Piratage boite mail

[mister-jingle]

Bonsoir,

J'ai un problème depuis peu, je pense avoir été piraté.
Je m'explique, j'ai recu sur ma boite mail de secours un message (authentique) de yahoo m'indiquant une activité suspecte avec un code de validation. L'IP venait du Vietnam, j'ai donc sécurisé ma boite mail. Il y a peu en naviguant sur google j'ai eu le droit à des caractères asiatiques, je pense donc que l'intrusion semble avérée et se poursuit actuellement.
J'ai un système de sécurité avec caméra IP à la maison et j'ai lu que l'intrusion pouvait venir de là mais je n'y crois pas trop. Je pense plus à un logiciel malveillant.
J'ai passé une commande netstat et j'ai des IP référencées comme douteuses qui sont apparues et qui plus est les mêmes sur les deux ordinateurs de mon réseau local, je peux vous transmettre des captures d'écran si nécessaire.
Mon antivirus/parefeu ne détecte aucune intrusion (mode automatique niveau de surveillance élevé).
Sauriez-vous comment procéder?
J'utilise aussi régulièrement un VPN, est-il normal que l'IP locale ne soit pas du type 192.168.X.X sur netstat?

Merci
-----

[LongaRipa]

Bonjour

J'utilise aussi régulièrement un VPN, est-il normal que l'IP locale ne soit pas du type 192.168.X.X sur netstat?

Vous pouvez poster une copie ecran du netstat?
Normalement, l'adresse locale est l'adresse locale

Bonjour


Nous allons commencer par établir un diagnostic du PC . Pour cela ,

Télécharger Farbar Recovery Scan Tool (de Farbar) sur le Bureau.(IMPORTANT)

Attention: Il faut lancer la version compatible avec le système : 32 ou 64bits.

Cliquer ici pour la version 32 bits
Cliquer ici pour la version 64 bits

Info : comment savoir quelle version de Windows j'utilise ?

Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

• Faire un click droit sur l'outil, puis executer en tant qu'administrateur pour le lancer. Quand l'outil se lance, cliquer sur Oui pour accepter le disclaimer.
• Cliquer sur le bouton Analyser.
  
  
  
• L'outil va créer un rapport nommé FRST.txt, enregistré dans le même dossier que l'outil.
• A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt.

Poster les deux rapports générés.

Dans un souci de confidentialité, les rapports doivent être postés en pièces jointes


Sont attendus les rapports :
frst.txt
addition.txt

[mister-jingle]

Bonjour,
Voici les screenshots netstat
image1.jpg
image2.jpg
connexion avec un équipement local mais je ne vois pas lequel (commande netstat sur mon deuxième ordinateur), bizare
image3.jpg

Liste de quielques IP suspectes:
AbuseIPDB » 93.184.220.29
AbuseIPDB » 178.249.97.23
AbuseIPDB » 185.64.189.115
AbuseIPDB » 93.184.220.29
AbuseIPDB » 104.244.42.133
AbuseIPDB » 52.109.88.40
AbuseIPDB » 52.109.124.23
AbuseIPDB » 108.161.189.78

[LongaRipa]

Bonjour

Les ip locales sont normales : il y a l'adresse IPV4 et l'adresse IPV6.
Les adresses qui semblent suspectes ne le sont pas tellement, a priori .
Vous pouvez les vérifier avec, par exemple
https://ipinfo.io/93.184.220.29
https://dnslytics.com/ip/108.161.189.78


Par contre vous n'avez pas fourni les 2 rapports demandés..

[A voir en vidéo sur Futura]

[mister-jingle]

Bonjour,

J'ai essayé de trouver la fonction permettant de déposer le rapport en mode confidentiel en passant par "Options supplémentaires" comme expliqué dans le tuto mais je ne le trouve pas.
C'est le site AbuseIPDB qui indique d'après les utilisateurs des tentatives de piratage depuis ces IP.
Autre remarque, depuis le vrai mail reçu de la part de yahoo, j'en ai eu trois faux, les voici ci-joints avec les liens de pishing et les adresses des émetteurs (au cas ou ça intéresse certains ).

NE PAS CLIQUER SUR LES LIENS, ils sont automatiquement générés comme liens par la boite de dialogue du forum, je ne parviens pas à désactiver l'URL.

mail 1 ***@t-online.de *https://***.web.app/*
Yahoo Mail !

Une activité inhabituelle sur votre compte Yahoo Mail !

Pour éviter la suspension de votre compte, veuillez résoudre le problème dans un délai de 24h.

Cliquez sur Connexion-Yahoo puis ré-connectez-vous correctement.

L'équipe Yahoo

mail 2 ****@t-online.de *https://lc.***/mKjs*
Yahoo Mail !

Une activité inhabituelle sur votre compte Yahoo Mail !

Pour éviter la suspension de votre compte, veuillez résoudre le problème dans un délai de 24h.

Cliquez sur Connexion-Yahoo puis ré-connectez-vous correctement.

L'équipe Yahoo

mail 3 ***@t-online.de *https://***-dorre.web.app/*
Cher abonné !

Connexion non identifiée sur votre compte, quelqu'un essaie de se connecter sur votre boite mail.
S'il ne s'agit pas de vous Cliquez-ici pour une vérification.

Cordialement,
L'équipe Yahoo

[LongaRipa]

Re

Vous etes certain que le 1er mail recu de Yahoo était authentique?
Parce que, en avoir recu d'autres dans la foulée, c'est bizarre.

Pour les pieces jointes, si vous répondez avec le bouton vert : "Répondre à la discussion", il faut aller en mode avancé, en bas à droite.
Sinon, répondez en cliquant sur répondre, en bas du message.

[mister-jingle]

Re

Le premier mail me donnait un code de validation pour m'authentifier sur une connexion inhabituelle (IP au Vietnam), pas de lien, mail type avec logo, donc certainement officiel, rien à voir avec les trois autres. C'est suite à la sécurisation de mon compte (nouveau mdp) que j'ai recu des mails frauduleux. Je pense que le pirate n'avait plus le bon mdp est a tenté de me pirater à nouveau.

Est-ce que les liens de pishing vous renseignent sur la méthode de piratage?

Dans le rapport établi par Farbar, je retrouve les IP suspectes (mises en évidence par netstat) dans "Internet (Avec liste blanche)".

Les voici ci-joints, j’espère qu'ils pourront vous aider. Vous n'utilisez pas Hijack-this pour les rapports?

[LongaRipa]

Re

Non, on n'utilise plus hijackthis, qui n'est plus mis à jour et qui est donc obsolète. FRST est beaucoup plus complet .

Les adresses IP décrites dans la section Internet sont des adresses de DNS utilisées par le vpn.

Tcpip\..\Interfaces\{77aae8ec-323c-4de4-b86b-e76d48011356}: [DhcpNameServer] 103.86.99.99 103.86.96.96 103.86.96.100 103.86.99.100

Elles appartiennent à TEFINCOM , qui fournit nordvpn https://dnslytics.com/ip/103.86.99.99

Tcpip\..\Interfaces\{bfa4f8e7-757d-42a2-8b87-be38da02f14e}: [DhcpNameServer] 78.46.223.24 162.242.211.137
Celles-ci appartiennent à des serveurs cloud , que vous devez surement utiliser.

A priori, tout ceci est légitime.

Pour les mails recus, si vous pouviez poster les entetes completes(en cachant votre propre adresse mail ) . ca pourrait donner une idée de leur provenance
Le 1 er recu, et les suivants

Il n'y a pas d'infection visible dans les rapports. On va faire une autre analyse quand même.

Malwarebyte's antimalware Mode analyse uniquement

Un tuto complet est présenté ici : https://forum.security-x.fr/tutoriel...malware-22723/

Choisissez l'analyse personnalisée, en cliquant la case "rootkit" .
Postez le rapport en pièces jointes, comme les précédents.

[mister-jingle]

Tcpip\..\Interfaces\{bfa4f8e7-757d-42a2-8b87-be38da02f14e}: [DhcpNameServer] 78.46.223.24 162.242.211.137
Celles-ci appartiennent à des serveurs cloud , que vous devez surement utiliser.

Je n'utilise pas de cloud, cela m'apparaissait bizarre de voir apparaître des lignes cloud dans netstat à l'état CLOSE_WAIT.

Pour l'histoire des IP locales, il me semble que j'en ai une attribuée par le logiciel VPN du type 10.8.x.x et la deuxième classique 192.168.x.x (deux réseaux différents si j'ai bien compris).

Est-ce qu'il est normal que mon ordinateur se connecte en local avec ma TV android (v. image 3 netstat du précédent message)?

Je vous joins:
- les mails Yahoo
- le rapport Malwarebytes de mon portable (1 rootkit trouvé)
- le rapport Farbar de mon deuxième ordinateur (si vous avez le temps de jeter un coups d'oeuil dessus)

Merci de votre aide

[LongaRipa]

Bonjour

Malwarebytes confirme qu'il n'y a rien . Ce qu'il a détecté et mis en quarantaine est anecdotique.

Pour les mails recus, on ne peut pas en dire grand chose comme ca. Les 3 premiers semblent des fakes, le dernier semble légitime.
Il faudrait les entetes complets pour approfondir eventuellement.

Une entete complete, c'est quelque chose comme ca :

Code:

From - Sun Jan  5 14:13:21 2020
X-Account-Key: account3
X-UIDL: 1078104142.15335
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:                                                                                 
Return-Path: <lyonnaises.conises@vacherin.fr>
Received: from mwinf5c07 (mwinf5c07 [10.223.111.57])
	 by mwinb1606 with LMTPA;
	 Sun, 05 Jan 2020 14:05:14 +0100
X-Sieve: CMU Sieve 2.3
Received: from vacherin.fr ([95.62.7.143])
	by mwinf5c07 with ME
	id md582100C359LA701d58uF; Sun, 05 Jan 2020 14:05:09 +0100
X-bcc: XXXXXXXXXXX@YYYYYYY.fr
X-ME-bounce-domain: wanadoo.fr
X-ME-engine: default
X-me-spamcause: (200)(1000)gggruggvucftvghtrhhoucdtuddrgedufedrvdegkedggeejucetufdoteggodetrfdotffvucfrrhhofhhilhgvmecuoffgpdggtffipffknecuuegrihhlohhuthemucegtddtnecusecvtfgvtghiphhivghnthhsucdlqddutddtmdenogfuphgrmhgsohhtqdetgeduuddqtdegucdlfedttddmnecujfgurhepffggtgfuhffvsehrtddtredttddtnecuhfhrohhmpedfofhonhguihgrlhcutffgnfetjgcujegtfdcuoefoohhnughirghlrdftgffntegjrdegfhehlehfsehvrggthhgvrhhinhdrfhhrqeenucffohhmrghinhepvghlshhivghsfhhirhhsthifvggsshhithgvrdgtohhmnecukfhppeelhedriedvrdejrddugeefnecurfgrrhgrmhephhgvlhhopehvrggthhgvrhhinhdrfhhrpdhinhgvthepleehrdeivddrjedrudegfedpmhgrihhlfhhrohhmpehlhihonhhnrghishgvshdrtghonhhishgvshesvhgrtghhvghrihhnrdhfrhdprhgtphhtthhopehphhhilhdqlhgvughutgesfigrnhgrughoohdrfhhrnecuvehluhhsthgvrhfuihiivgeptd
X-me-spamlevel: low
X-ME-Helo: vacherin.fr
X-ME-IP: 95.62.7.143
X-ME-Entity: ofr
Message-ID: <08d5056df9ee4004c4616dcda9159584@mwinf5c07.me-wanadoo.net>
Date: Sun, 05 Jan 2020 14:44:53 +0200
SC_RED_ID: 1126368526.andreperrin0965@orange.fq
X-Mailru-Sender: 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
MIME-Version: 1.0
X-Mailru-Intl-Transport: d,7aacf67
Content-Type: multipart/related; 
	boundary="------------21D836A11120949B14376E68"
X-Mras: OK
X-7FA49CB5: c8d7e3d4080b5afacee9e646c61208098abb3ce7790a78f5316d3e1933cca36cd4f3284e2f3fb088d2a1687f30095eeb4dd3638d17168cc250dca8c495b3ae7d1478b87f192009bf2c4420c21e69fc7a9e47274f2cb37d42c0708a0b07dc215425a2227b3322c1bdb4cd13bd6d94f860b5dfa1fa5bc5656f1850ab27999c38e212e879452d16bf707a3a3946997195101308d5c201368a4b6c494e3248871e61501863ad3b7eee0a63d252101a39e11f49748cb34460a11c3e92eea1c7e0daf09cf65d85d6
X-FBB: rk7vJVXT4.SyWda9pn.Bk5xSlK1t4
X-KIP: [l7Ylh7Gzx+s9KVBq20hkG/pCSDMV4J2a]
Subject: *** SPAM *** Mondial RELAY
X-Senderinfo: 48630
From: "Mondial RELAY 7c" <Mondial.RELAY.4f59f@vacherin.fr>
X-77F55803: 3d7ac4a768f66e623466f993f89db9c0cbf77bc9cbd3cd2835043750436b2d9a0a5faad5a89480dc753d6d49eae7eb75da92e678cff338ec524f3ff9f89a60dc805beffbafa1967e8e66557ebcd513ad688efd71323e401aff5c8e8485b1e3ac1be4adef61550f5d655b84e4f9cb87f49dfc269383867dec
To: "XXXXXXXX" <XXXXXXXX@YYYYYYYYYY.fr>

Pour l'adresse supposée appartenir à un cloud, il est possible que l'un des logiciels y fait appel à un moment donné.
De toute facon,il y a énormément d'adresses IP qui sont visibles dans un netstat.
Une pub affichée dans une page web, c'est une connexion...Et il en a à foison..*

Si vous faites une analyse avec Wireshark, vous n'aurez pas fini d'éplucher le contenu...

Est-ce qu'il est normal que mon ordinateur se connecte en local avec ma TV android (v. image 3 netstat du précédent message)?

Ca ne semble pas anormal.
Il est possible que la télé cherche des sources de diffusion sur le réseau, et que la connexion s'établisse ainsi.
Peut-etre que le PC fait de meme.

Concernant le 2eme pC, il manque le rapport addition.txt.
Mais, à priori, il est propre.
Il semble que vous ayez cracké Windows et/ou Office, avec autokms.
Ce genre de truc peut apporter des malwares.
Je n'interviendrai pas plus sur cet appareil, conformément à la charte du forum.

[mister-jingle]

Bon si tout semble en ordre tant mieux.
Je reste encore sur ma faim, je ne saurai pas comment on s'est procuré mon ancien mdp pour se connecter à ma boite depuis l'étranger (pourtant je suis prudent je ne me connecte que sur des PC connus), je ne saurai pas non plus pourquoi google m'a affiché des caractères asiatiques lors d'une précédente recherche.

Il semble que vous ayez cracké Windows et/ou Office, avec autokms.
Ce genre de truc peut apporter des malwares.
Je n'interviendrai pas plus sur cet appareil, conformément à la charte du forum.

Ok je comprends...
Merci encore pour le boulot
Juste une dernière chose est-ce que le message suivant vous dit quelque chose (apparaît à la fermeture et au démarrage de Windows), j'ai fait une recherche internet et il est mentionné une possible infection...
bitdefender.png

[LongaRipa]

Pour le message: le mieux est d'envoyer le fichier à BitDefender.
Un exemple https://www.commentcamarche.net/foru...ur-bitdefender
Je ne pense pas que ce soit une infection, plutot un bug.

Pour les caractères asiatiques , il est possible que ce soit une interprétation de caracteres erronés à l'affichage.
Pour le mot de passe, difficile à dire .

J'oubliais : désinstallez Spybot .
Il n'est plus à jour et n'a pas vraiment d’intérêt, et peut ralentir le systeme