Un Malware Dans Nos Box ?

[gargamel01000]

Bonsoir à  tous,

 

Ma maison étant en cours de construction, j'ai connecté ma HC2 au bureau pour tester ses fonctionnalités et ses possibilités. Et quelle fut ma surprise en voyant que mes firewalls (des stormshield SN500 tous neuf) me detectent un malware en sortie de ma HC2.

Il s'agit du malware Pitty Tiger  un logiciel d'infiltration et d'espionnage.

Voici une copie d'écran

 

 

vous en pensez quoi ?

 

 

 

[Lazer]

Hum

 

T'as pas un autre IDS pour valider que le flux intercepté n'est pas un faux positif ?

 

C'est flippant quand même...

[Krikroff]

je vais suivre le sujet avec beaucoup d'attention mais pour moi c'est un faux positif.

 

http://ml.fibaro.com/saveMLUser.php

1404550869.756 192.168.0.x TCP_MISS/200 221 GET http://ml.fibaro.com/get_ml.php? - DIRECT/109.95.152.167 text/html
1404550869.765 192.168.0.x NONE/417 4668 POST http://ml.fibaro.com/saveMLUser.php - NONE/- text/html
1404550869.769 192.168.0.x NONE/417 4668 POST http://ml.fibaro.com/saveMLUser.php - NONE/- text/html
1404550869.773 192.168.0.x NONE/417 4668 POST http://ml.fibaro.com/saveMLUser.php - NONE/- text/html 

Le HC2 balance des requêtes en méthode POST sur les serveurs Fibaro, mais pour envoyer quoi comme informations ?

[fdp2]

Quoi que ce soit, ça ne me plait pas des masse que la box envoie des infos chez fibaro...

Krikroff : a quoi correspondent ces reqêtes ? Où as tu récupéré ces infos ?

[Nico]

Bah pour moi cela parait logique, elle doit déjàenvoyer une sorte de keep alive avec son IP public, pour que la partie Remonte fonctionne. Sinon le home.fibaro ne pourrait pas fonctionner...

Pareil pour les users/mot de passe, une fois qu'on est sur home.fibaro, nos comptes créés localement fonctionne, donc ils doivent bien remonter sur leur serveur.

[NetIPSO]

wow je viens de regarder toutes les requêtes DNS de la fibaro , voila ce que ca donne.... en moins de 5 secondes ! c'est en continue...

 

client 192.168.1.62#39863: query: www.google.com IN A + (192.168.1.10)

client 192.168.1.62#57313: query: 99.24.125.74.in-addr.arpa IN PTR + (192.168.1.10)

client 192.168.1.62#54058: query: www.google.com IN A + (192.168.1.10)

client 192.168.1.62#34929: query: 147.24.125.74.in-addr.arpa IN PTR + (192.168.1.10)

client 192.168.1.62#59471: query: www.google.com IN A + (192.168.1.10)

client 192.168.1.62#41013: query: 106.24.125.74.in-addr.arpa IN PTR + (192.168.1.10)

client 192.168.1.62#45058: query: www.google.com IN A + (192.168.1.10)

client 192.168.1.62#60354: query: 105.24.125.74.in-addr.arpa IN PTR + (192.168.1.10)

client 192.168.1.62#51803: query: www.google.com IN A + (192.168.1.10)

client 192.168.1.62#35991: query: 104.24.125.74.in-addr.arpa IN PTR + (192.168.1.10)

client 192.168.1.62#35784: query: www.google.com IN A + (192.168.1.10)

client 192.168.1.62#53065: query: 103.24.125.74.in-addr.arpa IN PTR + (192.168.1.10)

client 192.168.1.62#54164: query: www.google.com IN A + (192.168.1.10)

client 192.168.1.62#59221: query: 99.24.125.74.in-addr.arpa IN PTR + (192.168.1.10)

client 192.168.1.62#53169: query: www.google.com IN A + (192.168.1.10)

client 192.168.1.62#59151: query: 147.24.125.74.in-addr.arpa IN PTR + (192.168.1.10)

client 192.168.1.62#32952: query: www.google.com IN A + (192.168.1.10)

client 192.168.1.62#47983: query: 106.24.125.74.in-addr.arpa IN PTR + (192.168.1.10)

client 192.168.1.62#35128: query: www.google.com IN A + (192.168.1.10)

client 192.168.1.62#58929: query: 105.24.125.74.in-addr.arpa IN PTR + (192.168.1.10)

client 192.168.1.62#44610: query: www.google.com IN A + (192.168.1.10)

client 192.168.1.62#50698: query: 104.24.125.74.in-addr.arpa IN PTR + (192.168.1.10)

client 192.168.1.62#44137: query: www.google.com IN A + (192.168.1.10)

client 192.168.1.62#40783: query: 103.24.125.74.in-addr.arpa IN PTR + (192.168.1.10)

client 192.168.1.62#36297: query: www.google.com IN A + (192.168.1.10)

client 192.168.1.62#52663: query: 99.24.125.74.in-addr.arpa IN PTR + (192.168.1.10)

client 192.168.1.62#54886: query: www.google.com IN A + (192.168.1.10)

client 192.168.1.62#54623: query: 147.24.125.74.in-addr.arpa IN PTR + (192.168.1.10)

client 192.168.1.62#35168: query: www.google.com IN A + (192.168.1.10)

client 192.168.1.62#59220: query: 106.24.125.74.in-addr.arpa IN PTR + (192.168.1.10)

client 192.168.1.62#35030: query: www.google.com IN A + (192.168.1.10)

client 192.168.1.62#40832: query: 105.24.125.74.in-addr.arpa IN PTR + (192.168.1.10)

client 192.168.1.62#54101: query: www.google.com IN A + (192.168.1.10)

client 192.168.1.62#45118: query: 104.24.125.74.in-addr.arpa IN PTR + (192.168.1.10)

client 192.168.1.62#53712: query: www.google.com IN A + (192.168.1.10)

client 192.168.1.62#43310: query: 103.24.125.74.in-addr.arpa IN PTR + (192.168.1.10)

client 192.168.1.62#48785: query: www.google.com IN A + (192.168.1.10)

client 192.168.1.62#59555: query: 99.24.125.74.in-addr.arpa IN PTR + (192.168.1.10)

client 192.168.1.62#35323: query: www.google.com IN A + (192.168.1.10)

client 192.168.1.62#60638: query: 147.24.125.74.in-addr.arpa IN PTR + (192.168.1.10)

client 192.168.1.62#60519: query: www.google.com IN A + (192.168.1.10)

client 192.168.1.62#34655: query: 106.24.125.74.in-addr.arpa IN PTR + (192.168.1.10)

client 192.168.1.62#60825: query: www.google.com IN A + (192.168.1.10)

client 192.168.1.62#47557: query: 105.24.125.74.in-addr.arpa IN PTR + (192.168.1.10)

client 192.168.1.62#51029: query: www.google.com IN A + (192.168.1.10)

client 192.168.1.62#52278: query: 104.24.125.74.in-addr.arpa IN PTR + (192.168.1.10)

client 192.168.1.62#52265: query: www.google.com IN A + (192.168.1.10)

client 192.168.1.62#52297: query: 103.24.125.74.in-addr.arpa IN PTR + (192.168.1.10)

client 192.168.1.62#59041: query: www.google.com IN A + (192.168.1.10)

client 192.168.1.62#45521: query: 99.24.125.74.in-addr.arpa IN PTR + (192.168.1.10)

client 192.168.1.62#41589: query: www.google.com IN A + (192.168.1.10)

client 192.168.1.62#41616: query: 147.24.125.74.in-addr.arpa IN PTR + (192.168.1.10)

client 192.168.1.62#41052: query: www.google.com IN A + (192.168.1.10)

client 192.168.1.62#59726: query: 106.24.125.74.in-addr.arpa IN PTR + (192.168.1.10)

[Bono2007]

Warning: mysql_connect() [function.mysql-connect]: Host 'v167.c3.dhosting.pl' is blocked because of many connection errors; unblock with 'mysqladmin flush-hosts' in /home/klient.dhosting.pl/fibargroup4/ml.fibaro.com/public_html/saveMLUser.php on line 8
DB error

 

Juste une base de donnée à  priori pour effectivement faire le lien entre home.fibaro.com et la box. 

[gargamel01000]

J'ai oublié de vous dire que ma connection a distance fonctionne parfaitement, meme si mo firewall bloque les requêtes.

[Shad]

Il n'y a rien dans le ficher saveMLuser.php

 

 

array(0) {
}
 

 

et 0 caractere dans le get

Pour moi ce n'est rien de grave.

[NetIPSO]

voila ce qui est envoyer chez figaro : 

 

J'ai bien sur enlevé les informations perso pour les users déclare admin et xxxx

 

PK_AccessPoint=HC2-XXXXXX_Key=XX..XXuserID=144userName=USERNAMEinterval=20

 

 

Pour j'ai créer un fichier php :

cat saveMLUser.php 

<?php

$fp = fopen ("info.txt", "w+");

foreach($_POST as $key=>$value)

{

  fwrite ($fp, "$key=$value");

}

  fclose ($fp);

?>

 

et une modification de mon dns perso qui revois tous ml.fibaro.com sur mon serveur local...

[Berale64]

Je comprends pourquoi la petite loupiote de ma LiveBox clignote en permanence depuis que j'ai une Fibaro.

[fdp2]

@Netipso : j'ai pas vraiment compris a quoi correspondent les infos que tu as remplacé par des xxx ? Id de ta box ? Password ?

Envoyé de mon SM-G900F en utilisant Tapatalk

[NetIPSO]

effectivement il y a l'ID de la BOX ainsi que la clef pour la connection distante (enfin je suppose) les ID des users ainsi que leur Noms.

 

il y a également en parallèle une requête vers http://www.realip.info qui permet d'avoir votre IP ainsi qu'une pseudo localisation.

[Lazer]

@NetIPSO : Concernant les requêtes vers Google, c'est le script de détection de connexion àInternet, qui permet d'allumer la diode en façade. Rien d'anormal de ce coté là.

[Nico]

Donc c'est bien ce que je pensais plus haut, c'est simplement pour pouvoir faire fonctionner le home.fibaro.

[NetIPSO]

effectivement je pense que c'est pour le home.fibaro. 

 

Ok pour la requête google... enfin un requête / seconde ca me parait exagérer pour une detection a internet... puis quid des requêtes vers les IP 74.125.24.XX des IP également fournis par google, a quoi servent elles ?

[XSRomano]

bonjour les jeunes

des news alors ca craint ou pas ? on doit bloquer sur son FW?

@+ XSR