Mathieu Réau

Bon, l'extinction de mon logiciel de Torrent n'a rien donné. Mais à la réflexion, je me suis rendu compte que c'est normal, puisque ce dernier fonctionne sur un autre ordinateur et ne fait que stocker ses données sur le NAS... Les protocoles de transit doivent donc être tout autres. Suis-je bête... Je n'ai donc pas de logiciel de torrent actif sur mon NAS. Hier, après la survenue du problème, j'avais essayé de désactiver les deux applications que j'utilise pour synchroniser certains dossiers de mon appareil à des services d'hébergement en ligne, tels Google Drive et Dropbox, sans résultat. Depuis la dernière attaque, je n'ai également rétabli aucun des services permettant normalement l'accès à distance à mon NAS, tels le service FTP ou DDNS... Je ne vois donc rien sur mon appareil qui puisse communiquer via ce port jusqu'à des adresses situées hors de mon réseau local... On dirait bien quelque chose cloche. Si je ferme le port 6881 de la box, cependant, est-ce que cela ne risque pas d'interférer avec le fonctionnement de mon client de torrent dont je parlais plus haut ?

Merci beaucoup pour ton aide, @Toto61 ! Le serveur Torrent ? Effectivement, j'en utilise un avec ce NAS. Je vais le couper un moment et voir ce que ça donne.

Bonjour à tous, chers amis, L'informatique, et Internet en particulier, semblent ne pas être le long fleuve tranquille dont je rêve pourtant toutes les nuits... Me voici de nouveau devant une grande source d'inquiétude et d'embarras. Depuis hier soir, à la suite de la mise à jour vers la version 4.5.3.1697 du système d'exploitation de mon NAS TS231P de la marque Qnap, ayant également entraîné la mise à jour de plusieurs des logiciels installés dessus, dont le pare-feu, je me retrouve comme cela m'était arrivé il y a quelques mois, bombardé de notifications m'indiquant que ledit pare-feu repousse un nombre de tentatives de connexion à mon matériel excédant son seuil de sécurité. J'ignore si les deux évènements sont liés d'une quelconque manière, mais il m'a semble pertinent de le relever. Une rapide recherche sur Internet ne m'a pas permis d'être informé d'une attaque de grande envergure comme ce fut le cas la dernière fois... Afin de mieux comprendre, peut-être, de quoi il retourne, j'ai procédé à un enregistrement des paquets interceptés par le pare-feu. Mais je suis bien en peine de comprendre le rapport produit. L'un d'entre vous saurait-il le décrypter et déterminer, notamment, la provenance géographique de ces tentatives d'accès rejetées ? Cela me serait vraiment d'une grande aide et je vous en remercie sincèrement d'avance. QuFirewall_Basic protection_20210627.pcap

Bonsoir, Voici les rapports attendus. Après application du nouveau correctif : https://www.cjoint.com/c/KDhtE2FcfXQ Et après suppression des outils de désinfection : https://www.cjoint.com/c/KDhuo7WWZ1Q Mise à jour de Windows 10 vers la version 20H2 (drôle de numéro, d'ailleurs) effectuée. La protection du système était toujours activée et configurée. Merci beaucoup pour les consignes de sécurité que je m'efforcerai de respecter. Il se trouve, justement, que, parmi mes différents ordinateurs, c'est celui-ci que je destine presque exclusivement aux applications en lien avec Internet, donc celles qui présentent le plus de risques. Je suppose qu'une mesure utile pour le garder en bonne santé serait de le désinfecter régulièrement ? Tous les mois ? Tous les ans ?

Merci beaucoup pour le suivi de ma désinfection. Avant de procéder à la suite des opérations, j'aimerais soumettre ici une petite interrogation quant au nouveau correctif FRST que tu me soumets : quels sont donc ces éléments superflus qu'il est censé supprimer ? En le parcourant un peu, je crois comprendre qu'il est question de menus contextuels (sur clic droit de la souris ?) permettant l'accès rapide aux fonctions de certains logiciels, notamment WinRar que j'utilise très couramment. Est-ce bien ce dont il s'agit ? En ce qui concerne les logiciels dont tu me recommandes la désinstallation, j'ai tout d'abord un téléchargement actuellement en cours avec µTorrent. J'envisage d'attendre qu'il soit terminé avant de migrer, si possible, vers un autre logiciel de torrent et pouvoir ainsi désinstaller celui-ci. Ce devrait être l'affaire de quelques jours. J'ai en revanche un usage quotidien et important de Discord et ne compte donc pas m'en séparer, nonobstant les risques que cela me fait manifestement prendre.

Bonsoir, @Firebird et merci infiniment pour tes conseils. J'ai suivi la procédure que tu m'as indiquée. Voici les rapports générés cependant : Après application du correctif avec FRST : https://www.cjoint.com/c/KDfvMJ3Cm1Q Après le nettoyage avec ZHPCleaner : https://www.cjoint.com/c/KDfvNssOgeQ Après vérification avec ZHPSuite et FRST : https://www.cjoint.com/c/KDfvNW1Hn4Q https://www.cjoint.com/c/KDfvOpRasnQ https://www.cjoint.com/c/KDfvOYEU0aQ Pour l'instant, je n'observe pas vraiment de changement dans le comportement de mon ordinateur, ni en bien ni en mal. Je précise toutefois que je viens juste de terminer et que le seul souci notable que j'avais relevé jusqu'alors, et qui n'est peut-être pas lié à l'objet de cette désinfection, est qu'il plantait de manière aléatoire dès que, manifestement, j'écoutais de la musique avec. Je vais le tester et le surveiller dans les prochains jours pour voir en quoi il y a du mieux. Merci encore pour tes instructions.

C'est très gentil, merci beaucoup !

Bonjour à tous ! Pendant que @Toto61 me conseillait dernièrement pour faire face à une attaque informatique (donc je suis pour l'heure heureusement sauvé, un grand merci à lui !), j'ai été amené, suivant ses conseils éclairés, à inspecter mon ordinateur à l'aide des outils ZHPSuite et FRST. Ayant repéré sur les rapports produits par ces deux outils des "joyeusetés", il m'a chaudement recommandé de la soumettre à la sagacité de gens plus experts que lui et surtout que moi en la question afin d'apprendre comment pallier ces déficiences. Je suis apparemment au bon endroit, n'est-ce pas ? Il y a même une section dédiée à ça, sur ce forum ? Je ne l'avais encore jamais remarqué ! Voilà les liens vers les rapports susmentionnés (disponibles en ligne pendant quatre jours) : https://www.cjoint.com/c/KDesFpPz31Q https://www.cjoint.com/c/KDesGBPcfLQ Et le dernier en pièce jointe (ça buggait...). Je m'en remets à vous et vous remercie d'avance chaleureusement pour votre assistance ! Addition.txt

Le c c... Tu parles de la Covid ?

Désolé de ne pas avoir mis à jour le sujet plus tôt. À l'heure actuelle, il semble que l'attaque ait cessé. Avec Toto, je cherche encore à isoler certaines particularités de mon réseau local qui me semblent suspectes, mais mon pare-feu semble néanmoins avoir fait son travail. On va tout de même dire que le plus dur est passé !

Merci, @calisto06. J'ai installé la toute dernière mise à jour hier ! Je veillerai à ne pas trop tarder, les prochaines fois !

Je l'espère ! Je suis également rassuré de savoir que l'équipe de Qnap est sur le coup.

Merci beaucoup pour l'info, @calisto06 ! Une attaque de grande ampleur ? Mince, c'est pas cool...

Ils se serviraient de mon NAS mon faire de la cryptomonnaie ??! Ben... Et ma commission, alors ?

Merci beaucoup, Delta. @Toto61, je m'occupe en ce moment même des manipulations que tu m'as demandées avant de répondre à ton message. Merci pour ton assistance.

De m'envoyer des rapports de tentatives d'effraction toutes les heures, plutôt. Ces tentatives ont lieu plusieurs fois par minutes. Suffit que je réactualise le journal de mon pare-feu pour constater que le nombre de paquets refoulés a augmenté. Même en cliquant plusieurs fois d'affilée.

J'ai laissé la box éteinte cette nuit (neuf heures d'affilée) : mon IP est toujours la même et l'attaque doit toujours être en cours, puisque mon pare-feu continue de bloquer des tentatives d'accès toutes les heures. Comme je le disais, je sais que mon NAS est pris pour cible car ses notifications m'ont averti de ces tentatives d'accès (et parce que ledit accès est protégé par un mot de passe). Mais le risque n'existe-t-il pas, si quelqu'un peut atteindre mon NAS, que n'importe quel autre élément de mon réseau puisse être également touché, en ce moment comme à plus ou moins brève échéance ? La situation m'inquiète d'autant plus que je ne sais pas vraiment ce qui se passe ni ce que je dois faire pour m'en prémunir.

Vous voulez dire de laisser la box éteinte pendant un ou deux jours avant de la rallumer ?

À ce propos, j'y pensais à l'instant, mais qu'est-ce qui me dit que l'attaque ne cible que mon NAS ? Tous les appareils connectés à mon réseau sont potentiellement menacés, n'est-ce pas ? Il n'y aurait vraiment aucun moyen d'établir un pare-feu au niveau de la box afin de protéger tout le réseau plutôt que de mon NAS uniquement ?

IP fixe. Parce que c'est un abonnement professionnel, si je comprends bien ?

Pff, le code sur la capture d'écran... Bravo ! Merci de l'avoir remarqué. Je vais essayer de voir si l'IP de ma box est fixe ou non. Si elle l'est, que puis-je y faire ? J'ai une connexion par ADSL. À tout à l'heure.

Je viens de désactiver la fonction myQnapCloudLink qui permet le lien avec le site de myQnapCloud et mon nom de domaine, pour voir si les tentatives de connexion s'arrêtent... Ce n'est pas le cas. Tout semble donc indiquer que l'attaquant est en possession de mon adresse IP, n'est-ce pas ? P.S. : ce @§£$% est en train de foutre ma journée en l'air.

e ne sais pas exactement ce que tu entends par "type de connexion"... Filaire ou WiFi, tu veux dire ? Filaire. Adresse IP fixe, oui, parce que tout mon réseau local est relié au NAS et ça m'évite donc d'avoir à tout paramétrer de nouveau si la box redémarre pour une raison ou une autre. Je pense qu'il n'y a que myQnapCloud qui établit un lien permanent entre le NAS et l'extérieur de la manière dont tu l'entends. Avec mon compte, je dispose d'un nom de domaine me permettant d'accéder (normalement) au NAS à distance en HTTP. Comme je n'y connais vraiment rien, je n'avais pas vraiment cherché plus loin, mais là, j'ai téléchargé et installé un certificat SSL depuis Let'sEncrypt (censé mieux sécuriser la connexion, si je comprends bien). Peut-être est-ce nom de domaine qui est visé ? La notification que m'envoie le pare-feu est des plus sobres : [QuFirewall] In time of 2021-03-23 15:15:02 ~ 2021-03-23 15:16:04, the denied amount reach the set threshold: 30. Trente tentatives d'accès repoussées en une minute... J'ai également joint une capture d'écran de la page des services de publication du NAS. Tous étaient désactivés à l'exception du "NAS Web", que je viens de passer en privé. Je ne suis malheureusement pas en mesure de faire une sauvegarde complète des fichiers contenus sur mon NAS : je ne dispose pas de stockages externes suffisamment volumineux. Une partie substantielle de mes données ne peut ainsi pas être sauvegardée ailleurs.

Le pare-feu semble efficace, mais je reçois des notifications de sa part qui m'indiquent que les tentatives de connexion se poursuivent. Quel que soit l'attaquant, il me cible manifestement de façon obstinée. @Toto61, tes questions sont assez techniques, mais je vais m'efforcer d'y répondre dans la mesure de mes capacités... J'utilise, sur mon NAS, une application permettant de synchroniser à l'heure dite (pas en temps réel) mes dossiers locaux et mes comptes de type Dropbox, Google Drive, etc.. Est-ce cela que tu appelles des services "cloud" ? Je n'ai pas mis l'IP locale de mon NAS dans une DMZ de ma box, non. J'avais, en revanche, ouvert une redirection sur le port FTP pour permettre l'accès à distance aux fichiers de mon NAS, mais je l'ai fermée ce matin, par pure précaution, car le protocole de la tentative d'accès est en HTTP, pas en FTP. À ma connaissance, mais elle reste modeste, je n'ai permis aucun accès depuis l'extérieur à mon NAS en HTTP, à l'exception de la synchronisation avec mon compte myQnapCloud (paramétré en privé) qui me permet d'accéder au NAS à distance. Je possède, normalement, un lien rapide me permettant de m'y connecter directement, mais il n'a en réalité jamais fonctionné et il a toujours fallu, pour que j'y parvienne, que je me connecte d'abord sur mon compte myQnapCloud et ensuite sur mon NAS à partir de là (deux mots de passe différents). Que devrais-je contrôler, selon toi, pour m'assurer que tout est en ordre de ce point de vue-là ?

J'ai trouvé un pare-feu pour mon NAS et je l'ai paramétré avec l'un de ses profils intégrés. On dirait que ça fonctionne ! Si Calisto a tout de même des conseils à me donner sur le sujet, je reste preneur. Merci pour ton aide, @Delta !