TROJAN ZEUS tracker on Fibaro ?

[Lorenzo 18]

Hello,

 

Mon firewall me fait remarquer que toutes les heures j'ai une detection d'un Trojan sur le serveur Fibaro: 

ET CNC Zeus Tracker reported vers la destination 103.224.212.222 (Australia).

 

Cela vous dit quelque chose?

 

 

[jojo 2 612]

tu as beaucoup de modules / scènes / VDs ?

[Lorenzo 18]

oui. pas mal. pourquoi?

[schwinny 252]

pour voir si une serait pas vérolé je pense...

[jojo 2 612]

je me disais un petit recovery avec réinstall from scratch (c'est l'équivalent d'un format c:)

 

Mais avant de tout réinstaller, un bon backup sur ta clé, puis copie de ton répertoire /backups sur ton PC. Et tu en profite pour faire tourner ton anti-virus sur ta clé

Si pas le virus dans répertoire /backups => cool.

si virus ailleurs =>tu remets sur la clé l'image que je partage dans ma signature puis tu y remets le contenu de ton répertoire /backups.

 

Ensuite :

Recovery COMPLET

upgrade jusqu'à la dernière version

backup à vide (pour régénérer la liste des backups disponibles)

restore de ton backup

 

Ce que tu auras perdu dans l'histoire :

1. du temps
2. tes icônes

[Lorenzo 18]

ok. c'est pas cool en effet. J'ai pas trop le temps pour le moment. donc je laisse ainsi.

Faire un reset complet depuis une autre image , cela me fait peur. Je ne l'ai jamais fait.

 

Si je desactive tous les scenes, VDs, et je les rouvre pas à pas, est ce aussi une option? 

ou bien le virus est à la racine de la clé?

 

 

[jojo 2 612]

désactiver les scènes, VD n'est pas une option, car si le virus est là que la scène ou le VD soit actif ou pas, le virus sera toujours présent.

De plus, je pense que ton virus est sur la box, pas sur la clé.

Pour en avoir le coeur net, mets ta clé dans un PC, et analyse là avec ton anti-virus.

Tu peux la retirer alors que la box est up, car depuis quelques version du FW, il démonte la clé quand il n'en n'a pas besoin. Donc tu pourras valider que tu as toujours ton virus sur ta HC2, même sans la clé.

 

Fait déjà cette analyse (qui te demandera peu de temps) et qui est SANS risque / difficulté, puis on verra quoi faire.

[mprinfo 3 333]

On peut aussi utilisé un livecd que l'on installe sur une clé USB afin de scanner la clé interne mais j'ai un doute pour le virus la box est sous linux

Envoyé de mon Smartphone ANDROID

[schwinny 252]

Et ? 

 

il me semble que ca tourne sous une vieille debian obsolete... non ? 

un exploit est possible 

 

[Nico 2 155]

Bloque déjà le port en question en sortie. Et après comme, recovery et basta, tu ne perdras que tes icônes.

[mprinfo 3 333]

Et ? 
 
il me semble que ca tourne sous une vieille debian obsolete... non ? 
un exploit est possible 
 

Oui la box est sous debian 6

Envoyé de mon Smartphone ANDROID

[Lorenzo 18]

ok. je ferai ce test mais pour le moment je suis loin de ma box. je ferai cela à mon retour. Je crains en effet que si virus y a c'est sur la box qui tourne en Linux.Comment cela pourrait il se faire?

pour l'instant, mon firewall drop les messages. Est ce suffisant pour etre protégé ou ?

J'ai pas vu dans le message le port qui est attaqué mais je vais creuser.

 

Merci à vous

[schwinny 252]

peux tu mettre une copie d'écran des logs de ton firewall stp ? 

[ADN182 156]

C'est quoi ton firewall Lorenzo ? L'avantage c'est qu'il a réussi à le tracker mais potentiellement peut être d'autres personne on le problème.

Envoyé de mon Nexus 5X en utilisant Tapatalk

[ADN182 156]

Je viens de rechercher dans les logs de mon Asus.  Et j'ai m'a HC2 qui dialogue avec cette IP, je vais mettre un règle de blocage le temps de trouvé de ou cela vient.

 

Effectivement n'a pas l'air d'être un bon site... :s 

 

Modifié 31 mars 2018 par ADN182

[ADN182 156]

Quelques troubleshoot plus tard :  

 

Je ne sais pas encore à quoi correspond le PluginManager (si ça vient d'un plugin fibaro ou autre).

 

Edit : Trouvé, il sagit d'un VD de check internet qui va sur www.realip.info qui correspond à l'ip 103.224.212.222

@Lorenzo Tu sais nous dire si tu dispose de ce VD ? 

 

Modifié 31 mars 2018 par ADN182

[Lorenzo 18]

Moi aussi j ai bloque la sortie vers cette addr

esse ip. Oui j utilise le VD CheckInternet.

 

C est donc bien ce VD qui en est responsable. Vu le msg mc afee et celui du firewall de mon routeur SynologySRM j imagine que ce ne est pas une machine bienveillante...

 

 

 

Envoyé de mon SM-N950F en utilisant Tapatalk

 

 

 

 

[Lazer 8 471]

C'est peut être tout simplement que sur le même serveur mutualisé, tourne le site permettant de faire le Check Internet, et le site douteux

 

Et ton firewall ne sait pas faire la différence.

Les firewalls commerciaux aiment bien faire du zèle et préfèrent signaler des fausses alertes plutôt que d'en louper, afin de justifier leur utilité et la dépense effectuée par l'utilisateur....

 

Perso je n'ai jamais aimé ces outils commerciaux.... m'enfin chacun fait comme il veut