Nimda, on remet ça?!

Posté par  . Modéré par orebokech.
Étiquettes :
0
28
sept.
2001
Microsoft
Selon un article de securityfocus, Nimda, un ver qui aurait infesté plus de 450000 IP la semaine dernière remettrait le couvert. Toujours selon securityfocus, qui aurait osculté les entrailles de la bête, Nimda serait doté d'une fonctionnalité lui permettant de se réactiver tous les dix jours. La première attaque datant du 18 septembre à 3:00 GMT il est raisonnable de penser qu'un certain nombre d'utilisateurs de Microsoft® Windows® 95, 98, ME, NT, 2000 et de IIS auront, dès ce soir, à fêter les retrouvailles. Vous reprendrez bien un ver ?

Aller plus loin

  • # C'est Nimda (admin à l'envers)

    Posté par  (site web personnel) . Évalué à 8.

    Tu as répété 3 fois Nimba! et c'est un ver parce que ce n'est pas tres poétique quand meme :)
  • # Vérifie tes infos

    Posté par  (site web personnel) . Évalué à 10.

    Tout d'abord quand on reprend une news, on lit correctement : c'est "Nimda" et pas "Nimba" (pourtant vu le nombre d'articles qui en parle et de news ici même, c'est pas une nouveauté).

    Ensuite moi je ne me moquerais pas des utilisateurs Microsoft sur ce coup-là car vu la polution qu'il génère depuis le mardi 18/09/01 sur mes serveurs Web/Apache/Unix, je préfererais qu'ils fassent le ménage ou change d'OS ;-(
    • [^] # Re: Vérifie tes infos

      Posté par  (site web personnel) . Évalué à 10.

      D'un autre côté, aprés CodeRed qui prends dix jours de vacances, on a Nimda qui prends 10 jours de RTT entre chaque journée de boulot.
      Voilà tout de même des vers à la pointe de toutes les avancées sociologiques :)

      Pour revenir aux sujets qui me sont chers, c'est une démonstration supplémentaire de l'incurie de M$ qui nous permettra vraissemblablement de gagner des gens à la cause de notre OS préféré.

      De là à se réjouir de la profusion de vers ces derniers temps, il n'y a qu'un pas, que je m'abstiendrai de franchir :(
      • [^] # Changement d'OS

        Posté par  . Évalué à 7.

        >Pour revenir aux sujets qui me sont chers, c'est une démonstration supplémentaire de l'incurie de M$ qui nous permettra vraissemblablement de gagner des gens à la cause de notre OS préféré.

        Ok mais si ils passent sous linux (ou autre) et qu'ils n'appliquent pas non plus les patches, le problème va être exactement le même.
        C'est pas un problème d'os ou de serveur web, c'est 1 problème d'incompétence
        • [^] # Re: Changement d'OS

          Posté par  . Évalué à 10.

          C'est vrai que c'est principalement un problème d'incompétence. Mais qu'est-ce qui est le plus sécurisé entre IIS et Apache ???

          Un incompétent aura-t-il plus de pbm avec IIS ou Apache (ou autre chose, je ne suis pas sectaire :).

          Bref, c'est l'éternel problème avec Microsoft. Ils font des zolies choses qui font que, pour bcp de gens, savoir clicker sur des icônes fait d'eux des informaticiens.

          Je fais de l'informatique depuis assez longtemps pour m'apercevoir que de plus en plus, ceux qui ont commencé l'informatique depuis qq années seulement (disons après que W95 soit sorti) ne savent même pas comment fonctionne leur bécane. Tous ne sont pas comme ça, heureusement mais les bonnes choses se perdent....

          Au moins, à l'époque du DOS, les gens comprenaient plus ce qu'ils faisaient que maintenant. C'est d'ailleurs ce qui m'attire sur Linux, le fait de toujours maitriser et comprendre ce que ma machine fait.

          Voila, merci à Microsoft, "Formateur de neuneus depuis 1995 :)".
          • [^] # Re: Changement d'OS

            Posté par  . Évalué à 10.

            C'est vrai ! Mais cette politique est clairement voulue il me semble ! La différence c'est le moment où MS avait le monopole, ou celui où il ne l'avait pas encore.

            - 1985: J'achète une interface série pour mon TO8D: J'ai un fascicule en 4 langues qui m'explique comment on l'utilise en BASIC, quels sont clairement les adresses des registres hardware, leurs spécifications, et même un listing en assembleur tout fait en exemple, si je veux faire quelque chose qui dépasse les limitations du Basic.

            - 1990: J'achète DOS-Windows 3.0. J'ai moins de spécifications, c'est déjà plus orienté business. Mais au moins sous DOS, j'ai toujours debug et les spécifications sont encore accessibles. La programmation est quand même à la portée de tous: J'ai qbasic livré avec.

            - 1995: Bombe atomique dans le milieu de l'informatique. Arrivée en (très) grandes pompes de W95. Naissance toute récente du terme "Multimédia" et lancement de la mode de l'informatique comme produit de grande consommation. Et surtout: Le fossé immense qui se crée entre les gens qui utilisaient un ordinateur avant W95 et qui ne peuvent pas encadrer ce nouveau système, et ceux qui découvrent l'informatique à cette occasion et qui ne peuvent pas concevoir un autre système (W3.1 beurk ! Ok mais ca ramait moins, et le prix de la RAM n'était pas ce qu'il est aujourd'hui). Tout cela c'est bien joli, mais où sont les spécifications de Windows ?
            Aucun outil gratuit ou prélivré pour développer sous Windows. QBasic est relégué dans un obscur répertoire du CD (quand on le possède). On découvre avec effroi les prix de ces outils qu'il faut payer de d'onéreuses formations pour être en somme un technicien Microsoft ! "Détendez-vous, nous pensons pour vous !".

            - 2000 et +: Aujourd'hui, on n'est même plus propriétaire de son travail: Il est interdit de développer sous les logiciels MS du travail en rapport avec GNU (Cette clause, à mon avis, n'est pas applicable. Quelqu'un confirme ?). Les outils de dev sont toujours aussi prohibitifs, mais on tolère de façon muette leur utilisation en pirate car c'est le seul moyen pour un particulier de se former à Windows, et que cela fait toujours plus de gens raliés à Windows. Je trouve le procédé un peu mafieux.

            - 2010: Et demain ? Si cela se trouve, MS aura envahi 99.9% du marché, et il sera peut-être tout bonnement interdit de développer sur leurs OS, marché exclusif. Ou alors, il faudra obligatoirement posséder une license de partenariat pour avoir le droit de chasser sur le territoire de Bill. Je vois bien l'avenir des stratégies MS comme çà ...

            Quant à nous, on passera tous pour de vieux réactionnaires isolés un peu toqués.


            -Cela veut dire qu'à mon avis, assurer la fiabilité de leurs systèmes, chez MS, n'est pas forcément interressant, car ce sera toujours plus coûteux qui bénéfique.

            -Ca ne les interresse pas non plus de former des informaticiens car il faut fidéliser les clients en les rendant dépendants.

            -Ensuite, il faut favoriser le passage à la version supérieure (c'est vrai partout: Mon Viruscan 4 de McAfee sur la partition Windows de mes parents plante quand je lui mets la dernière mise à jour des bases prévue pour, mais McAfee ne me donnera probablement plus d'assistance car à présent il faut acheter la v5).
            Ca entretient le marché, et cela entretient aussi celui des vendeurs qui vont autour). C'est exactement comme vendre des bocaux percés, et inciter les gens à acheter de nouveaux produits au fur et à mesure qu'il fuit pour le remplir !


            Au fond, Microsoft est un dealer :-)


            Je suis résigné maintenant, nous aurons toujours de grosses failles de sécurité chez Redmond. Moi en ce qui me concerne:

            - J'ai la passion de l'informatique: J'ai appris la programmation, et notament l'assembleur.
            - J'ai souhaité avoir un système qui ne me prenne pas en otage: j'ai choisi Unix
            - J'ai choisi de ne pas être un pirate, de faire partager mes connaissances et mes créations, d'avoir un grand réseau de contacts, et d'apporter ma pierre la où je le pouvait: J'ai choisi GNU/Linux. Et ben je dois dire que j'ai reçu beaucoup plus en échange ! :-)

            Fin du billet d'humeur ! Amitiés à tous.
            • [^] # Re: Changement d'OS

              Posté par  . Évalué à 10.

              à mon avis, assurer la fiabilité de leurs systèmes, chez MS, n'est pas forcément interressant, car ce sera toujours plus coûteux que bénéfique.

              Ce que tu dis rejoints l'article "The Death of TCP ; Why the Age of Internet Innocence is Over" disponible à http://www.pbs.org/cringely/pulpit/pulpit20010802.html(...) , dont on avait parlé ici, j'avais traduit des extraits.

              Voici un extrait qui m'a éclairé (j'ai un peu la flemme de faire la traduc, désolé) :

              But you must understand that Microsoft limits its investments to things that will enhance a product's market share. Every feature in Windows had to pass the litmus test, "Does it increase market share?" Putting security safeguards in their products evidently failed the litmus test, and therefore weren't added. While it is true that virus authors will target platforms that give them the most bang for their programming buck, the Windows platform has virtually no security to even slow them down. I believe the lack of security in Microsoft software was a deliberate business decision.

              Le "litmus test" c'est le test du papier tournesol je crois (on trempe le papier dans une solution et il prend des couleurs différentes selon que la solution est acide ou basique). C'est un test quoi :-)
          • [^] # Re: Changement d'OS

            Posté par  . Évalué à -1.

            >Un incompétent aura-t-il plus de pbm avec IIS ou Apache (ou autre chose, je ne suis pas sectaire :).

            >Bref, c'est l'éternel problème avec Microsoft. Ils font des zolies choses qui font que, pour bcp de gens, savoir clicker sur des icônes fait d'eux des informaticiens.

            Ben je veut pas foutre la merde mais un patch M$ est quand même plus facile à appliquer...

            --
            apt-get update && apt-get dist-upgrade
            • [^] # Re: Changement d'OS

              Posté par  . Évalué à 3.

              Ben je veut pas foutre la merde mais un patch M$ est quand même plus facile à appliquer...

              Si tu veux dire qu'il est plus simple de double cliquer sur un fichier pour appliquer un patch que de faire patch -p blahblah et recompiler éventuellement, tu as raison... Mais si tu veux dire que tu obtiens une amélioration systématiquement après avoir patché de cette façon, c'est absolument faux:
              1- d'une part, il faut souvent appliquer les patchs dans un certain ordre, et c souvent pas très bien documenté.
              2- de plus il faut bien lire l'article de la KB associé au patch, car parfois en plus de patcher, faut modifier à la mano une entrée de la base de registre pour avoir un fonctionnement optimal du patch
              3- enfin sous linux, pour patcher, il suffit bien souvent d'un simple script bien senti (chaque distro a le sien, en qqch-update, mais je crois que le top c'est avec la debian), parce que, précisément le boulot d'une distro c'est de faire de l'INTEGRATION, mot que M$ ignore totalement.
              • [^] # Re: Changement d'OS

                Posté par  . Évalué à -4.

                >1- d'une part, il faut souvent appliquer les patchs dans un certain ordre, et c souvent pas très bien documenté.
                Ben sous Linux c'est pas beaucoup mieux, si tu n'est pas trés bien organisé, tu peut vite te perdre dans les numéros de version...

                >2- de plus il faut bien lire l'article de la KB associé au patch, car parfois en plus de patcher, faut modifier à la mano une entrée de la base de registre pour avoir un fonctionnement optimal du patch
                Ben c'est sur que les utilisateur de W... ne sont pas abitué à lire la doc, on va peut-être bientôt voir des RTFM dans les newsgroup comp.M$.sux

                >3- enfin sous linux, pour patcher, il suffit bien souvent d'un simple script bien senti (chaque distro a le sien, en qqch-update, mais je crois que le top c'est avec la debian), parce que, précisément le boulot d'une distro c'est de faire de l'INTEGRATION, mot que M$ ignore totalement.
                Avec la Debian tu fait : "apt-get update; apt-get upgrade" et tu à les derniers paquet en date d'installé sur ta machine. Et quand je dis dernier en date, c'est que les patchs de sécu sont appliqués... Donc si tu install ta distrib en stable tu est... stable

                Bref pour dire qu'installer un patch c'est toujours aussi chi^H^H^H génant quelque soit le systéme.
                Et je voulais juste ajouté que je n'ai rien contre MS juste que leurs OS sont juste bon pour de poste burautique(et encore seulement bureautique).
            • [^] # Re: Changement d'OS

              Posté par  . Évalué à 8.

              > Ben je veut pas foutre la merde mais un
              > patch M$ est quand même plus facile à
              > appliquer...

              Je pense que tu devrais effacer ta signature pour rester crédible.
              • [^] # Re: Changement d'OS

                Posté par  . Évalué à -1.

                Voir mon prédent post.
                Mais je dois quand même dire qu'avant de pouvoir faire un apt-get, il faut pouvoir avoir installé la Debian.
                Et instaler la Débian n'est pas donné à la portée du permier venu, ou en fait si puisque qu'il faut faire suivant a chaque fois. Mais 1 on ne clique pas ;) et 2 il y a plein d'informations à lire dans un anglais très technique.

                Donc pour être un bon admin il faut :
                1 Avoir un bon OS
                2 Suivre régulierement les nouvelles failles et appliquer les pacth régièrement
                3 Etre Maso et beaucoup aimé le travail inutile
                4 Etre féneant pour oublier le point 3 et gagner du temps sur le point 2 en aillant bien choisi le point 1 (Debian)
        • [^] # Re: Changement d'OS

          Posté par  (site web personnel) . Évalué à 9.

          C'est pas un problème d'os ou de serveur web, c'est 1 problème d'incompétence

          Certes, mais, comme le fait remarquer loopkin (merci Bilal) un poil plus bas, un admin peut hésiter à patcher du M$ car il a de très fortes raisons de croire à une mauvaise intégration du patch.

          Juste pour dire que l'incompétence semble relativement répartie; et que personnellement j'aurais, si j'étais en situation de le faire, moins de craintes à patcher un Apache sous Linux qui marche, qu'un IIS sous 2000 qui est raisonnablement stable (reboot une fois par semaine seulement :) ).
          C'est aussi un aspect du problème !
        • [^] # Re: Changement d'OS

          Posté par  . Évalué à 10.

          Allez lire l'interview de thierry Zucchi d'Avanade sur le JDN, ca vaut son poids en cacahuetes. http://solutions.journaldunet.com/itws/010928_it_zucchi.shtml(...)
          Il dit entre autre que IIS est sécure car le cercle des gens ayant accès au code est très restreint [sic].

          Ah, la sécurité par l'obscurantisme, quand tu nous tient !
          • [^] # Re: Changement d'OS

            Posté par  . Évalué à 10.

            ouah, il est grave ce mec:

            "Microsoft a bien travaillé sur l'industrialisation des processus de publication des fichiers correctifs. Tous ceux qui sont inscrits sur les listes de diffusion adéquates sont informés aussitôt les failles connues et l'élaboration des patchs est très réactive. Seul bémol, cette réactivité est en effet bonne pour les patches en version américaine mais un peu moins pour les versions localisées. Un utilisateur peut généralement appliquer des patches US sur des versions françaises des produits mais dans ce cas là le support n'est plus possible ensuite."

            autrement dit: tu achètes un serveur en français (drôle d'idée puisqu'on est en France), et après, tu as le choix entre:
            1- laisser ton système ouvert sur l'extérieur, à code red et à tout le reste en attendant qu'ils veuillent bien patcher le bazar EN FRANCAIS
            2- appliquer un patch US et après, donc, te passer totalement pour la suite des évènements (prochain trou de sécurité) du support microsoft, le tout pour un produit que tu leur a payé la peau des fesses !!!!
            C'est proprement scandaleux !!!!!

            Ce mec est une pub vivante pour GNU/Linux, qu'il continue ;-))
            • [^] # Re: Changement d'OS

              Posté par  . Évalué à 5.

              autrement dit: tu achètes un serveur en français (drôle d'idée puisqu'on est en France), et après, tu as le choix entre:
              1- laisser ton système ouvert sur l'extérieur, à code red et à tout le reste en attendant qu'ils veuillent bien patcher le bazar EN FRANCAIS
              2- appliquer un patch US et après, donc, te passer totalement pour la suite des évènements (prochain trou de sécurité) du support microsoft, le tout pour un produit que tu leur a payé la peau des fesses !!!!


              Euh ... je ne connais Rrrrien à la programmation Windows, mais n'existe-t-il pas un truc genre gettext sous wiwi, avec un genre de fichier PO, et des trucs comme ça ? Il faut reconnaître que les mecanismes d'internationnalisation sous Linux sont tout simplement géniaux (attention, je parle des mécanismes, cela ne signifie pas que toutes les applications sont internationnalisées, mais d'immenses progrès se font jour après jour dans ce domaine). Je vous invite vous aussi à contribuer à l'internationnalisation d'applications de votre choix. Si chacun apporte sa brique à l'édifice, on voit ce que ça donne !!


              C'est proprement scandaleux !!!!!

              Le jour où les esclaves de systèmes Kro (et, de façon plus générale, des systèmes propriétaires abusant de leur monopole) auront compris cela, ce sera, à mon avis, un grand pas en avant pour l'humanité !
              • [^] # Re: Changement d'OS

                Posté par  . Évalué à 1.

                ben non, des trucs comme ça, ça existe pas... tout est traduit à la mimine, et tu as des versions différentes des librairies (enfin pas de toutes), et de programmes par pays.
                ça se voit assez fréquemment quand tu installes un logiciel anglais sur un windows français par exemple, tu vas te taper des questions du style "MSVCRT.dll: le programme que vous tentez d'installé est pour une langue différente de celui existant, voulez vous conserver ce fichier ?" (bon, d'accord, le texte est pas exactement ça, mais j'ai toujours beaucoup de mal à me souvenir exactement de la poésie des mots des messages d'erreur de windows...)
                la couche d'abstraction pour l'internationalisation dans Linux est remarquable ceci dit (enfin je connais que celle de KDE)
          • [^] # Re: Changement d'OS

            Posté par  (site web personnel) . Évalué à 4.

            > Il dit entre autre que IIS est sécure car le cercle des gens ayant accès au code est très restreint [sic].

            Et il a raison. Quand on voit des worms comme CodeRed, Nimda, etc... On voit à quel point IIS est sécure. Je n'ose même pas imaginer ce que ce serait si le cercle des personnes ayant accès au source était plus grand ;).

            Faut vraiment être timbré pour sortir des énormités comme ça.
            • [^] # Re: Changement d'OS

              Posté par  . Évalué à 3.

              Je ne dirais pas que IIS est secure: Je dirais qu'il est aware.

              Bon blague à part, faut quand même remettre les choses dans leur contexte: La société en question est "le fruit d'un parterna... euh d'un joint-venture entre Accenture (ex Andersen Consulting, si je ne m'abuse) et Microsoft, et spécialisée dans l'intégration des infrastructures logicielles de ce dernier".

              Il ne faut donc pas s'attendre à lire quelque chose d'objectif ...

              Amitiés.
          • [^] # Re: Changement d'OS

            Posté par  . Évalué à 4.

            [A propos de la sécurité de Passport] "Le système est verrouillé à un point tel qu'en cas de perte de votre mot de passe, l'administrateur ne peut même pas vous le communiquer à nouveau. La seule solution consiste à ouvrir un nouveau Passport."

            Whaaaaaaaaa...
            Je ne pensais pas qu'on puisse verrouiller à ce point un système...

            --
          • [^] # Re: Changement d'OS

            Posté par  (site web personnel) . Évalué à 1.

            Ce qui est abominable c'est que ce genre de discours est assez courant et associé à celui qui dit que c'est parce que MS est majoritairement répendu qu'on y trouve le plus de virus / attaques.
            Pourtant, vu la diffusion d'apache, je me demande comment on peut raconter des énormités pareilles. En argumentant en disant que les vilains pirates de LE internet sont anti MS ?
    • [^] # Re: Vérifie tes infos

      Posté par  . Évalué à 7.

      lu sur bugtraq:

      > > if you've patched the kernel with string match support: yes:
      > > $IPTABLES -I INPUT -p tcp --dport 80 -m string --string .exe? -m state \
      > > --state ESTABLISHED -j REJECT --reject-with tcp-reset
      > > (same works wizh .ida for the old one)

      Ca peut -être utile si vraiment tes logs devienent illisible (c'est mon cas). pour explication, ce patch se trouve fourni avec le package source de iptables (patch-o-matic)

      Cordialement (ca fait chic).
      • [^] # Re: Vérifie tes infos

        Posté par  . Évalué à 4.

        le traitement des paquets par match au niveau applicatif est très lourd en terme de ressource, on peut faciliment de faire un deni de service.
        Par contre, tu peux blacklister les serveurs infectés pour qu'ils évitent de te pourrir tes logs . Il suffit de lancer une ligne en nohup :


        nohup (tail -n10000 -f access_log | awk '/root.exe|default.ida/{system("/sbin/ipchains -A input -j DENY -i eth0 -p tcp -s " $1 " --destination-port 80")}' ) &


        pour iptables, je ne sait pas quelle sera la meilleure syntaxe (--reject-with tcp-reset et compagnie)
  • # Juste une accalmie

    Posté par  (Mastodon) . Évalué à 8.

    D'après l'un des scripts qui est paru lors de la precedente news, j'ai le résultat suivant (nb d'attaques avec ip distinct):

    100 _ 18/Sep/2001
    219 _ 19/Sep/2001
    88 __ 20/Sep/2001
    57 __ 21/Sep/2001
    32 __ 22/Sep/2001
    36 __ 24/Sep/2001
    33 __ 25/Sep/2001
    25 __ 26/Sep/2001
    16 __ 27/Sep/2001
    4 ___ 28/Sep/2001

    Je pensais que la baisse était juste du a l'appliquation des patchs.
    • [^] # Re: Juste une accalmie

      Posté par  (Mastodon) . Évalué à 6.

      1000 excuses pour la grosse faute "application" et non "appliquation".
      Le script c'etait celui de Pascal : http://linuxfr.org/comments/view.php3?news_id=5031&com_id=63053(...)

      la prochaine fois je me relis.
    • [^] # Re: Juste une accalmie

      Posté par  (site web personnel) . Évalué à 3.

      Esciouse de dérange mais :
      s/appliquation/application

      Mais maintenant qu'on connaît le truc, il reste possible d'être facho : tu refuses toutes les requêtes d'une IP pendant un jour j si elle était vérolée et qu'elle t'as attaqué à j-10...
      Qualqu'un est capable de coder ça ?
      Pas moi en tous cas :)

      <TROLL>T'as déjà vu un admin M$ appliquer des patchs ?</TROLL>
      • [^] # Re: Juste une accalmie

        Posté par  . Évalué à 6.

        <TROLL>T'as déjà vu un admin M$ appliquer des patchs ?</TROLL>

        Ben oui, même qu'ils sont obligé d'appliquer plusieurs fois le même !!
        A chaque installation d'une application, il faut se poser la question -- quels patchs ont été annulé par cette installation ? -- dans quel ordre dois-je réinstaller le biniou ?

        Franchement, Nimda Microsoft, c'est pas un ca sert d'OS !
        • [^] # Re: Juste une accalmie

          Posté par  . Évalué à 0.

          Oui, mais quand tu tentes de mettre les patchs de sécurité automatiquement par windows update (tm), le temps que tu lance le bousin, il y a trois ou quatres worms qui ont déja infecté la machine (quand je me connecte, il me faut généralement moins d'une minute avant une attaque de vers).
    • [^] # Re: Juste une accalmie

      Posté par  . Évalué à 8.

      En parlant d'application des patchs, je sais pas si vous avez noté le foutoire que fout M$ sur NT4.

      Le SP7 a été annulé.. bonne ou mauvaise chose, je ne sais trop. L'avantage d'un SP, c'est qu'il était à peu près bien intégré. Officiellement, ils disent que un SP complet, ça risque de déstabiliser le système (après avoir soutenu cette politique pendant une dizaine d'années), alors ils ont créé un SRP (Security Rollup Package), qui, tenez vous bien, applique une bonne trentaine de patchs successifs, relatifs à la sécurité de la chose (WNT et IIS): http://support.microsoft.com/support/kb/articles/q299/4/44.asp?ID=2(...)
      (c'est pas de la news hyper neuve, ça date de fin juillet cette horreur)

      Perso, ayant encore hélas à m'occuper d'un serveur IIS (*snif*), j'en avais déjà appliqués certains de ces patches (et notamment ceux nécessaires pour empêcher code red)... Ben la stabilité est vraiment pas fameuse depuis, g du programmer un reboot chaque jour (au lieu de chaque semaine). Alors avec 30 patchs tout aussi bien intégrés d'un coup, je me demande ce que ça va être.

      Bref, je vais me grouiller de finir la migration Linux du bazar !!!
  • # IIS ca devrait etre interdit

    Posté par  . Évalué à 5.

    J en ai mare, j ai l adsl chez moi avec une IP fixe, et un serveur apache sous Linux, et tous les jour dans me log j ai au moins 20 adresse Ip differente qui me fond des HTTP GET

    ***************
    62.23.100.13 - - [26/Sep/2001:20:47:42 +0200] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXX
    200.179.130.66 - - [26/Sep/2001:20:50:14 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 210 "-" "-"
    200.179.130.66 - - [26/Sep/2001:20:50:17 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 208 "-" "-"
    200.179.130.66 - - [26/Sep/2001:20:50:20 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 218 "-" "-"
    200.179.130.66 - - [26/Sep/2001:20:50:24 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 218 "-" "-"
    *************

    Voila

    Debranchez SVP tous les serveur IIS
    • [^] # Re: IIS ca devrait etre interdit

      Posté par  . Évalué à 5.

      Debranchez SVP tous les serveur IIS

      Tu crois pas si bien dire !!!
      Si à la fin du WE, je trouve trace d'une recidive de ce pu%1 de virus de mer%e, je forwarde la liste des IP se trouvant sur la plage appartenant à mon Provider, et je demande la suppression temporaire de leur acces au Net ! et ce jusqu'à ce que les patchs soient installés par les admins des boites concernées !

      Ca fera toujours de la bande passante/propagation/infection en moins !!

      On peut toujours essayer... ça coute rien ! ;))

      Nico
      • [^] # Re: IIS ca devrait etre interdit

        Posté par  . Évalué à 2.

        Je vais faire la meme chose !!!

        On va pas ce laisser emerder nom :)

        qui a un vers kaki collé au PC !!!
      • [^] # Re: IIS ca devrait etre interdit

        Posté par  . Évalué à 1.

        Heu... bande-passante en plus je voulais dire...
        ;))
        • [^] # Re: IIS ca devrait etre interdit

          Posté par  . Évalué à 0.

          tu parle il y a un max d'utilisateurs wanadoo adsl contaminés !
          voir stats de mon firewall sur 3 jours :
          http:// bidouille.dyndns.org/nimda/wormed.txt
          Plus sourd et muet que wanadoo tu meurs j'ai téléphoné maillé etc... Ils n'ont même pas envoyé un mail aux abonnés par contre on recoit très bien les pub merci....... Je crois qu'il s'en contrefichent si leurs abonnés contaminent tout le net.........
          • [^] # Re: IIS ca devrait etre interdit

            Posté par  . Évalué à 1.

            Pour Wanadoo, je comprends qu'ils ne fassent rien.
            Moi je parlait des abonnements professionels !
            style Oléane, Colt, UUnet et compagnie.... là, c'est pas monsieur tout le mode qui est contaminé ! Ce sont de vraies boites, par exemple, j'ai eu la "visite" d'une machine de TF1... ;))

            Nico
      • [^] # Re: IIS ca devrait etre interdit

        Posté par  . Évalué à 2.

        Pour éviter de faire emmerder par les serveur IIS, on peut blacklister en live les addresses des serveurs qui vous attaquent :

        #!/bin/sh
        #lancer ce script 1 fois, il suivra les logs apaches
        logs=/var/logs/httpd/access_log
        tail -f -n$(cat $logs|wc -l) -f $logs | awk '/root.exe|default.ida/{system("/sbin/ipchains -A input -j DENY -i eth0 -p tcp -s " $1 " --destination-port 80")}'
        #EOF


        avec iptable ca doit être une syntaxe assez proche
        • [^] # Re: IIS ca devrait etre interdit

          Posté par  . Évalué à 1.

          Le probleme, à mon avis, ce n'est pas trop les logs à ralonge ( koi ke...), c'est surtout la bande-passante qui est bouffée pour rien !
          Tu auras beau mettre ipchains ou iptable, les packets tcp iront jusqu'à ta machine.
    • [^] # Pas besoin d'avoir une IP fixe!

      Posté par  . Évalué à 2.

      Ben voila, j'ai apache installé chez moi, je me connecte par modem via ppp et j'obtient:

      "GET /default.ida?XXXXXXXXXXXXXX
      213.228.161.251 - - [26/Sep/2001:19:05:48 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 210
      213.228.161.251 - - [26/Sep/2001:19:05:51 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 208
      213.228.161.251 - - [26/Sep/2001:19:05:57 +0200] "GET /c/winnt/system32/cmd.exe? /c+dir HTTP/1.0" 404 218
      213.228.161.251 - - [26/Sep/2001:19:11:52 +0200] "-" 408 -
      213.228.43.53 - - [26/Sep/2001:20:27:00 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 210

      Cool, non!
  • # Faites gaffe à vos filtres !

    Posté par  . Évalué à 10.

    Faites gaffe car l'attachment du readme.exe se fait en 2 lignes

    Content-Type: audio/x-wav;
    name="readme.exe"

    Donc si vos filtres sur votre serveur de messagerie cherchent Content-Type:.*name=.*\.exe le virus passera !!!!

    Ca m'a infecté 5 postes clients sous NT à cause de ca...
  • # comptage (concours de ligne de commande)

    Posté par  . Évalué à 2.

    Est-ce que qq'un a une jolie petite ligne qui permetterai de dénombrer le nombre d'attaques par IP différente et par jour en analysant /var/log/message.

    En effet on peut configurer iptable (kernels 2.4.x) pour qu'il rejete (DROP et non DENY) les appel sur le port 80.

    Ainsi la tentative d'accès est tout de suite mise à la poubelle et n'arrive pas sur un serveur web.

    Dans les log, la ligne est de la forme :
    " ... SRC=123.132.123.123 ... DPT=80 ...."

    merci
    cliklik

    PS : un jour j'apprendrais awk
    • [^] # Re: comptage (concours de ligne de commande)

      Posté par  (site web personnel) . Évalué à 3.

      grep "^[^[]*SRC=[^[]*DPT=80" | wc -l
      • [^] # Re: comptage (concours de ligne de commande)

        Posté par  . Évalué à 1.

        merci, ça m'isole bien les lignes du type :


        Sep 20 23:51:07 yzordderrex kernel: FW Drop:IN=ppp0 OUT= MAC= SRC=217.128.45.206 DST=217.128.209.153 LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=41390 DF PROTO=TCP SPT=3684 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0


        mais j'aimerais bien le piper dans qqche qui m'isole les adresses du type "217.128.45.206". ensuite je peux envoyer sur un

        sort -u | wc

        pour compter uniquement les ip différentes.

        je peux meme rajouter un "Sep 20" dans le grep pour avoir un jour particulier.


        cliklik (qui n'est authentifié qu'au boulot)
    • [^] # Re: comptage (concours de ligne de commande)

      Posté par  (site web personnel) . Évalué à 4.

      Voici la totale en script Shell pour traquer Nimda (recuperés dans une ancienne news ici même ou sur d'autres sites) :

      - Total du nombre d'attaques :
      grep c+dir access_log|wc -l

      - Total du nombre d'ip differentes :
      grep c+dir access_log | cut -d " " -f 1 | sort | uniq -c | wc -l

      - Liste des ips triées selon leur occurence :
      grep c+dir access_log | cut -d " " -f 1 | sort | uniq -c | sort

      - Nombre d'attaques heures par heures :
      grep c+dir access_log | cut -d " " -f 4 | cut -d ":" -f 1,2 | uniq -c

      - Liste des IP attaquantes :
      grep system32 error_log |cut -d " " -f 8 |sort -u |sed s/\]//g
      • [^] # Re: comptage (concours de ligne de commande)

        Posté par  . Évalué à 0.

        Ok, c'est sympas de avoir rassembler les scripts.
        J'avais vu ces scripts, mais je voulais parser /var/log/messages qui contient toutes les tentaives d'accès (pas uniquement les demandes http sur le port 80).

        Ainsi je pourrais les modifier si je veux compter les accès sur d'autres ports.

        cliklik (qui s'est authentifier pour dépenser ses votes)

        PS : merci pour les réponses !
  • # Re : Nimda

    Posté par  . Évalué à 1.

    Eh beh oui hier dans l'apres midi à partir de 13H, mon petit ordinateur (perso) à subi pas moins de 8 attaques....
    Mais c plus facile à soigner quand on a été prévenu dc merci cedric!!!

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.