[RÉSOLU]Ordi distant veut communiquer

[Lola]

salut,
et très bonne année 2017 à tous les membres du forum.

Je ne sais pas trop où m'adresser et comme j'ai confiance au "anciens" de ce forum, je me lance :

depuis quelques jours, Eset S.S. (8.0.319.1) m'avertit que : "un ordinateur distant tente de communiquer avec une application s'exécutant sur cet ordinateur. Voulez-vous autoriser cette communication?"
L'ip est toujours différente.
La plupart du temps, elle se présente ainsi : HINET-IP.net (14.32.228.22 ..par exemple). C'est Hinet qui revient le plus souvent. Déjà 4 fois ce matin.
Par deux fois : sparqnet suivi d'une IP
Deux fois également : Static-86.125.18.204.craiova.rdsnet.ro

Bien sûr, je refuse l'entrée.

Je fais une recherche sur DNSlookup :
- provenance Taïwan pour HINET,....
- Roumanie pour Static,.....
- Chili pour sparqnet.

J'ai fait la "totale" côté analyse :
-W7 à jour
- UAC activé
- Malwarebytes : 0
- Eset : 0
- AdwareCleaner : 0
- ZHPcleaner : 0

J'ai même fait deux scans en ligne (Trend Micro et F-Secure) et une analyse de ports sur https://www.grc.com/x/ne.dll?bh0bkyd2. Rien à signaler.

Au minimum, j'aimerais bloquer le domaine Hinet dans Eset, mais je ne connais pas la "formule".

merci d'avance

[LaDidi21]

@Lola:
Tu as, un peu (!), oublié de décrire ton système ! OS ? Admin ? Windows Update à jour ? ...
Tu es derrière une box avec une @IP privée ou tu as une @IP publique sur le PC qui reçoit la demande ?
Tu es sous navigateur quand tu la reçois ?

[qwerty75]

j'aimerais bloquer le domaine Hinet dans Eset

Salut, avec ESET Smart Security 8 :

• clic droit sur l'icône ESET
  configuration avancée
  Internet et messageries
  Protection de l'accès Web
  Gestion d'adresses URL
  Sélectionner : Liste des adresses bloquées
  Ajouter
  Entrer ceci : *http://www.hinet.net/*
  Valider 2 fois

Résultat :

[Lola]

re-salut ,

bon, déjà, j'ai bloqué le domaine Hinet avec ton renseignement, qwerty75. L'adresse est bloquée si je veux y aller, ok. Mais je n'y suis jamais allée.

En près de 12 ans je n'ai jamais eu de virus ou autre pb du genre. Mais là, la parano me guette. Le truc se présente une dizaine de fois par jour.

Au cas où, pour compléter, Ladidi (j'ai quand même dit W7 update à jour )
- Admin
- modem D-Link 320T (éthernet)
- Réseau public

Eset m'annonce le truc avec ou sans Firefox lancé. Bien sûr, je bloque à chaque fois, mais c'est angoissant.

Depuis 8 jours à peu près, c'est surtout Hinet.
Je n'ai eu que deux fois " craiova.rdsnet.ro" (avec une IP blacklistée vue sur DNSlookup) et "sparqnet"

Donc, si je comprends bien, je peux aussi faire : *http://craiova.rdsnet.ro/*
L'autre, sparqnet, je ne crois pas l'avoir en entier.

En attendant la suite, merci beaucoup à tous les deux.

[edit]je reviens. @ qwerty75 : après avoir mis cette adresse dans Eset, je viens d'avoir une nouvelle demande. Donc, ça ne bloque pas automatiquement l'entrée. mince.....
le modem ne pourrait pas être piraté ?

[Raphael]

Au cas ou tu en laisserais un passer Lola

♦-> https://noransom.kaspersky.com/

[qwerty75]

Re...Il est vrai que la 1ère manip ESET interdit plutôt les adresses sortantes aux utilisateurs de ta machine.
ESET offre une autre possibilité pour les connexions entrantes:

• ESET --> Configuration avancée
  Réseau
  Règles et zones
  Pare-feu personnel
  (à droite) Éditeur de zones et de règles/Configuration...
  Nouveau
  Onglet général (exemple pour Hinet)
  .....taper : Bloquer les requêtes HINET-IP.net
  .....Direction : les deux
  .....Action : Refuser
  Onglet Distant
  .....Adresse distante/Ajouter une adresse IPv4
  .....Adresse unique : entrer 14.32.228.22 (par exemple)
  .....Ajouter une zone : Zone fiable + OK
  Valider partout

C'est à recommencer pour chaque intrusion



Cela fonctionnera tant que l'IP ne changera pas...

Curieusement j'ai trouvé un post similaire ailleurs : même cas, même rédaction, même matériel... et même date
Pour ce cas, Malekal_morte estime que le DNS est devenu une passoire.
Si les intrusions continuent, peut-être faudrait-il aussi en changer ?
Avec reset d'usine du modem et MAJ du firmware.

[LaDidi21]

@Lola:
Déjà admin, ce n'est pas une bonne idée !
Ensuite, tu ne réponds pas à la question : le PC qui reçoit les requêtes entrantes a-t-il une @IP publique ou privée ?
Même quand aucun navigateur n'est actif, tu reçois ce type de requête ?
Le service SERVER est actif ?

Si tu t'y connais un peu, utilise WireShark pour voir à quel service le PC distant cherche à se connecter (server, ...).
A moins qu'ESET l'indique ?

[Lola]

re,...

@ qwerty75 : rien d'extraordinaire ni de curieux......je me suis adressé au forum Malekal. Donc, suffisait de taper "hinet" pour le trouver :lol: .....ce que j'avais fait en tout premier pour trouver une éventuelle solution. Mais...rien.
Et je m'adresse aussi chez Thiweb car je sais qu'il y a des bons ici, chez les anciens.

"même cas, même rédaction, même matériel... et même date" : of course, je ne vais pas changer ma façon décrire, moi....c'est moi, mon matériel, c'est mon matériel et ici ou ailleurs, mon discours ne change pas. Seul le pseudo varie :lol:
"Pour ce cas, Malekal_morte estime que le DNS est devenu une passoire" : non, pas vraiment. Il ne dit pas cela, il dit que ça mène en Allemagne. Si tu regardes plus haut, ces DNS (les premières) avaient remplacé celles d'Orange qui avaient un pb en novembre. Je donne l'adresse du site qui en parlait. Là, j'ai remis celles d'Orange et d'après Malekal, ça marche, ce sont bien celles d'Orange.
"Si les intrusions continuent, peut-être faudrait-il aussi en changer" ? : c'est fait, revenu à celles d'Orange
"Avec reset d'usine du modem et MAJ du firmware" : le pb est que je n'ai jamais pu, dès le début, entrer dans ce modem à l'onglet "outils". Donc, après des années de bons services, je vais le laisser tomber. J'en ai commandé un autre qui devrait arriver mercredi.
Je suppose que Malekal n'est pas un amateur catégorie Z, et il pense que ce modem a été piraté (!!). Je ne savais pas que ça se faisait..... en tous cas, après diverses analyses, pas de pb de virus ou autre. Donc, si je comprends bien, Eset bloque correctement et fait son boulot.

Je mets en œuvre les directives que tu me donnes concernant les connexions entrantes.....du boulot en perspective car l'adresse ip change à chaque fois.

@ LaDidi21

1- faudrait que j'ouvre un compte "utilisateur standard" ?
2- pour l'ip publique ou privée, je ne sais te répondre vraiment. J'avais choisi "réseau public" après demande d'Eset. Quant à l'ip, elle m'est adressée par Orange, non ? Comment je peux savoir ça ?
3- oui, j'ai eu cette requête Firefox inactif
4- le service "SERVEUR" est actif et automatique

[LaDidi21]

@Lola:
Il vaut toujours mieux être utilisateur standard. Comme ça, tu as un toujours un profil disponible pour vérifier.

Pour connaître ton @IP : IPconfig.
Si tu es en 10.* ou 192.*, tu es en @IP privée.
L'@IP publique est fournie par ton FAI, ici Orange.
Les @IP privées sont fournies par le serveur DHCP de ta box.

:idea: Poste une copie d'écran du paramétrage de ta connexion ADSL sur ton modem.


Pour resetter le modem, tu as la réponse dans la FAQ : http://www.dlink.com/fr/fr/support/faq/ ... t-settings
Dans ce cas, retour au mot de passe par défaut : admin/admin (http://www.dlink.com/fr/fr/support/faq/ ... dem-router)

[Lola]

@ LaDiDi21

- Ip publique : celle donnée par le FAI
- ip privée : (DHCP) 192.168.1.1

Commande IPconfig = celle qui est donnée est celle du FAI uniquement

je te mets les copies d'écran : (je n'ai jamais pu entrer dans l'onglet "tools")








Déjà 3 requêtes ce matin, avec des IP différentes mais toujours de HINET.

[LaDidi21]

@Lola:
:idea: Mets les liens directs pour les images.




Tu peux réduire ta plage d'@IP pour ton DHCP car je doute que tu ais besoin de 253 @IP !

Tu as une seule prise Ethernet sur ton modem, tu as 1 ou plusieurs PCs derrière lui ? Si plusieurs, tu as un switch ou un hub ?

Tu n'as pas réussi le reset avec le bouton ( -> p. 3 de la doc.) ?
Tu n'as pas le mot de passe par défaut ?
Avec admin/admin, tu n'as pas accès à l'onglet "Tools" ?
Bizarre...

[Lola]

bonjour,

pour les images, je n'osais pas à cause de la place. Mais je saurai dans le futur.

Alors, je te réponds dans l'ordre :

- je veux bien que tu me dises comment faire pour réduire la plage d'IP .
- 1 seule prise éthernet sur le modem
- 1 seul pc

Bon, ce matin j'ai fait un reset du modem. Je verrai comment ça va se passer. (si une nouvelle alerte se représente, je vais me faire prêter un portable pour comparer et vois si ça vient du pc ou du modem)

Si, le mot de passe par défaut est bien connu :s Il fonctionne seulement lorsque je veux avoir accès à l'interface par 192.168.1.1
Et, depuis le tout début, je n'ai jamais eu accès à l'onglet "Tools". Il y a longtemps, j'avais voulu faire l'upgrade du firmware sans succès....et changer le mot de passe, sans succès.

Autre chose : je n'avais jamais fait attention qu'il y avait autre chose après 192.168.1.1 mais il est vrai que je n'en ai pas souvent le besoin. Ce matin je vois ceci : http://192.168.1.1/cgi-bin/webcm
cette partie : /cgi-bin/webcm s'ajoute dans la barre d'adresse lorsque l'interface du modem apparaît. Normal ?


[edit] bon,....je viens d'avoir une nouvelle requête à l'instant. Seulement une IP, cette fois. Sans préciser HINET.

[re-edit] 6 heures sur un autre pc (même modem, bien sûr) aucune requête. Le pb viendrait donc plutôt de mon pc et non du modem. Non ?

[Lola]

bonjour,

retour par politesse pour ceux qui ont bien voulu se pencher sur mon petit problème.

Changement de modem-routeur, firewall et SPI activés, pas une seule requête "visible" pour la journée d'hier.
Je suppose que le problème est réglé car il ne se passait pas 30 mn sans l'affichage des fameuses requêtes.

Merci pour votre temps passé et la recherche de solution.

Bon week-end et merci encore.

[LaDidi21]

@Lola:
*) Désolé pour le retard mais je n'avais pas vu ta réponse...
Pour réduire la plage d'@IP, il te suffit de modifier "Starting IP Address" et "Ending IP Address"

Avec ton ancien modem, comme tu n'avais qu'1 PC en sortie, il devait agir "comme pour une DMZ". Il devait juste NATer les requêtes entrantes (en clair, X -> @IP_publique_modem:port_modem -> @IP_privée_du_PC:port_modem)

[Lola]

Re-

pas de problème, tu n'es pas à mon service.

Je note le dernier conseil.

salut et merci LaDidi21