Lundi soir je réinstalle un Win2k Server avec IIS sur mon portable, j'applique le SP2 et je continues l'installation de diverses applications. Le mardi en début de matinée je m'apperçois de quelque chose de bizare des .eml partout, conclusion nimda est passé par la. Un petit coup d'AntiNimda (merci AVP) et tout rentre dans l'ordre.
 
Le serveur IIS n'étant pas patché et le portable n'ayant pas encore d'antivirus, rien de surprenant à cela si ce n'est qu'il n'a été connectée que dans deux situations :
 
- via un routeur Zyxel, sans port mappin.
- via un partage de connexion ADSL Win2k sur un serveur IIS patché et non infecté.
 
Comment Nimda a t'il pu exploiter le serveur IIS de mon portable ?

[edtdd]--Message édité par Guru--[/edtdd]

au travers d'un mail recu ou d'une page deja verole sur le net

Peut-etre as tu un autre ordinateur de ton réseau local infecté (te connaissant je doute que tu l'ai reçu par email et exécuté  et même je doute de ma prmière hypothèse ) ?
 
La c'est plus du domaine du mystère qu'autre chose...
 
Dans les logs du serveur IIS du portable tu auras des accès (root.exe, cmd.exe) et l'IP de l'hote qui t'a contaminé... je pesne que c'est un bon point de départ pour commencer l'enquête

Merci Requin je n'ai pas pensé a regarder les log. Une fois le virus éradiqué j'ai continué a l'installation des applications.
 
J'ai pensé aux serveurs IIS du réseau, ils sont tous patchés ou sains. Je regarde les log.
 
Merci de votre aide  

En regardant le log, je l'ai chopé lundi soir visiblement peu de temps après l'installation de Win2k au vu de l'heure depuis plusieurs adresses d'abonnés wanadoo (80.x.x.x), et donc à travers le Prestige 642R
 
Mon interrogation maintenant est comment ces requêtes ont pu arriver jusqu'au serveur IIS, le Prestige est censé filtrer non. Requin toi qui connais ces routeurs qu'en penses tu, que conseilles tu ?  

[edtdd]--Message édité par Guru--[/edtdd]

Logiquement tout appel qui arrive de l'extérieur si il n'y a pas de "port forwading" est bloqué (il atterit dans les choux diront nous)...
 
Donc soit tu as un port forwarding sur l'IP de ton portable (peut-etre une vieille config oubliée en des temps immémoriaux, menu 15 du Zyxel si ma mémoire est bonne et un indice de pas de bol élevé), soit je n'y comprends plus rien
 
Car bon ce worm entre autres scans les IPs (facon Code Red I & II) et vue que tu as je suppsoe du NAT one-to-many (une IP publique, X IPs privées) ben ca ne devrait tout simplement pas pouvoir passer (le routeur ne sait pas sur quelle IP interne envoyer le paquet)

Le seul port forwarding que j'ai fait à une époque pour tester était sur une autre machine que le portable. J'avoue ne pas trop comprendre. Le Zyxel est configuré en NAT, un IP publique dynamique donnée par l'ISP (Wanadoo en l'occurence) et plusieurs IP privées côté LAN (192.168.0.x).
 
Je vais quand même pas mettre un Zywall 10 derrière le prestige... y aurait il une faille sur le prestige ?

[edtdd]--Message édité par Guru--[/edtdd]

J'en doute, c'est en fait techniquement pas possible et n'importe quel routeur NAT aurait discardé les paquets, tout cimpleemnt car il n'aurait pas su ou les envoyer...
 
Je ne connais pas précisément la méthode que Zyxel utilise pour renvoyer les paquets un bon hôte du LAN, mais la ca me semble tiré par les cheveux (ce serait bien la première fois qu'une application arrive à passer le NAT avec une simple requête HTTP)
 
Ou sinon c'est que nimda est maousse costaud !  

Je vérifierais quand même demain soir la configuration du Zyxel. Mais la je suis franchement très intrigué et tout d'un coup un peu moins confiant en la relative sécurité de l'installation  
 
J'ai vu l'URL que tu as donné vers les tests de FW je vais jetter un oeil finalement. Merci de ton aide

Ouaip en tout cas c'est étrange, sans port forwarding que ca puisse passer... quelque soit le routeur NAT.

Je suis d'accord et ca m'inquiete un peu. Je vérifierais la config du Zyxel dès que possible doit y avoir qqch.
 
Sinon je regardais le lien que tu as donné chez TrueSecure et contrairement a ce qu'annonce Zyxel sur son site concernant la famille des Zywall, ils ne l'annoncent pas certifié. As tu des infos la dessus ?

Requin> J'ai vérifié la configuration du Zyxel et contrairement a ce que je pensais il faisait bien du forwarding du port 80 vers l'IP du portable et non de l'autre machine. Le mystère est donc levé

gdfgdf