. Windows laissant tous les 65.536 ports sans surveillance, installez un pare-feu (Firewall) qui ferme toutes les portes - Outpost est le meilleur d'entre eux - (il en existe une version gratuite). Une fois installé, il ne connaît encore rien de vous et il ferme toutes les portes pour tous les logiciels installés et tous les protocoles de communication sur votre PC. Si un logiciel essai d'ouvrir une porte vers l'extérieur sa réaction est immédiate : il vous affiche une petite fenêtre en vous disant que tel programme essai d'accéder à l'extérieur et vous demande ce que vous en pensez (il vous propose même de créer les règles de contrôle de cette application automatiquement, à votre place). Il ne vous poseras plus la question par la suite. Vous autorisez les programmes connus mais vous bloquez totalement un programme qui ne vous dit rien, que vous n'avez pas installé ou que vous avez installé mais qui n'a aucune raison de se connecter sur le Net. Vous pourez revenir sur vos réponses par la suite, les manipuler très simplement etc. ...
Le parefeu (Firewall) de Windows XP ne sert strictement à rien. C'est un pare-feu entrant uniquement - il ne comporte pas de gestion des communications sortantes ! Ne pas l'utiliser.
Un parasite va essayer de faire croire au pare-feu (FireWall) qu'il a le droit d'écouter et de maintenir une porte ouverte. Le bon pare-feu ne va, bien entendu, pas autoriser les applications à modifier les règles que vous avez établies (tous les pare-feu s'auto-protègent).
Un parasite va tenter de bénéficier des droits d'une autre application qui, elle, est autorisée à communiquer, en se faisant lancer par elle ou en s'injectant dans cette autre application. Ici, cela devient beaucoup plus subtil et seuls les bons pare-feu, comme Outpost et quelques autres, sont efficaces.
[*]Les éradiquer
[*]Il y a 4 méthodes:
[*]
[/list]
[*] Les repérés une fois qu'ils sont entrés :
Les Backdoors ont besoin d'ouvrir une ou des portes pour se mettre à l'écoute. C'est par cette activité qu'on peut, quelquefois, les repérer, surtout si les ports ouverts sont inhabituels ou n'ont aucune raison d'être ouverts à un instant T. Voir Anti-trojan pour éradiquer un trojan installé et voir aussi Anti-pirate pour empêcher un nouveau Backdoor de s'implanter ou, en tout cas, de communiquer.
Certains Backdoors camouflent cette activité en utilisant des ports dont l'usage est fréquent ou n'éveille pas de soupçons a priori (les ports réservés aux services ftp, irc, etc. ...). Un utilisateur attentif (mais averti aussi ce qui n'est pas le cas de l'immense majorité des internautes d'aujourd'hui dont la communauté s'éloigne de plus en plus de la communauté initiale essentiellement faites d'informaticiens) devrait se demander pourquoi tel service est actuellement actif alors qu'il ne devrait pas l'être.
Pour voir quels sont les ports en écoute maintenant,
- sous Windows 98 allez dans démarrer > programmes > commandes MS-Dos et tapez "netstat -a" sans les guillemets (même commande sous Linux).
- sous Windows XP allez à démarrer > Tous les programmes > Accessoires > Invite de commandes et tapez "netstat -a" sans les guillemets
Avec certains outils analysant les comportements des tâches on peut également détecter un trafic inhabituel sur le réseau.
[*]Les empêcher d'être actifs
Une fois entrés il faut les empêcher d'ouvrir un port et de se mettre à l'écoute derrière ce port. Windows laissant tous les 65.536 ports sans surveillance, installez un pare-feu (Firewall) qui ferme toutes les portes - Outpost est le meilleur d'entre eux - (il en existe une version gratuite). Une fois installé, il ne connaît encore rien de vous et il ferme toutes les portes pour tous les logiciels installés et tous les protocoles de communication sur votre PC. Si un logiciel essai d'ouvrir une porte vers l'extérieur sa réaction est immédiate : il vous affiche une petite fenêtre en vous disant que tel programme essai d'accéder à l'extérieur et vous demande ce que vous en pensez (il vous propose même de créer les règles de contrôle de cette application automatiquement, à votre place). Il ne vous poseras plus la question par la suite. Vous autorisez les programmes connus mais vous bloquez totalement un programme qui ne vous dit rien, que vous n'avez pas installé ou que vous avez installé mais qui n'a aucune raison de se connecter sur le Net. Vous pourez revenir sur vos réponses par la suite, les manipuler très simplement etc. ...
Le parefeu (Firewall) de Windows XP ne sert strictement à rien. C'est un pare-feu entrant uniquement - il ne comporte pas de gestion des communications sortantes ! Ne pas l'utiliser.
Un parasite va essayer de faire croire au pare-feu (FireWall) qu'il a le droit d'écouter et de maintenir une porte ouverte. Le bon pare-feu ne va, bien entendu, pas autoriser les applications à modifier les règles que vous avez établies (tous les pare-feu s'auto-protègent).
Un parasite va tenter de bénéficier des droits d'une autre application qui, elle, est autorisée à communiquer, en se faisant lancer par elle ou en s'injectant dans cette autre application. Ici, cela devient beaucoup plus subtil et seuls les bons pare-feu, comme Outpost et quelques autres, sont efficaces.
[*]Les éradiquer
[*]Il y a 4 méthodes:
[*]
- Eradiquer les backdoors 1 par 1 en cherchant les noms des fichiers sous lesquels ils s'implantent sur nos disques durs et en effaçant ces fichiers, puis en entrant à la main dans la base de registre, les listes de démarrage etc. ... Inutile d'y penser et ce n'est absolument pas le but de ce site.
- Fermer les ports de communications en utilisant un parefeu (FireWall). Le backdoor sera obligé de demander l'autorisation d'ouvrir un port. A vous de verifier qu'il n'usurpe pas le nom d'un programme licite, qu'il demande l'ouverture d'un port connu, que son emplacement sur votre disque correspond à quelque chose de logique, qu'il ne demande pas des droits de type "serveur" etc. ... Les backdoors étant un des outils privilégiés des pirates, les FireWall sont vus à anti-pirates.
- Utiliser un mécanisme de blocage d'adresses IPs : en théorie cela fonctionnerait si un pirate avait une IP fixe non masquée et que cette IP ait été identifiée comme celle d'un pirate. Mais un pirate qui s'exposerait ainsi ne serait pas un bon pirate ni bien dangereux et, en sus, nous trouverions son adresse géographique (rue, ville...) et un autre "mécanisme" consisterait à aller lui rendre une petite "visite de courtoisie".
- Installez et exécutez Le bon anti-trojan
Utilisez un ou des anti-trojans génériques. La détection des trojans utilise essentiellement la technique du scanner qui compare le contenu de la base de registre, le contenu des fichiers, les noms des fichiers, les process en mémoire et les ports ouverts à une base de données de règles et signatures. La technique du scanner est utilisée par 2 grandes classes d'outils : les anti-trojans purs et les antivirus. Les antivirus, spécialistes historiques des scanners et des bases de signatures, montent actuellement en puissance dans la détection des trojans par leurs signatures (ils ajoutent des signatures de trojans aux signatures de virus) toutefois, les détections de parasites nécessitent des compétences autres qui ne sont pas dans la culture des antivirus et les anti-trojans sont indispensables, ceux-ci représentant la très grande majorité des attaques actuelles (les virus étant devenus marginaux, le but du jeu des attaquants étant de prendre le contrôle de votre machine pour s'en servir ou de voler discrètement vos données). - Le meilleur anti backdoor:
PestPatrol Le meilleur outil anti-parasites en général avec module en temps réel et scanner en temps différé
[/list]
Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum|
|
|