C'est Nimda (admin à l'envers)

Vérifie tes infos

• [^]Re: Vérifie tes infos

  Posté par Moule Atarte (page perso, ) le 28/09/2001 à 10:40. (lien). Évalué à 15.

  D'un autre côté, aprés CodeRed qui prends dix jours de vacances, on a Nimda qui prends 10 jours de RTT entre chaque journée de boulot.
  Voilà tout de même des vers à la pointe de toutes les avancées sociologiques :)

  Pour revenir aux sujets qui me sont chers, c'est une démonstration supplémentaire de l'incurie de M$ qui nous permettra vraissemblablement de gagner des gens à la cause de notre OS préféré.

  De là à se réjouir de la profusion de vers ces derniers temps, il n'y a qu'un pas, que je m'abstiendrai de franchir :(

  • [^]Changement d'OS

    Posté par Anonyme () le 28/09/2001 à 11:34. (lien). Évalué à 7.

    >Pour revenir aux sujets qui me sont chers, c'est une démonstration supplémentaire de l'incurie de M$ qui nous permettra vraissemblablement de gagner des gens à la cause de notre OS préféré.
    
    Ok mais si ils passent sous linux (ou autre) et qu'ils n'appliquent pas non plus les patches, le problème va être exactement le même.
    C'est pas un problème d'os ou de serveur web, c'est 1 problème d'incompétence

    • [^]Re: Changement d'OS

      Posté par Anonyme () le 28/09/2001 à 11:43. (lien). Évalué à 18.

      C'est vrai que c'est principalement un problème d'incompétence. Mais qu'est-ce qui est le plus sécurisé entre IIS et Apache ???
      
      Un incompétent aura-t-il plus de pbm avec IIS ou Apache (ou autre chose, je ne suis pas sectaire :).
      
      Bref, c'est l'éternel problème avec Microsoft. Ils font des zolies choses qui font que, pour bcp de gens, savoir clicker sur des icônes fait d'eux des informaticiens.
      
      Je fais de l'informatique depuis assez longtemps pour m'apercevoir que de plus en plus, ceux qui ont commencé l'informatique depuis qq années seulement (disons après que W95 soit sorti) ne savent même pas comment fonctionne leur bécane. Tous ne sont pas comme ça, heureusement mais les bonnes choses se perdent....
      
      Au moins, à l'époque du DOS, les gens comprenaient plus ce qu'ils faisaient que maintenant. C'est d'ailleurs ce qui m'attire sur Linux, le fait de toujours maitriser et comprendre ce que ma machine fait.
      
      Voila, merci à Microsoft, "Formateur de neuneus depuis 1995 :)".

      • [^]Re: Changement d'OS

        Posté par Obsidian () le 28/09/2001 à 12:47. (lien). Évalué à 40.

        C'est vrai ! Mais cette politique est clairement voulue il me semble ! La différence c'est le moment où MS avait le monopole, ou celui où il ne l'avait pas encore.
        
        - 1985: J'achète une interface série pour mon TO8D: J'ai un fascicule en 4 langues qui m'explique comment on l'utilise en BASIC, quels sont clairement les adresses des registres hardware, leurs spécifications, et même un listing en assembleur tout fait en exemple, si je veux faire quelque chose qui dépasse les limitations du Basic.
        
        - 1990: J'achète DOS-Windows 3.0. J'ai moins de spécifications, c'est déjà plus orienté business. Mais au moins sous DOS, j'ai toujours debug et les spécifications sont encore accessibles. La programmation est quand même à la portée de tous: J'ai qbasic livré avec.
        
        - 1995: Bombe atomique dans le milieu de l'informatique. Arrivée en (très) grandes pompes de W95. Naissance toute récente du terme "Multimédia" et lancement de la mode de l'informatique comme produit de grande consommation. Et surtout: Le fossé immense qui se crée entre les gens qui utilisaient un ordinateur avant W95 et qui ne peuvent pas encadrer ce nouveau système, et ceux qui découvrent l'informatique à cette occasion et qui ne peuvent pas concevoir un autre système (W3.1 beurk ! Ok mais ca ramait moins, et le prix de la RAM n'était pas ce qu'il est aujourd'hui). Tout cela c'est bien joli, mais où sont les spécifications de Windows ?
        Aucun outil gratuit ou prélivré pour développer sous Windows. QBasic est relégué dans un obscur répertoire du CD (quand on le possède). On découvre avec effroi les prix de ces outils qu'il faut payer de d'onéreuses formations pour être en somme un technicien Microsoft ! "Détendez-vous, nous pensons pour vous !".
        
        - 2000 et +: Aujourd'hui, on n'est même plus propriétaire de son travail: Il est interdit de développer sous les logiciels MS du travail en rapport avec GNU (Cette clause, à mon avis, n'est pas applicable. Quelqu'un confirme ?). Les outils de dev sont toujours aussi prohibitifs, mais on tolère de façon muette leur utilisation en pirate car c'est le seul moyen pour un particulier de se former à Windows, et que cela fait toujours plus de gens raliés à Windows. Je trouve le procédé un peu mafieux.
        
        - 2010: Et demain ? Si cela se trouve, MS aura envahi 99.9% du marché, et il sera peut-être tout bonnement interdit de développer sur leurs OS, marché exclusif. Ou alors, il faudra obligatoirement posséder une license de partenariat pour avoir le droit de chasser sur le territoire de Bill. Je vois bien l'avenir des stratégies MS comme çà ...
        
        Quant à nous, on passera tous pour de vieux réactionnaires isolés un peu toqués.
        
        
        -Cela veut dire qu'à mon avis, assurer la fiabilité de leurs systèmes, chez MS, n'est pas forcément interressant, car ce sera toujours plus coûteux qui bénéfique.
        
        -Ca ne les interresse pas non plus de former des informaticiens car il faut fidéliser les clients en les rendant dépendants.
        
        -Ensuite, il faut favoriser le passage à la version supérieure (c'est vrai partout: Mon Viruscan 4 de McAfee sur la partition Windows de mes parents plante quand je lui mets la dernière mise à jour des bases prévue pour, mais McAfee ne me donnera probablement plus d'assistance car à présent il faut acheter la v5).
        Ca entretient le marché, et cela entretient aussi celui des vendeurs qui vont autour). C'est exactement comme vendre des bocaux percés, et inciter les gens à acheter de nouveaux produits au fur et à mesure qu'il fuit pour le remplir !
        
        
        Au fond, Microsoft est un dealer :-)
        
        
        Je suis résigné maintenant, nous aurons toujours de grosses failles de sécurité chez Redmond. Moi en ce qui me concerne:
        
        - J'ai la passion de l'informatique: J'ai appris la programmation, et notament l'assembleur.
        - J'ai souhaité avoir un système qui ne me prenne pas en otage: j'ai choisi Unix
        - J'ai choisi de ne pas être un pirate, de faire partager mes connaissances et mes créations, d'avoir un grand réseau de contacts, et d'apporter ma pierre la où je le pouvait: J'ai choisi GNU/Linux. Et ben je dois dire que j'ai reçu beaucoup plus en échange ! :-)
        
        Fin du billet d'humeur ! Amitiés à tous.

        • [^]Re: Changement d'OS

          Posté par Olivier Jeannet () le 28/09/2001 à 13:23. (lien). Évalué à 13.

          à mon avis, assurer la fiabilité de leurs systèmes, chez MS, n'est pas forcément interressant, car ce sera toujours plus coûteux que bénéfique.
          
          Ce que tu dis rejoints l'article "The Death of TCP ; Why the Age of Internet Innocence is Over" disponible à http://www.pbs.org/cringely/pulpit/pulpit20010802.html(...) , dont on avait parlé ici, j'avais traduit des extraits.
          
          Voici un extrait qui m'a éclairé (j'ai un peu la flemme de faire la traduc, désolé) :
          
          But you must understand that Microsoft limits its investments to things that will enhance a product's market share. Every feature in Windows had to pass the litmus test, "Does it increase market share?" Putting security safeguards in their products evidently failed the litmus test, and therefore weren't added. While it is true that virus authors will target platforms that give them the most bang for their programming buck, the Windows platform has virtually no security to even slow them down. I believe the lack of security in Microsoft software was a deliberate business decision.
          
          Le "litmus test" c'est le test du papier tournesol je crois (on trempe le papier dans une solution et il prend des couleurs différentes selon que la solution est acide ou basique). C'est un test quoi :-)

      • [+] [^]Re: Changement d'OS

        Posté par cortex (page perso, ) le 28/09/2001 à 14:04. (lien). Évalué à -1.

        >Un incompétent aura-t-il plus de pbm avec IIS ou Apache (ou autre chose, je ne suis pas sectaire :).
        
        >Bref, c'est l'éternel problème avec Microsoft. Ils font des zolies choses qui font que, pour bcp de gens, savoir clicker sur des icônes fait d'eux des informaticiens.
        
        Ben je veut pas foutre la merde mais un patch M$ est quand même plus facile à appliquer...
        
        --
        apt-get update && apt-get dist-upgrade

        • [^]Re: Changement d'OS

          Posté par loopkin (page perso, ) le 28/09/2001 à 14:18. (lien). Évalué à 3.

          Ben je veut pas foutre la merde mais un patch M$ est quand même plus facile à appliquer...
          
          Si tu veux dire qu'il est plus simple de double cliquer sur un fichier pour appliquer un patch que de faire patch -p blahblah et recompiler éventuellement, tu as raison... Mais si tu veux dire que tu obtiens une amélioration systématiquement après avoir patché de cette façon, c'est absolument faux:
          1- d'une part, il faut souvent appliquer les patchs dans un certain ordre, et c souvent pas très bien documenté.
          2- de plus il faut bien lire l'article de la KB associé au patch, car parfois en plus de patcher, faut modifier à la mano une entrée de la base de registre pour avoir un fonctionnement optimal du patch
          3- enfin sous linux, pour patcher, il suffit bien souvent d'un simple script bien senti (chaque distro a le sien, en qqch-update, mais je crois que le top c'est avec la debian), parce que, précisément le boulot d'une distro c'est de faire de l'INTEGRATION, mot que M$ ignore totalement.

          • [+] [^]Re: Changement d'OS

            Posté par cortex (page perso, ) le 28/09/2001 à 14:34. (lien). Évalué à -4.

            >1- d'une part, il faut souvent appliquer les patchs dans un certain ordre, et c souvent pas très bien documenté.
            Ben sous Linux c'est pas beaucoup mieux, si tu n'est pas trés bien organisé, tu peut vite te perdre dans les numéros de version...
            
            >2- de plus il faut bien lire l'article de la KB associé au patch, car parfois en plus de patcher, faut modifier à la mano une entrée de la base de registre pour avoir un fonctionnement optimal du patch
            Ben c'est sur que les utilisateur de W... ne sont pas abitué à lire la doc, on va peut-être bientôt voir des RTFM dans les newsgroup comp.M$.sux
            
            >3- enfin sous linux, pour patcher, il suffit bien souvent d'un simple script bien senti (chaque distro a le sien, en qqch-update, mais je crois que le top c'est avec la debian), parce que, précisément le boulot d'une distro c'est de faire de l'INTEGRATION, mot que M$ ignore totalement.
            Avec la Debian tu fait : "apt-get update; apt-get upgrade" et tu à les derniers paquet en date d'installé sur ta machine. Et quand je dis dernier en date, c'est que les patchs de sécu sont appliqués... Donc si tu install ta distrib en stable tu est... stable
            
            Bref pour dire qu'installer un patch c'est toujours aussi chi^H^H^H génant quelque soit le systéme.
            Et je voulais juste ajouté que je n'ai rien contre MS juste que leurs OS sont juste bon pour de poste burautique(et encore seulement bureautique).

        • [^]Re: Changement d'OS

          Posté par Wawet76 (page perso, ) le 28/09/2001 à 14:34. (lien). Évalué à 8.

          > Ben je veut pas foutre la merde mais un
          > patch M$ est quand même plus facile à
          > appliquer...
          
          Je pense que tu devrais effacer ta signature pour rester crédible.

          • [+] [^]Re: Changement d'OS

            Posté par cortex (page perso, ) le 28/09/2001 à 14:51. (lien). Évalué à -1.

            Voir mon prédent post.
            Mais je dois quand même dire qu'avant de pouvoir faire un apt-get, il faut pouvoir avoir installé la Debian.
            Et instaler la Débian n'est pas donné à la portée du permier venu, ou en fait si puisque qu'il faut faire suivant a chaque fois. Mais 1 on ne clique pas ;) et 2 il y a plein d'informations à lire dans un anglais très technique.
            
            Donc pour être un bon admin il faut :
            1 Avoir un bon OS
            2 Suivre régulierement les nouvelles failles et appliquer les pacth régièrement
            3 Etre Maso et beaucoup aimé le travail inutile
            4 Etre féneant pour oublier le point 3 et gagner du temps sur le point 2 en aillant bien choisi le point 1 (Debian)

    • [^]Re: Changement d'OS

      Posté par Moule Atarte (page perso, ) le 28/09/2001 à 12:03. (lien). Évalué à 9.

      C'est pas un problème d'os ou de serveur web, c'est 1 problème d'incompétence

      Certes, mais, comme le fait remarquer loopkin (merci Bilal) un poil plus bas, un admin peut hésiter à patcher du M$ car il a de très fortes raisons de croire à une mauvaise intégration du patch.

      Juste pour dire que l'incompétence semble relativement répartie; et que personnellement j'aurais, si j'étais en situation de le faire, moins de craintes à patcher un Apache sous Linux qui marche, qu'un IIS sous 2000 qui est raisonnablement stable (reboot une fois par semaine seulement :) ).
      C'est aussi un aspect du problème !

    • [^]Re: Changement d'OS

      Posté par Thomas Pedoussaut (page perso, ) le 28/09/2001 à 14:21. (lien). Évalué à 13.

      Allez lire l'interview de thierry Zucchi d'Avanade sur le JDN, ca vaut son poids en cacahuetes. http://solutions.journaldunet.com/itws/010928_it_zucchi.shtml(...)
      Il dit entre autre que IIS est sécure car le cercle des gens ayant accès au code est très restreint [sic].
      
      Ah, la sécurité par l'obscurantisme, quand tu nous tient !

      • [^]Re: Changement d'OS

        Posté par loopkin (page perso, ) le 28/09/2001 à 14:31. (lien). Évalué à 11.

        ouah, il est grave ce mec:
        
        "Microsoft a bien travaillé sur l'industrialisation des processus de publication des fichiers correctifs. Tous ceux qui sont inscrits sur les listes de diffusion adéquates sont informés aussitôt les failles connues et l'élaboration des patchs est très réactive. Seul bémol, cette réactivité est en effet bonne pour les patches en version américaine mais un peu moins pour les versions localisées. Un utilisateur peut généralement appliquer des patches US sur des versions françaises des produits mais dans ce cas là le support n'est plus possible ensuite."
        
        autrement dit: tu achètes un serveur en français (drôle d'idée puisqu'on est en France), et après, tu as le choix entre:
        1- laisser ton système ouvert sur l'extérieur, à code red et à tout le reste en attendant qu'ils veuillent bien patcher le bazar EN FRANCAIS
        2- appliquer un patch US et après, donc, te passer totalement pour la suite des évènements (prochain trou de sécurité) du support microsoft, le tout pour un produit que tu leur a payé la peau des fesses !!!!
        C'est proprement scandaleux !!!!!
        
        Ce mec est une pub vivante pour GNU/Linux, qu'il continue ;-))

        • [^]Re: Changement d'OS

          Posté par Yves Dessertine (page perso, ) le 29/09/2001 à 13:03. (lien). Évalué à 5.

          autrement dit: tu achètes un serveur en français (drôle d'idée puisqu'on est en France), et après, tu as le choix entre:
          1- laisser ton système ouvert sur l'extérieur, à code red et à tout le reste en attendant qu'ils veuillent bien patcher le bazar EN FRANCAIS
          2- appliquer un patch US et après, donc, te passer totalement pour la suite des évènements (prochain trou de sécurité) du support microsoft, le tout pour un produit que tu leur a payé la peau des fesses !!!!
          
          Euh ... je ne connais Rrrrien à la programmation Windows, mais n'existe-t-il pas un truc genre gettext sous wiwi, avec un genre de fichier PO, et des trucs comme ça ? Il faut reconnaître que les mecanismes d'internationnalisation sous Linux sont tout simplement géniaux (attention, je parle des mécanismes, cela ne signifie pas que toutes les applications sont internationnalisées, mais d'immenses progrès se font jour après jour dans ce domaine). Je vous invite vous aussi à contribuer à l'internationnalisation d'applications de votre choix. Si chacun apporte sa brique à l'édifice, on voit ce que ça donne !!
          
          
          C'est proprement scandaleux !!!!!
          
          Le jour où les esclaves de systèmes Kro (et, de façon plus générale, des systèmes propriétaires abusant de leur monopole) auront compris cela, ce sera, à mon avis, un grand pas en avant pour l'humanité !

          --
          Yves Dessertine
          http://yvesd.net

          • [^]Re: Changement d'OS

            Posté par loopkin (page perso, ) le 29/09/2001 à 22:32. (lien). Évalué à 1.

            ben non, des trucs comme ça, ça existe pas... tout est traduit à la mimine, et tu as des versions différentes des librairies (enfin pas de toutes), et de programmes par pays.
            ça se voit assez fréquemment quand tu installes un logiciel anglais sur un windows français par exemple, tu vas te taper des questions du style "MSVCRT.dll: le programme que vous tentez d'installé est pour une langue différente de celui existant, voulez vous conserver ce fichier ?" (bon, d'accord, le texte est pas exactement ça, mais j'ai toujours beaucoup de mal à me souvenir exactement de la poésie des mots des messages d'erreur de windows...)
            la couche d'abstraction pour l'internationalisation dans Linux est remarquable ceci dit (enfin je connais que celle de KDE)

      • [^]Re: Changement d'OS

        Posté par GCN (Jabber id, page perso, ) le 28/09/2001 à 16:23. (lien). Évalué à 4.

        > Il dit entre autre que IIS est sécure car le cercle des gens ayant accès au code est très restreint [sic].
        
        Et il a raison. Quand on voit des worms comme CodeRed, Nimda, etc... On voit à quel point IIS est sécure. Je n'ose même pas imaginer ce que ce serait si le cercle des personnes ayant accès au source était plus grand ;).
        
        Faut vraiment être timbré pour sortir des énormités comme ça.

        --
        The UNIX way of sex:
        date;cd ~;gunzip;strip;touch;finger;mount;fsck;more;yes;umount;sleep

        • [^]Re: Changement d'OS

          Posté par Obsidian () le 28/09/2001 à 21:43. (lien). Évalué à 3.

          Je ne dirais pas que IIS est secure: Je dirais qu'il est aware.
          
          Bon blague à part, faut quand même remettre les choses dans leur contexte: La société en question est "le fruit d'un parterna... euh d'un joint-venture entre Accenture (ex Andersen Consulting, si je ne m'abuse) et Microsoft, et spécialisée dans l'intégration des infrastructures logicielles de ce dernier".
          
          Il ne faut donc pas s'attendre à lire quelque chose d'objectif ...
          
          Amitiés.

      • [^]Re: Changement d'OS

        Posté par Wawet76 (page perso, ) le 28/09/2001 à 19:29. (lien). Évalué à 4.

        [A propos de la sécurité de Passport] "Le système est verrouillé à un point tel qu'en cas de perte de votre mot de passe, l'administrateur ne peut même pas vous le communiquer à nouveau. La seule solution consiste à ouvrir un nouveau Passport."
        
        Whaaaaaaaaa...
        Je ne pensais pas qu'on puisse verrouiller à ce point un système...
        
        --

      • [^]Re: Changement d'OS

        Posté par Toufou (page perso, ) le 30/09/2001 à 15:21. (lien). Évalué à 1.

        Ce qui est abominable c'est que ce genre de discours est assez courant et associé à celui qui dit que c'est parce que MS est majoritairement répendu qu'on y trouve le plus de virus / attaques.
        Pourtant, vu la diffusion d'apache, je me demande comment on peut raconter des énormités pareilles. En argumentant en disant que les vilains pirates de LE internet sont anti MS ?

• [^]Re: Vérifie tes infos

  Posté par Lagaffe Gaston () le 28/09/2001 à 18:40. (lien). Évalué à 7.

  lu sur bugtraq:
  
  > > if you've patched the kernel with string match support: yes:
  > > $IPTABLES -I INPUT -p tcp --dport 80 -m string --string .exe? -m state \
  > > --state ESTABLISHED -j REJECT --reject-with tcp-reset
  > > (same works wizh .ida for the old one)
  
  Ca peut -être utile si vraiment tes logs devienent illisible (c'est mon cas). pour explication, ce patch se trouve fourni avec le package source de iptables (patch-o-matic)
  
  Cordialement (ca fait chic).

  • [^]Re: Vérifie tes infos

    Posté par Jerome Demeyer () le 29/09/2001 à 11:17. (lien). Évalué à 4.

    le traitement des paquets par match au niveau applicatif est très lourd en terme de ressource, on peut faciliment de faire un deni de service.
    Par contre, tu peux blacklister les serveurs infectés pour qu'ils évitent de te pourrir tes logs . Il suffit de lancer une ligne en nohup :
    
    
    nohup (tail -n10000 -f access_log | awk '/root.exe|default.ida/{system("/sbin/ipchains -A input -j DENY -i eth0 -p tcp -s " $1 " --destination-port 80")}' ) &
    
    
    pour iptables, je ne sait pas quelle sera la meilleure syntaxe (--reject-with tcp-reset et compagnie)

Juste une accalmie

• [^]Re: Juste une accalmie

  Posté par Gauthier () le 28/09/2001 à 11:11. (lien). Évalué à 6.

  1000 excuses pour la grosse faute "application" et non "appliquation".
  Le script c'etait celui de Pascal : http://linuxfr.org/comments/view.php3?news_id=5031&com_id=63053(...)
  
  la prochaine fois je me relis.

• [^]Re: Juste une accalmie

  Posté par Moule Atarte (page perso, ) le 28/09/2001 à 11:12. (lien). Évalué à 3.

  Esciouse de dérange mais :
  s/appliquation/application

  Mais maintenant qu'on connaît le truc, il reste possible d'être facho : tu refuses toutes les requêtes d'une IP pendant un jour j si elle était vérolée et qu'elle t'as attaqué à j-10...
  Qualqu'un est capable de coder ça ?
  Pas moi en tous cas :)

  <TROLL>T'as déjà vu un admin M$ appliquer des patchs ?</TROLL>

  • [^]Re: Juste une accalmie

    Posté par PLuG () le 28/09/2001 à 11:38. (lien). Évalué à 6.

    <TROLL>T'as déjà vu un admin M$ appliquer des patchs ?</TROLL>
    
    Ben oui, même qu'ils sont obligé d'appliquer plusieurs fois le même !!
    A chaque installation d'une application, il faut se poser la question -- quels patchs ont été annulé par cette installation ? -- dans quel ordre dois-je réinstaller le biniou ?
    
    Franchement, Nimda Microsoft, c'est pas un ca sert d'OS !

    • [^]Re: Juste une accalmie

      Posté par kadreg () le 28/09/2001 à 17:43. (lien). Évalué à 0.

      Oui, mais quand tu tentes de mettre les patchs de sécurité automatiquement par windows update (tm), le temps que tu lance le bousin, il y a trois ou quatres worms qui ont déja infecté la machine (quand je me connecte, il me faut généralement moins d'une minute avant une attaque de vers).

• [^]Re: Juste une accalmie

  Posté par loopkin (page perso, ) le 28/09/2001 à 11:29. (lien). Évalué à 8.

  En parlant d'application des patchs, je sais pas si vous avez noté le foutoire que fout M$ sur NT4.
  
  Le SP7 a été annulé.. bonne ou mauvaise chose, je ne sais trop. L'avantage d'un SP, c'est qu'il était à peu près bien intégré. Officiellement, ils disent que un SP complet, ça risque de déstabiliser le système (après avoir soutenu cette politique pendant une dizaine d'années), alors ils ont créé un SRP (Security Rollup Package), qui, tenez vous bien, applique une bonne trentaine de patchs successifs, relatifs à la sécurité de la chose (WNT et IIS): http://support.microsoft.com/support/kb/articles/q299/4/44.asp?ID=2(...)
  (c'est pas de la news hyper neuve, ça date de fin juillet cette horreur)
  
  Perso, ayant encore hélas à m'occuper d'un serveur IIS (*snif*), j'en avais déjà appliqués certains de ces patches (et notamment ceux nécessaires pour empêcher code red)... Ben la stabilité est vraiment pas fameuse depuis, g du programmer un reboot chaque jour (au lieu de chaque semaine). Alors avec 30 patchs tout aussi bien intégrés d'un coup, je me demande ce que ça va être.
  
  Bref, je vais me grouiller de finir la migration Linux du bazar !!!

IIS ca devrait etre interdit

• [^]Re: IIS ca devrait etre interdit

  Posté par Nico () le 28/09/2001 à 14:17. (lien). Évalué à 5.

  Debranchez SVP tous les serveur IIS
  
  Tu crois pas si bien dire !!!
  Si à la fin du WE, je trouve trace d'une recidive de ce pu%1 de virus de mer%e, je forwarde la liste des IP se trouvant sur la plage appartenant à mon Provider, et je demande la suppression temporaire de leur acces au Net ! et ce jusqu'à ce que les patchs soient installés par les admins des boites concernées !
  
  Ca fera toujours de la bande passante/propagation/infection en moins !!
  
  On peut toujours essayer... ça coute rien ! ;))
  
  Nico

  • [^]Re: IIS ca devrait etre interdit

    Posté par Stephane Salettes (page perso, ) le 28/09/2001 à 14:25. (lien). Évalué à 2.

    Je vais faire la meme chose !!!
    
    On va pas ce laisser emerder nom :)
    
    qui a un vers kaki collé au PC !!!

  • [^]Re: IIS ca devrait etre interdit

    Posté par Nico () le 28/09/2001 à 14:31. (lien). Évalué à 1.

    Heu... bande-passante en plus je voulais dire...
    ;))

    • [^]Re: IIS ca devrait etre interdit

      Posté par Anonyme () le 28/09/2001 à 23:15. (lien). Évalué à 0.

      tu parle il y a un max d'utilisateurs wanadoo adsl contaminés !
      voir stats de mon firewall sur 3 jours :
      http:// bidouille.dyndns.org/nimda/wormed.txt
      Plus sourd et muet que wanadoo tu meurs j'ai téléphoné maillé etc... Ils n'ont même pas envoyé un mail aux abonnés par contre on recoit très bien les pub merci....... Je crois qu'il s'en contrefichent si leurs abonnés contaminent tout le net.........

      • [^]Re: IIS ca devrait etre interdit

        Posté par Nico () le 29/09/2001 à 10:09. (lien). Évalué à 1.

        Pour Wanadoo, je comprends qu'ils ne fassent rien.
        Moi je parlait des abonnements professionels !
        style Oléane, Colt, UUnet et compagnie.... là, c'est pas monsieur tout le mode qui est contaminé ! Ce sont de vraies boites, par exemple, j'ai eu la "visite" d'une machine de TF1... ;))
        
        Nico

  • [^]Re: IIS ca devrait etre interdit

    Posté par Jerome Demeyer () le 29/09/2001 à 11:06. (lien). Évalué à 2.

    Pour éviter de faire emmerder par les serveur IIS, on peut blacklister en live les addresses des serveurs qui vous attaquent :
    
    #!/bin/sh
    #lancer ce script 1 fois, il suivra les logs apaches
    logs=/var/logs/httpd/access_log
    tail -f -n$(cat $logs|wc -l) -f $logs | awk '/root.exe|default.ida/{system("/sbin/ipchains -A input -j DENY -i eth0 -p tcp -s " $1 " --destination-port 80")}'
    #EOF
    
    
    avec iptable ca doit être une syntaxe assez proche

    • [^]Re: IIS ca devrait etre interdit

      Posté par Nico () le 29/09/2001 à 17:59. (lien). Évalué à 1.

      Le probleme, à mon avis, ce n'est pas trop les logs à ralonge ( koi ke...), c'est surtout la bande-passante qui est bouffée pour rien !
      Tu auras beau mettre ipchains ou iptable, les packets tcp iront jusqu'à ta machine.

• [^]Pas besoin d'avoir une IP fixe!

  Posté par Vincent Caron () le 29/09/2001 à 10:07. (lien). Évalué à 2.

  Ben voila, j'ai apache installé chez moi, je me connecte par modem via ppp et j'obtient:
  
  "GET /default.ida?XXXXXXXXXXXXXX
  213.228.161.251 - - [26/Sep/2001:19:05:48 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 210
  213.228.161.251 - - [26/Sep/2001:19:05:51 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 208
  213.228.161.251 - - [26/Sep/2001:19:05:57 +0200] "GET /c/winnt/system32/cmd.exe? /c+dir HTTP/1.0" 404 218
  213.228.161.251 - - [26/Sep/2001:19:11:52 +0200] "-" 408 -
  213.228.43.53 - - [26/Sep/2001:20:27:00 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 210
  
  Cool, non!

Faites gaffe à vos filtres !

• [^]Re: Faites gaffe à vos filtres !

  Posté par Cyril Jovet (page perso, ) le 08/07/2002 à 15:44. (lien). Évalué à 1.

  Un petit
  /(filename|name)=".*\.(scr|pif|bat|cmd|exe....)"$/
  fera très bien l'affaire

comptage (concours de ligne de commande)

• [^]Re: comptage (concours de ligne de commande)

  Posté par Manu (page perso, ) le 28/09/2001 à 16:04. (lien). Évalué à 3.

  grep "^[^[]*SRC=[^[]*DPT=80" | wc -l

  • [^]Re: comptage (concours de ligne de commande)

    Posté par Anonyme () le 28/09/2001 à 17:06. (lien). Évalué à 1.

    merci, ça m'isole bien les lignes du type :
    
    
    Sep 20 23:51:07 yzordderrex kernel: FW Drop:IN=ppp0 OUT= MAC= SRC=217.128.45.206 DST=217.128.209.153 LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=41390 DF PROTO=TCP SPT=3684 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0
    
    
    mais j'aimerais bien le piper dans qqche qui m'isole les adresses du type "217.128.45.206". ensuite je peux envoyer sur un
    
    sort -u | wc
    
    pour compter uniquement les ip différentes.
    
    je peux meme rajouter un "Sep 20" dans le grep pour avoir un jour particulier.
    
    
    cliklik (qui n'est authentifié qu'au boulot)

    • [^]Re: comptage (concours de ligne de commande)

      Posté par Vivi (page perso, ) le 28/09/2001 à 21:39. (lien). Évalué à 2.

      qqche qui m'isole les adresses du type "217.128.45.206"
      
      
      awk '{match($0,/SRC=[0-9.]*/);print substr($0,RSTART+4, RLENGTH-4)}'
      

    • [^]Re: comptage (concours de ligne de commande)

      Posté par PLuG () le 28/09/2001 à 21:49. (lien). Évalué à 4.

      pipe le dans ca:
      sed -e 's/^.* SRC=\([0-9]*\.[0-9]*\.[0-9]*\.[0-9]*\) .*$/\1/'
      
      :-)

      • [^]Re: comptage (concours de ligne de commande)

        Posté par Manu (page perso, ) le 29/09/2001 à 09:20. (lien). Évalué à 2.

        En remplaçant le premier .* par [^[]* tu évitera des problèmes. Les paquets ICMP quand ils sont loggés indiquent les informations du paquet original entre crochets.
        Tel quel ce sed te renverra surement ta propre adresse.

        • [^]Re: comptage (concours de ligne de commande)

          Posté par PLuG () le 29/09/2001 à 10:59. (lien). Évalué à 1.

          ma réponse était destinée ... a la question posée !!
          "dans quoi piper le filtre (qui virait deja les ICMP) pour ne garder que les adresses sources).
          Je pense donc que ma réponse était déjà fonctionnelle.

• [^]Re: comptage (concours de ligne de commande)

  Posté par Foxy (page perso, ) le 29/09/2001 à 10:39. (lien). Évalué à 4.

  Voici la totale en script Shell pour traquer Nimda (recuperés dans une ancienne news ici même ou sur d'autres sites) :
  
  - Total du nombre d'attaques :
  grep c+dir access_log|wc -l
  
  - Total du nombre d'ip differentes :
  grep c+dir access_log | cut -d " " -f 1 | sort | uniq -c | wc -l
  
  - Liste des ips triées selon leur occurence :
  grep c+dir access_log | cut -d " " -f 1 | sort | uniq -c | sort
  
  - Nombre d'attaques heures par heures :
  grep c+dir access_log | cut -d " " -f 4 | cut -d ":" -f 1,2 | uniq -c
  
  - Liste des IP attaquantes :
  grep system32 error_log |cut -d " " -f 8 |sort -u |sed s/\]//g

  • [^]Re: comptage (concours de ligne de commande)

    Posté par cliklik () le 29/09/2001 à 11:45. (lien). Évalué à 0.

    Ok, c'est sympas de avoir rassembler les scripts.
    J'avais vu ces scripts, mais je voulais parser /var/log/messages qui contient toutes les tentaives d'accès (pas uniquement les demandes http sur le port 80).
    
    Ainsi je pourrais les modifier si je veux compter les accès sur d'autres ports.
    
    cliklik (qui s'est authentifier pour dépenser ses votes)
    
    PS : merci pour les réponses !

Re : Nimda