Résolu Impression pirate sur mon imprimante reliée par ethernet domestique

  • Auteur de la discussion papagolf
  • Date de début
P

papagolf

Nouveau membre
Bonjour à tous,

Voilà la description du problème.
Je reçois des impressions non sollicitées sur l'imprimante de mon réseau domestique.

Les éditions en découlant sont composées de quelques lignes dont voici les derniers échantillons
Echantillon 1 :
GET / HTTP/
TE: deflate,gzip;q=0,3
HOST: mon IP suivi de :9100
USer-Agent: libwww-perl-6.15

Echantillon 2:
GET http://www.ctrip.com/ HTTP/1.1
HOST www.ctrip.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:29.0) Gecko/20100101 Firefo
Connection : close
Accept-Encoding: gzip

Echantillon 3 :
GET http://www.qyer.com/ HTTP/1.1
HOST www.qyer.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:29.0) Gecko/20100101 Firefo
Connection : close
Accept-Encoding: gzip

Mon réseau domestique Ethernet est composé de
* PC sous W10
* Imprimante
* Disque dur LaCie
* Onduleur
le tout relié entre eux par un switch lui-même relié à la freebox.

Quand je supprime la liaison Ethernet avec l'imprimante, plus aucunes impressions pirates n'apparaissent.

Quelqu'un peut-il m'éclairer pour supprimer ces impressions intempestives en laissant la liaison Ethernet à l'imprimante?

Merci!
 
magellan

magellan

Modérâleur
Staff
1° vu le user agent, cela provient probablement non pas du réseau mais de ton PC avec un firefox visiblement vérolé par un virus ou un spyware.
2° Nettoyer le poste, voire virer firefox et le réinstaller ne sera pas du luxe.
3° Une fois cela fait, je pense que le problème sera résolu je pense.
 
P

papagolf

Nouveau membre


Merci Magellan de t'occuper de cela.

1. Firefox n'est pas installé
J'utilise Chrome!
2. Je passe régulièrement Windows Repair
3. Cela arrive même parfois quand le PC est éteint.

Je formule l’hypothèse qu'un PC extérieur imprime sur mon imprimante. J'ai déjà rencontré la personne émettrice de l'époque, il y a de cela 4 ou 5 ans.

Mais comment cela se peut?
A te lire
 
magellan

magellan

Modérâleur
Staff
Il n'y a pas mille possibilités, tu as nécessairement un point d'entrée réseau quelconque.
As tu une box, du wifi quelque part? si l'imprimante contient du wifi alors que tu es en filaire, désactive le purement et simplement. Si tu as du wifi sur ta box et que tu ne t'en sers pas, change le mot de passe WPA2, et ainsi de suite.

Pour ce qui est des impressions fantômes, cela n'arrive pas par hasard, il y a forcément soit un appareil chez toi qui fait n'importe quoi, soit un de l'extérieur qui se connecte.

As tu des smartphones utilisant le wifi domestique? Des tablettes? Ils peuvent être la source de tes ennuis aussi...

Mais pour ma part je soupçonne encore ton pc. Pourquoi?
TE: deflate,gzip;q=0,3
HOST: mon IP suivi de :9100
Si c'est TON host, il sert de "pont" pour d'autres origines, sachant que les deux URL mentionnées sont des sites de voyage, dont une spécifique à la Chine.

NOTA: pense aussi à vérifier le parefeu de ta box, et le nettoyage par windows repair n'est pas suffisant.
malwarebytes sera déjà un outil plus fiable et complet à mon sens...

 
P

papagolf

Nouveau membre

Le seul argument qui milite pour mon hypothèse est le fonctionnement intempestif de l'imprimante alors que le PC est éteint!

Comme je l'ai écrit au début je passe par une Freebox relié par un cable ethernet à un switch reliant différents équipements comme le PC et l'imprimante.

Très tôt j'ai imaginé que le DSLAM en était la cause.
La personne qui m'arrosait il y a quelques années était sur le même DSLAM.
D'après
Vous devez être connecté pour voir les liens.
il y a 681 connexions possibles sur ce DSLAM.
Manque d'étanchéité entre les connexions de ce DSLAM?:??:

Comme je voudrais avancer sur cette difficulté, admettons ton hypothèse.
J'ai passé un coup de MAAM, résultat que des PUP.

Je vais rebrancher l'imprimante au réseau ethernet et attendre la prochaine impression non demandée.

Je te tiens au courant...
 
CodeShaker

CodeShaker

Expert
Bonsoir,

Il n'y as pas de mesures d'étanchéité particulières au sein d'un même DSLAM, que ton corbeau soit sur le même DSLAM ou à l'autre bout du monde, c'est la même chose (c'est le principe d'Internet).

Il faut voir du côté de ta box, es-ce que son Firewall est dans sa configuration d'usine?
 
magellan

magellan

Modérâleur
Staff
+1 l'étanchéité n'est créée qu'en cas de nécessité absolue (notamment quand en interne plusieurs réseaux doivent se côtoyer sans se toucher).
 
_Othy_

_Othy_

Helper
et ta freebox, elle ne t'affiche pas la liste des equipements connectés ainsi que ceux qui se sont connectés ?
des equipements inconnus ?
 
magellan

magellan

Modérâleur
Staff
Meilleure réponse
Bien vu! les interfaces des box présentent généralement la liste des appareils qui sont connectés au réseau ainsi que leurs adresses respectives.
Dans ton cas, ce qui est surprenant, c'est que cela puisse provenir de l'extérieur, auquel cas il n'y a "que" deux points d'entrée à savoir le wifi ou un contrôle direct. Dans les deux cas, en changeant les mots de passe, en théorie tu devrais pouvoir faire disparaître toute connexion parasite (sauf s'il existe des mots de passe "standard"...).
Dans tous les cas, ma première piste serait déjà de contrôler comment sont configurés:
- Le pare-feu de la box
- Les partages
- Toutes les machines résidentes de ton réseau.

Je reste extrêmement perplexe sur l'intérêt d'agir de la sorte, sauf à vouloir jouer du spam comme cela se faisait du temps du fax (spam papier aux entreprises notamment).
 
P

papagolf

Nouveau membre
Comme dit dans mon dernier message, j'ai donc rebranché hier soir le cable ethernet de l'imprimante ce qui double la liaison avec elle: une liaison USB et une liaison ethernet.
Ce matin je découvre une nouvelle impression non sollicitée faite au cours de la nuit

Voilà le texte
GET / HTTP/1.1
TE: deflate,gzip;q=0;3
Connection: TE, close
HOST : "mon IP":9999
User-Agent: libwww-perl/6.15

le tout sous police Courier.
Il ressemble au premier échantillon envoyé dans le premier message.

Quelqu'un peut-il interprèter ces lignes? quel langage?

Selon ce
Vous devez être connecté pour voir les liens.
User-Agent est une "phrase informatique" utilisée par les navigateurs, en sollicitant le langage perl.

Selon une
Vous devez être connecté pour voir les liens.
la requête GET suivie d'une ligne Host: est envoyée pour récupérer la page d'accueil du site, en occurrence ici d'une page à l'adresse de mon IP...

Selon un
Vous devez être connecté pour voir les liens.
en langue anglaise l'ensemble des trois lignes
"TE: deflate,gzip;q=0.3
Connexion: TE, close
User-Agent:..."
est une en-tête de Transfert Encoding (TE).

Quelle interprétation globale peut-on faire?

Je précise que les impressions non sollicitées dont je fais état sont réalisées à raison d'1 par jour environ, sauf il y a 3 jours où elles ont été au nombre de 3.

Tout ça pour essayer de comprendre ce qui se passe.

Je reviens à vos réactions dont vous m'avez fait part, elles ont attiré mon attention:
N'importe qui peut solliciter mon ip selon CodeShaker, et j'étais aveuglé par mon expérience où c'est un voisin de quartier qui arrosait mon imprimante, il y a quelques années, d'où je pistais le DLSAM...

Bien sûr que je connais la configuration de mon réseau interne et la liste des appareils, pour répondre à _Othy_ et magellan.

et j'ai cherché ensuite du côté de la freebox et de ses réglages.
Pare feu? il est intégré dans le routeur. Et là j'ai découvert que j'avais activé l'IP DMZ et c'est celui de l'imprimante!

Donc j'ai une [première] solution pour supprimer ces impressions intempestives. :bounce:

D'autres solutions à votre avis? :/

J'attends vos réactions pour confirmer ma conclusion.
 
CodeShaker

CodeShaker

Expert
Bonsoir,

Le texte que tu décris est une requête client de demande de contenu via le protocole HTTP (pas forcement pour une page Web, on peut tout faire passer par du HTTP si on veut : virus, contrôle à distance compris).

Grosso modo, les impressions indiquent une demande via HTTP, pour un contenu localisé à une adresse via une application (User-agent = l'application qui fait la demande).

Vu que tu as le soucis quand ton imprimante est hors connexion (Ethernet/USB), je pencherais pour des paquets qui sont bloqués dans l'imprimante (éventuellement un Firmware vérolé).

As-tu essayé de remettre ton imprimante en configuration d'usine et de la débrancher électriquement un petit moment histoire de bien vider toute la mémoire cache? (tu peux aussi débrancher tous tes équipements pour vider leurs cache)

Il est en effet probable que ton PC héberge ou a hébergé un virus dans le sens très large du terme, et que des paquets se balades sur ton réseau.
Et la aucun Firewall strictement IP ne pourra faire quelques chose, si tout reviens sur le port 80. Pour protéger un réseau de ce genre de chose, il faut un IPS.

Et oui, on est bien vulnérable si on reste avec un simple routeur/firewall. Tu peux t'amuser à surveiller les requêtes faites sur ton IP public, tu serais surpris de la quantité de tentative de scan de ports ouverts par exemple.
 
magellan

magellan

Modérâleur
Staff
Ce user agent User-Agent: libwww-perl/6.15 me fait dire qu'il s'agit d'un truc scripté quelconque... donc potentiellement un virus ou un résident.

On va procéder par élimination
Peux tu détailler les différents appareils de la manière suivante
type d'appareil;système d'exploitation;présence sur le réseau
pour donner par exemple
Serveur NAS;linux;24h sur 24
PC perso;Windows 10; ponctuellement (machine éteinte)
etc etc...

ça pourrait nous aiguiller concernant l'identification de la source des éditions, à savoir si elle est interne ou externe à ton périmètre.

NOTA: je le martèle encore, pensez tous à changer vos mots de passe, notamment ceux du wifi! Autre point... pense enfin à désactiver la fonctionnalité 'hotspot" de ta box (si elle existe). Exemple: free propose une connexion depuis des hotspots, à savoir depuis toute box "ouverte" sur laquelle on peut se connecter via un id Free. Pour peu que cela soit poreux en terme de configuration (je ne suis pas allé chercher plus loin)... Donc désactivation de cette fonctionnalité, surtout que beaucoup s'en servent pour se connecter sans payer.
 
P

papagolf

Nouveau membre
Pour répondre à Magellan :
PC bureau; W10; 24/24
PC2 bureau;w7; 24:24, en veille 99% du temps
Freebox;?; 24/24
Disque dur LaCie;?;24/24 en veille 70% du temps
Imprimante;;24/24
Cam;;24/24

Hier soir vers 23h40 une impression pirate est apparue, la même que l'échantillon 3 du premier message. L'IP DMZ était encore activé.
J'ai ensuite désactivé l'IP DMZ de l'imprimante et suivi les conseils de CodeShaker en mettant hors tension, imprimante, Freebox.
Du coup prendre deux mesures en même temps ne fait pas avancer le débat :sarcastic:

Pour l'instant pas de nouvelles impressions pirates.

Je remarque également que vous ne me confortez pas dans la suppression de l'IP DMZ. :??:
 
magellan

magellan

Modérâleur
Staff

C'est à mon sens l'une de ces deux machines:
PC bureau; W10; 24/24
PC2 bureau;w7; 24:24, en veille 99% du temps
La notion de "env veille" ne veut rien dire. Est-ce une veille complète, ou bien une veille uniquement logicielle (économiseur d'écran)?
J'aurais tendance à passer ces deux machines à l'antispyware et l'antivirus (il y en a une palanquée en gratuits sur la toile) pour les vérifier toutes les deux.
 
CodeShaker

CodeShaker

Expert
La DMZ permet à ta box d'avoir une interface supplémentaire dans la gestion de ton parefeu et de ses règles.
- le WAN (Internet)
- le LAN (le switch de ta box)
- la DMZ (un port désigné ou une machine)
 
_Othy_

_Othy_

Helper
tu pourrais deja faire une clé USB de boot avec un livecd antivirus, style kaspersky ou bitdefender , booter dessus et analysé tes pc.
ainsi que faire un scan avec zhpcleaner, histoire d'etre sure ( si tu as quelque chose là, tu peux ouvrir un topic chez nos amis http://www.tomsguide.fr/forum/forum-11.html )
 
Vous devez vous inscrire ou vous connecter pour répondre ici.
Dernières actus
Derniers messages publiés
Statistiques globales
Discussions
730 135
Messages
6 718 109
Membres
1 586 397
Dernier membre
Chachabidou
Partager cette page
Haut