Mathieu Réau

J'ai effectué deux heures d'enregistrement par sessions de trente minutes. J'envoie le dernier rapport, puisqu'il semble que les rapports soient cumulatifs. Dans le contraire, j'enverrai également les autres. QuFirewall_Basic protection_20210704 4.rar

C'est bien ce qu'il me semblait. Je n'ai pas l'impression... Je ne trouve rien de ce genre, en tout cas. Et si je cumulais plusieurs captures d'une demi-heure avec le pare-feu de mon NAS ? Quatre ou cinq, pas exemple. Ça donnerait un échantillon suffisant ?

Trente minutes, c'est le maximum. Ce qui est curieux, c'est que j'étais persuadé d'avoir fait un enregistrement plus long, la dernière fois... Peut-être que la durée maximale a été réduite depuis la dernière mise à jour.

En fait, je dispose de deux interfaces différentes sur mon pare-feu afin "d'analyser" autant que faire se peut l'action qu'il mène. Il y a tout d'abord l'interface de capture des paquets refusés que cette capture d'écran montre intégralement (après une capture) : Elle est d'une simplicité navrante, comme tu peux le constater, la seule chose qu'il est possible de paramétrer étant la durée de l'enregistrement. Lequel, si je comprends bien, s'ajoute en fin de compte au rapport global des précédents enregistrements effectués que je ne peux exporter que de la façon dont je te l'ai toujours envoyé. Et il y a aussi l'interface comptabilisant les paquets interceptés par le pare-feu : Elle ne montre aucun détail de plus et, là encore, la seule chose paramétrable se trouve être l'intervalle durant lequel s'établissent les rapports ici présentés. Je suis désolé, je ne pense pas être en mesure de faire plus avec cette application. Je crois que c'est très basique à côté de ce que d'autres pare-feu plus sophistiqués doivent permettre. J'ai compressé le rapport de ma dernière capture au format .rar. Je ne pensais pas gagner autant ! J'espère que le fichier n'est pas corrompu... QuFirewall_Basic protection_20210703.rar

Des chances qu'elle rate des trucs ?

Ce doit être parce que j'ai désactivé l'application qui ouvrait le port 6881 sur la Livebox. J'imagine que, si je la relance, le trafic réapparaîtra. Puisque je me suis autrefois servi de cette application pour télécharger des torrents, se pourrait-il que ces tentatives de connexion proviennent de peers sondant mon client à la recherche de l'un ou l'autre des fichiers que j'avais téléchargés à l'époque ? Le pare-feu disponible sur le NAS que j'utilise me semble fournir bien peu d'informations à l'utilisateur en-dehors de la création d'un rapport de capture de paquets. Depuis l'application elle-même, je ne peux que consulter le nombre de paquets rejetés par le pare-feu sur une période de temps donnée. À l'heure que tu m'indiques pour ces deux tentatives de connexion suspecte, soit autour de dix-sept heures chez moi, avec le décalage horaire, voici que le pare-feu m'indique : 2021/07/02 16:57-17:57 9 All IPV4 Any Any 0.0.0.0 Deny 403 All IPV4 Any Any Any Deny 3 All IPV6 Any Any Any Deny Le nombre de paquets indiqué sur la ligne du milieu se situe dans la même fourchette que tout au long de ces derniers jours. Sur les deux autres lignes, les évènements bloqués sont plus rares mais se produisent tout de même de temps à autres, dans des proportions similaires. La capture que j'ai faite hier ne traduit donc, en soi, aucune différence notable avec les jours précédents et n'explique pas pourquoi, du jour au lendemain, le nombre de paquets bloqués est passé de moins de 150 à plus de 400... Or, c'est bien ce que je ne comprends pas puisque, d'après toi, il n'y a pas tant de trafic suspect que cela aux portes de mon NAS...

Oui, c'est un véritable soulagement ! Aussitôt dit... QuFirewall_Basic protection_20210702.pcap Merci, Toto !

Ça y est, la réinitialisation du compte administrateur a fonctionné au poil ! Je suis en train de rétablir les connexions comme avant et je ne compte pas y retoucher avant d'avoir de quoi faire une vraie sauvegarde complète de mes fichiers ! Bon, ceci étant derrière moi, reste mon problème de pare-feu qui s'affole pour une raison totalement inconnue... Comme je le demandais avant de faire n'importe quoi avec mes comptes, est-ce que je laisse courir en rehaussant simplement le niveau d'alerte ? Est-ce que je fais une nouvelle capture pour jeter un œil ?

Merci, @Toto61 pour cette trouvaille ! Heureusement, non, il n'est pas trop tard, je n'ai encore rien touché depuis hier soir. J'ai découvert qu'il existe apparemment un moyen de réinitialiser le compte administrateur par défaut (celui que j'ai bêtement désactivé) sans formater le disque. Je commencerai donc par ça et, si ça ne fonctionne toujours pas, j'emploierai la méthode que tu me proposes.

Bon, ben ce que je craignais c'est bien produit : une fois le NAS redémarré, je n'ai plus accès à rien. Mes deux comptes administrateurs sont inaccessibles, aussi bien le nouveau que l'ancien... Je n'ai plus qu'à réinitialiser les paramètres d'usine, je présume...

Effectivement, la procédure est la même, mais je suis passé à l'étape 4 avant de me rendre compte qu'il y avait les étapes 2 et 3... Et en voulant me rattraper, j'ai fait planter le NAS. J'ai toutefois l'impression que mon problème d'accès aux dossiers via mon nouveau compte utilisateur a fini par se résoudre. Les modifications que j'avais lancées ont dû finir par s'appliquer... Mais le système d'exploitation du NAS a complètement planté. Je n'arrive même pas à lancer un redémarrage... Je viens de découvrir que le redémarrage manuel fonctionne, en revanche ! Redémarrage propre, avec extinction des applications. Ça devrait éviter des problèmes... J'espère que je pourrai me reconnecter une fois que ce sera fait.

J'ai encore accès à certains dossiers depuis mon ordinateur, j'en profite pour sauvegarder ce que je peux, au cas où...

J'ai bien reçu la notification de vos deux derniers messages, ceci dit. Peut-être que j'ai juste été distrait la dernière fois... Ben, ça ne ressemble à rien, en fait. Ça dit juste que le seuil d'alerte est dépassé. Severity: Warning Date/Time: 2021/07/01 11:11:07 App Name: QuFirewall Category: Firewall Events Message: [QuFirewall] In time of 2021-07-01 10:49:01 ~ 2021-07-01 11:11:02, the denied amount reach the set threshold: 150. Le seul moyen que j'ai de voir ce qui est retenu par le pare-feu, c'est la capture de paquets comme celles que je t'ai envoyées, mais je n'ai pas le sentiment que la dernière permette d'y voir vraiment plus clair... Je sais que je change de sujet, mais je rencontre en ce moment un problème encore plus préoccupant avec mon NAS. Suivant les recommandations de la dernière mise à jour de son système d'exploitation que je viens de faire, j'ai décidé (je n'aurais pas dû) de migrer du compte administrateur par défaut que j'utilisais jusque-là vers un autre compte. Cela m'a aussitôt causé une monstrueuse quantité que je n'avais pas anticipée de problèmes d'accès aux fichiers contenus sur le NAS depuis mon ordinateur qui l'utilisait comme lecteur réseau. C'est en tentant de résoudre ces problèmes d'accès en répartissant les autorisations nécessaires à mon nouveau compte que je crains d'avoir fait planter l'appareil... Tout d'un coup, dans le tableau de création des autorisations, je ne voyais apparaître plus aucun compte, plus aucun dossier, dans le gestionnaires des utilisateurs, mon nouveau compte avait disparu et, maintenant, le NAS mouline dans la semoule parce que j'ai eu la bête idée d'essayer d'ouvrir un onglet... Je ne sais pas quoi faire, ma hantise étant que, si je fais une bêtise de plus, je ne puisse accéder à plus rien de ce qui est stocké sur le NAS, perdant ainsi de grosses quantités de données que j'ai ajoutées récemment sans avoir eu l'intelligence de les sauvegarder ailleurs... Autant dire que je n'ose plus rien faire sans l'avis de quelqu'un de plus qualifié que moi...

Bizarre, je n'ai pas été notifié par mail de ta réponse... Je me demande quand même ce qui met autant mon pare-feu en alerte si rien dans le suivi du trafic ne semble alarmant... Les fameuses requêtes de découvertes SSDP ou DHCP dont tu parlais ? Le nombre de paquets bloqués chaque heure par le pare-feu reste stable, autour de 400... S'il ne se passe rien de préoccupant, penses-tu que je n'aie plus qu'à rehausser le seuil d'alerte pour éviter d'être embêté par les notifications ? À propos, avec quoi réussis-tu à ouvrir le rapport de capture de paquets de mon pare-feu, exactement ? Le seul moyen que j'ai trouvé pour l'ouvrir, pour ma part, est de le convertir en fichier texte, mais cela le rend quasiment inintelligible alors que sur ta capture d'écran, tout semble parfaitement clair ! Si la prochaine fois, je suis en mesure de le lire tout seul, je n'aurai peut-être pas à venir vous embêter !

Aucune trace d'accès vers mon NAS ? Mais il s'agit pourtant d'une capture provenant du pare-feu de mon NAS ! Il ne doit pas pouvoir s'amuser à bloquer des connexions qui ne lui sont pas destinées, si ? Je continue également de recevoir des alertes du pare-feu qui bloque entre trois cents et quatre cents paquets entrants par heure alors que son seuil d'alerte est fixé à cent cinquante. Et comment se fait-il que tu aies pu lire vingt-sept heures d'enregistrement alors que je n'ai fait qu'une capture de trente minutes, exactement comme la précédente ? C'est fourni avec un historique ? Ça me rassure que tu n'y trouves rien d'alarmant, mais je ne comprends vraiment pas ce qu'il se passe ni si je peux y faire quelque chose.

Voici le rapport de ce nouvel enregistrement. J'espère qu'on y verra plus clair... QuFirewall_Include subnets only_20210628.pcap

Désactiver l'application dont je parlais semble empêcher la réapparition des règles que j'ai supprimées... Sauf que les tentatives d'accès interceptées par mon pare-feu ne s'arrêtent pas, elles ! Alors je suis en train de faire un nouvel enregistrement des paquets interceptés, pour voir d'où ça vient...

Bon sang, les deux règles que j'ai supprimées sont réapparues ! Cette fois, je coupe aussi l'application que je pense être responsable, pour voir si les règles apparaissent de nouveau... Mais qu'est-ce qu'il m'arrive encore ?

En effet, je trouve deux règles sur ma Livebox redirigeant le trafic sur le port 6881 directement vers mon NAS via les protocoles UDP et TCP ! J'ai retrouvé une capture d'écran que j'avais faite lors de la dernière attaque, et ces deux règles n'existaient alors pas. C'est dommage que la date de leur création ne soit pas indiquée, mais il est bien possible que cela se soit produit lors de la mise à jour du NAS l'autre jour... D'après le libellé, l'application associée à ce trafic est un client libtorrent à la version 0.16.17. Après quelques recherches, cela me permet de désigner, je pense, le coupable : mon NAS dispose effectivement d'une application permettant le téléchargement en p2p via libtorrent ! Deux remarques m'interrogent, cependant : je m'en sers très rarement et aucun torrent n'est actif depuis un moment avec cette application la version de libtorrent indiquée dans le tableau de la Livebox n'a rien à voir avec la version 1.2.11 que l'appli sur mon NAS dit utiliser L'application de téléchargement en question fait justement partie de celles que j'ai dû mettre à jour après avoir mis à jour le système d'exploitation du NAS. Il s'est peut-être passé un truc de ce côté-là qui aurait, je sais pas, laissé ouverts des ports de l'ancienne version... Je dis n'importe quoi, mais je ne peux m'empêcher de penser que la concomitance entre la mise à jour et cette avalanche de connexion n'est pas anodine. J'ai flanqué à la poubelle les deux règles de redirection sur la table UPnP de la Livebox... Ça devrait régler le souci ! Je devrais rapidement m'en rendre compte. Encore une fois merci pour ton aide, @Toto61 !

Bon, l'extinction de mon logiciel de Torrent n'a rien donné. Mais à la réflexion, je me suis rendu compte que c'est normal, puisque ce dernier fonctionne sur un autre ordinateur et ne fait que stocker ses données sur le NAS... Les protocoles de transit doivent donc être tout autres. Suis-je bête... Je n'ai donc pas de logiciel de torrent actif sur mon NAS. Hier, après la survenue du problème, j'avais essayé de désactiver les deux applications que j'utilise pour synchroniser certains dossiers de mon appareil à des services d'hébergement en ligne, tels Google Drive et Dropbox, sans résultat. Depuis la dernière attaque, je n'ai également rétabli aucun des services permettant normalement l'accès à distance à mon NAS, tels le service FTP ou DDNS... Je ne vois donc rien sur mon appareil qui puisse communiquer via ce port jusqu'à des adresses situées hors de mon réseau local... On dirait bien quelque chose cloche. Si je ferme le port 6881 de la box, cependant, est-ce que cela ne risque pas d'interférer avec le fonctionnement de mon client de torrent dont je parlais plus haut ?

Merci beaucoup pour ton aide, @Toto61 ! Le serveur Torrent ? Effectivement, j'en utilise un avec ce NAS. Je vais le couper un moment et voir ce que ça donne.

Bonjour à tous, chers amis, L'informatique, et Internet en particulier, semblent ne pas être le long fleuve tranquille dont je rêve pourtant toutes les nuits... Me voici de nouveau devant une grande source d'inquiétude et d'embarras. Depuis hier soir, à la suite de la mise à jour vers la version 4.5.3.1697 du système d'exploitation de mon NAS TS231P de la marque Qnap, ayant également entraîné la mise à jour de plusieurs des logiciels installés dessus, dont le pare-feu, je me retrouve comme cela m'était arrivé il y a quelques mois, bombardé de notifications m'indiquant que ledit pare-feu repousse un nombre de tentatives de connexion à mon matériel excédant son seuil de sécurité. J'ignore si les deux évènements sont liés d'une quelconque manière, mais il m'a semble pertinent de le relever. Une rapide recherche sur Internet ne m'a pas permis d'être informé d'une attaque de grande envergure comme ce fut le cas la dernière fois... Afin de mieux comprendre, peut-être, de quoi il retourne, j'ai procédé à un enregistrement des paquets interceptés par le pare-feu. Mais je suis bien en peine de comprendre le rapport produit. L'un d'entre vous saurait-il le décrypter et déterminer, notamment, la provenance géographique de ces tentatives d'accès rejetées ? Cela me serait vraiment d'une grande aide et je vous en remercie sincèrement d'avance. QuFirewall_Basic protection_20210627.pcap

Bonsoir, Voici les rapports attendus. Après application du nouveau correctif : https://www.cjoint.com/c/KDhtE2FcfXQ Et après suppression des outils de désinfection : https://www.cjoint.com/c/KDhuo7WWZ1Q Mise à jour de Windows 10 vers la version 20H2 (drôle de numéro, d'ailleurs) effectuée. La protection du système était toujours activée et configurée. Merci beaucoup pour les consignes de sécurité que je m'efforcerai de respecter. Il se trouve, justement, que, parmi mes différents ordinateurs, c'est celui-ci que je destine presque exclusivement aux applications en lien avec Internet, donc celles qui présentent le plus de risques. Je suppose qu'une mesure utile pour le garder en bonne santé serait de le désinfecter régulièrement ? Tous les mois ? Tous les ans ?

Merci beaucoup pour le suivi de ma désinfection. Avant de procéder à la suite des opérations, j'aimerais soumettre ici une petite interrogation quant au nouveau correctif FRST que tu me soumets : quels sont donc ces éléments superflus qu'il est censé supprimer ? En le parcourant un peu, je crois comprendre qu'il est question de menus contextuels (sur clic droit de la souris ?) permettant l'accès rapide aux fonctions de certains logiciels, notamment WinRar que j'utilise très couramment. Est-ce bien ce dont il s'agit ? En ce qui concerne les logiciels dont tu me recommandes la désinstallation, j'ai tout d'abord un téléchargement actuellement en cours avec µTorrent. J'envisage d'attendre qu'il soit terminé avant de migrer, si possible, vers un autre logiciel de torrent et pouvoir ainsi désinstaller celui-ci. Ce devrait être l'affaire de quelques jours. J'ai en revanche un usage quotidien et important de Discord et ne compte donc pas m'en séparer, nonobstant les risques que cela me fait manifestement prendre.

Bonsoir, @Firebird et merci infiniment pour tes conseils. J'ai suivi la procédure que tu m'as indiquée. Voici les rapports générés cependant : Après application du correctif avec FRST : https://www.cjoint.com/c/KDfvMJ3Cm1Q Après le nettoyage avec ZHPCleaner : https://www.cjoint.com/c/KDfvNssOgeQ Après vérification avec ZHPSuite et FRST : https://www.cjoint.com/c/KDfvNW1Hn4Q https://www.cjoint.com/c/KDfvOpRasnQ https://www.cjoint.com/c/KDfvOYEU0aQ Pour l'instant, je n'observe pas vraiment de changement dans le comportement de mon ordinateur, ni en bien ni en mal. Je précise toutefois que je viens juste de terminer et que le seul souci notable que j'avais relevé jusqu'alors, et qui n'est peut-être pas lié à l'objet de cette désinfection, est qu'il plantait de manière aléatoire dès que, manifestement, j'écoutais de la musique avec. Je vais le tester et le surveiller dans les prochains jours pour voir en quoi il y a du mieux. Merci encore pour tes instructions.