Mathieu Réau

Effectivement, la procédure est la même, mais je suis passé à l'étape 4 avant de me rendre compte qu'il y avait les étapes 2 et 3... Et en voulant me rattraper, j'ai fait planter le NAS. J'ai toutefois l'impression que mon problème d'accès aux dossiers via mon nouveau compte utilisateur a fini par se résoudre. Les modifications que j'avais lancées ont dû finir par s'appliquer... Mais le système d'exploitation du NAS a complètement planté. Je n'arrive même pas à lancer un redémarrage... Je viens de découvrir que le redémarrage manuel fonctionne, en revanche ! Redémarrage propre, avec extinction des applications. Ça devrait éviter des problèmes... J'espère que je pourrai me reconnecter une fois que ce sera fait.

J'ai encore accès à certains dossiers depuis mon ordinateur, j'en profite pour sauvegarder ce que je peux, au cas où...

J'ai bien reçu la notification de vos deux derniers messages, ceci dit. Peut-être que j'ai juste été distrait la dernière fois... Ben, ça ne ressemble à rien, en fait. Ça dit juste que le seuil d'alerte est dépassé. Severity: Warning Date/Time: 2021/07/01 11:11:07 App Name: QuFirewall Category: Firewall Events Message: [QuFirewall] In time of 2021-07-01 10:49:01 ~ 2021-07-01 11:11:02, the denied amount reach the set threshold: 150. Le seul moyen que j'ai de voir ce qui est retenu par le pare-feu, c'est la capture de paquets comme celles que je t'ai envoyées, mais je n'ai pas le sentiment que la dernière permette d'y voir vraiment plus clair... Je sais que je change de sujet, mais je rencontre en ce moment un problème encore plus préoccupant avec mon NAS. Suivant les recommandations de la dernière mise à jour de son système d'exploitation que je viens de faire, j'ai décidé (je n'aurais pas dû) de migrer du compte administrateur par défaut que j'utilisais jusque-là vers un autre compte. Cela m'a aussitôt causé une monstrueuse quantité que je n'avais pas anticipée de problèmes d'accès aux fichiers contenus sur le NAS depuis mon ordinateur qui l'utilisait comme lecteur réseau. C'est en tentant de résoudre ces problèmes d'accès en répartissant les autorisations nécessaires à mon nouveau compte que je crains d'avoir fait planter l'appareil... Tout d'un coup, dans le tableau de création des autorisations, je ne voyais apparaître plus aucun compte, plus aucun dossier, dans le gestionnaires des utilisateurs, mon nouveau compte avait disparu et, maintenant, le NAS mouline dans la semoule parce que j'ai eu la bête idée d'essayer d'ouvrir un onglet... Je ne sais pas quoi faire, ma hantise étant que, si je fais une bêtise de plus, je ne puisse accéder à plus rien de ce qui est stocké sur le NAS, perdant ainsi de grosses quantités de données que j'ai ajoutées récemment sans avoir eu l'intelligence de les sauvegarder ailleurs... Autant dire que je n'ose plus rien faire sans l'avis de quelqu'un de plus qualifié que moi...

Bizarre, je n'ai pas été notifié par mail de ta réponse... Je me demande quand même ce qui met autant mon pare-feu en alerte si rien dans le suivi du trafic ne semble alarmant... Les fameuses requêtes de découvertes SSDP ou DHCP dont tu parlais ? Le nombre de paquets bloqués chaque heure par le pare-feu reste stable, autour de 400... S'il ne se passe rien de préoccupant, penses-tu que je n'aie plus qu'à rehausser le seuil d'alerte pour éviter d'être embêté par les notifications ? À propos, avec quoi réussis-tu à ouvrir le rapport de capture de paquets de mon pare-feu, exactement ? Le seul moyen que j'ai trouvé pour l'ouvrir, pour ma part, est de le convertir en fichier texte, mais cela le rend quasiment inintelligible alors que sur ta capture d'écran, tout semble parfaitement clair ! Si la prochaine fois, je suis en mesure de le lire tout seul, je n'aurai peut-être pas à venir vous embêter !

Aucune trace d'accès vers mon NAS ? Mais il s'agit pourtant d'une capture provenant du pare-feu de mon NAS ! Il ne doit pas pouvoir s'amuser à bloquer des connexions qui ne lui sont pas destinées, si ? Je continue également de recevoir des alertes du pare-feu qui bloque entre trois cents et quatre cents paquets entrants par heure alors que son seuil d'alerte est fixé à cent cinquante. Et comment se fait-il que tu aies pu lire vingt-sept heures d'enregistrement alors que je n'ai fait qu'une capture de trente minutes, exactement comme la précédente ? C'est fourni avec un historique ? Ça me rassure que tu n'y trouves rien d'alarmant, mais je ne comprends vraiment pas ce qu'il se passe ni si je peux y faire quelque chose.

Voici le rapport de ce nouvel enregistrement. J'espère qu'on y verra plus clair... QuFirewall_Include subnets only_20210628.pcap

Désactiver l'application dont je parlais semble empêcher la réapparition des règles que j'ai supprimées... Sauf que les tentatives d'accès interceptées par mon pare-feu ne s'arrêtent pas, elles ! Alors je suis en train de faire un nouvel enregistrement des paquets interceptés, pour voir d'où ça vient...

Bon sang, les deux règles que j'ai supprimées sont réapparues ! Cette fois, je coupe aussi l'application que je pense être responsable, pour voir si les règles apparaissent de nouveau... Mais qu'est-ce qu'il m'arrive encore ?

En effet, je trouve deux règles sur ma Livebox redirigeant le trafic sur le port 6881 directement vers mon NAS via les protocoles UDP et TCP ! J'ai retrouvé une capture d'écran que j'avais faite lors de la dernière attaque, et ces deux règles n'existaient alors pas. C'est dommage que la date de leur création ne soit pas indiquée, mais il est bien possible que cela se soit produit lors de la mise à jour du NAS l'autre jour... D'après le libellé, l'application associée à ce trafic est un client libtorrent à la version 0.16.17. Après quelques recherches, cela me permet de désigner, je pense, le coupable : mon NAS dispose effectivement d'une application permettant le téléchargement en p2p via libtorrent ! Deux remarques m'interrogent, cependant : je m'en sers très rarement et aucun torrent n'est actif depuis un moment avec cette application la version de libtorrent indiquée dans le tableau de la Livebox n'a rien à voir avec la version 1.2.11 que l'appli sur mon NAS dit utiliser L'application de téléchargement en question fait justement partie de celles que j'ai dû mettre à jour après avoir mis à jour le système d'exploitation du NAS. Il s'est peut-être passé un truc de ce côté-là qui aurait, je sais pas, laissé ouverts des ports de l'ancienne version... Je dis n'importe quoi, mais je ne peux m'empêcher de penser que la concomitance entre la mise à jour et cette avalanche de connexion n'est pas anodine. J'ai flanqué à la poubelle les deux règles de redirection sur la table UPnP de la Livebox... Ça devrait régler le souci ! Je devrais rapidement m'en rendre compte. Encore une fois merci pour ton aide, @Toto61 !

Bon, l'extinction de mon logiciel de Torrent n'a rien donné. Mais à la réflexion, je me suis rendu compte que c'est normal, puisque ce dernier fonctionne sur un autre ordinateur et ne fait que stocker ses données sur le NAS... Les protocoles de transit doivent donc être tout autres. Suis-je bête... Je n'ai donc pas de logiciel de torrent actif sur mon NAS. Hier, après la survenue du problème, j'avais essayé de désactiver les deux applications que j'utilise pour synchroniser certains dossiers de mon appareil à des services d'hébergement en ligne, tels Google Drive et Dropbox, sans résultat. Depuis la dernière attaque, je n'ai également rétabli aucun des services permettant normalement l'accès à distance à mon NAS, tels le service FTP ou DDNS... Je ne vois donc rien sur mon appareil qui puisse communiquer via ce port jusqu'à des adresses situées hors de mon réseau local... On dirait bien quelque chose cloche. Si je ferme le port 6881 de la box, cependant, est-ce que cela ne risque pas d'interférer avec le fonctionnement de mon client de torrent dont je parlais plus haut ?

Merci beaucoup pour ton aide, @Toto61 ! Le serveur Torrent ? Effectivement, j'en utilise un avec ce NAS. Je vais le couper un moment et voir ce que ça donne.

Bonjour à tous, chers amis, L'informatique, et Internet en particulier, semblent ne pas être le long fleuve tranquille dont je rêve pourtant toutes les nuits... Me voici de nouveau devant une grande source d'inquiétude et d'embarras. Depuis hier soir, à la suite de la mise à jour vers la version 4.5.3.1697 du système d'exploitation de mon NAS TS231P de la marque Qnap, ayant également entraîné la mise à jour de plusieurs des logiciels installés dessus, dont le pare-feu, je me retrouve comme cela m'était arrivé il y a quelques mois, bombardé de notifications m'indiquant que ledit pare-feu repousse un nombre de tentatives de connexion à mon matériel excédant son seuil de sécurité. J'ignore si les deux évènements sont liés d'une quelconque manière, mais il m'a semble pertinent de le relever. Une rapide recherche sur Internet ne m'a pas permis d'être informé d'une attaque de grande envergure comme ce fut le cas la dernière fois... Afin de mieux comprendre, peut-être, de quoi il retourne, j'ai procédé à un enregistrement des paquets interceptés par le pare-feu. Mais je suis bien en peine de comprendre le rapport produit. L'un d'entre vous saurait-il le décrypter et déterminer, notamment, la provenance géographique de ces tentatives d'accès rejetées ? Cela me serait vraiment d'une grande aide et je vous en remercie sincèrement d'avance. QuFirewall_Basic protection_20210627.pcap

Bonsoir, Voici les rapports attendus. Après application du nouveau correctif : https://www.cjoint.com/c/KDhtE2FcfXQ Et après suppression des outils de désinfection : https://www.cjoint.com/c/KDhuo7WWZ1Q Mise à jour de Windows 10 vers la version 20H2 (drôle de numéro, d'ailleurs) effectuée. La protection du système était toujours activée et configurée. Merci beaucoup pour les consignes de sécurité que je m'efforcerai de respecter. Il se trouve, justement, que, parmi mes différents ordinateurs, c'est celui-ci que je destine presque exclusivement aux applications en lien avec Internet, donc celles qui présentent le plus de risques. Je suppose qu'une mesure utile pour le garder en bonne santé serait de le désinfecter régulièrement ? Tous les mois ? Tous les ans ?

Merci beaucoup pour le suivi de ma désinfection. Avant de procéder à la suite des opérations, j'aimerais soumettre ici une petite interrogation quant au nouveau correctif FRST que tu me soumets : quels sont donc ces éléments superflus qu'il est censé supprimer ? En le parcourant un peu, je crois comprendre qu'il est question de menus contextuels (sur clic droit de la souris ?) permettant l'accès rapide aux fonctions de certains logiciels, notamment WinRar que j'utilise très couramment. Est-ce bien ce dont il s'agit ? En ce qui concerne les logiciels dont tu me recommandes la désinstallation, j'ai tout d'abord un téléchargement actuellement en cours avec µTorrent. J'envisage d'attendre qu'il soit terminé avant de migrer, si possible, vers un autre logiciel de torrent et pouvoir ainsi désinstaller celui-ci. Ce devrait être l'affaire de quelques jours. J'ai en revanche un usage quotidien et important de Discord et ne compte donc pas m'en séparer, nonobstant les risques que cela me fait manifestement prendre.

Bonsoir, @Firebird et merci infiniment pour tes conseils. J'ai suivi la procédure que tu m'as indiquée. Voici les rapports générés cependant : Après application du correctif avec FRST : https://www.cjoint.com/c/KDfvMJ3Cm1Q Après le nettoyage avec ZHPCleaner : https://www.cjoint.com/c/KDfvNssOgeQ Après vérification avec ZHPSuite et FRST : https://www.cjoint.com/c/KDfvNW1Hn4Q https://www.cjoint.com/c/KDfvOpRasnQ https://www.cjoint.com/c/KDfvOYEU0aQ Pour l'instant, je n'observe pas vraiment de changement dans le comportement de mon ordinateur, ni en bien ni en mal. Je précise toutefois que je viens juste de terminer et que le seul souci notable que j'avais relevé jusqu'alors, et qui n'est peut-être pas lié à l'objet de cette désinfection, est qu'il plantait de manière aléatoire dès que, manifestement, j'écoutais de la musique avec. Je vais le tester et le surveiller dans les prochains jours pour voir en quoi il y a du mieux. Merci encore pour tes instructions.

C'est très gentil, merci beaucoup !

Bonjour à tous ! Pendant que @Toto61 me conseillait dernièrement pour faire face à une attaque informatique (donc je suis pour l'heure heureusement sauvé, un grand merci à lui !), j'ai été amené, suivant ses conseils éclairés, à inspecter mon ordinateur à l'aide des outils ZHPSuite et FRST. Ayant repéré sur les rapports produits par ces deux outils des "joyeusetés", il m'a chaudement recommandé de la soumettre à la sagacité de gens plus experts que lui et surtout que moi en la question afin d'apprendre comment pallier ces déficiences. Je suis apparemment au bon endroit, n'est-ce pas ? Il y a même une section dédiée à ça, sur ce forum ? Je ne l'avais encore jamais remarqué ! Voilà les liens vers les rapports susmentionnés (disponibles en ligne pendant quatre jours) : https://www.cjoint.com/c/KDesFpPz31Q https://www.cjoint.com/c/KDesGBPcfLQ Et le dernier en pièce jointe (ça buggait...). Je m'en remets à vous et vous remercie d'avance chaleureusement pour votre assistance ! Addition.txt

Le c c... Tu parles de la Covid ?

Désolé de ne pas avoir mis à jour le sujet plus tôt. À l'heure actuelle, il semble que l'attaque ait cessé. Avec Toto, je cherche encore à isoler certaines particularités de mon réseau local qui me semblent suspectes, mais mon pare-feu semble néanmoins avoir fait son travail. On va tout de même dire que le plus dur est passé !

Merci, @calisto06. J'ai installé la toute dernière mise à jour hier ! Je veillerai à ne pas trop tarder, les prochaines fois !

Je l'espère ! Je suis également rassuré de savoir que l'équipe de Qnap est sur le coup.

Merci beaucoup pour l'info, @calisto06 ! Une attaque de grande ampleur ? Mince, c'est pas cool...

Ils se serviraient de mon NAS mon faire de la cryptomonnaie ??! Ben... Et ma commission, alors ?

Merci beaucoup, Delta. @Toto61, je m'occupe en ce moment même des manipulations que tu m'as demandées avant de répondre à ton message. Merci pour ton assistance.

De m'envoyer des rapports de tentatives d'effraction toutes les heures, plutôt. Ces tentatives ont lieu plusieurs fois par minutes. Suffit que je réactualise le journal de mon pare-feu pour constater que le nombre de paquets refoulés a augmenté. Même en cliquant plusieurs fois d'affilée.