jeudi 09 octobre
Accueil :: Dépêches :: Entretiens :: Journaux :: Forums :: Sondages :: Suivi :: Statistiques :: Contact :: Plan

Liens connexes

Dépêche modérée par

: Un ver déstabilise Internet

Posté par DPhil (page perso, ). Modéré le 25 janvier 2003.
0
Depuis ce matin, le réseau Internet subit un fort ralentissement (beaucoup de sites inaccessibles). Il s'agirait d'une attaque DDOS (Distributed Denial Of Service) saturant les réseaux des principaux fournisseurs de backbones US et internationaux.

La France n'est pas épargnée puisque certains fournisseurs d'hébergement, comme OVH, étaient inaccessibles ce matin.

Le DDOS serait mené par un ver exploitant une faille de MS SQL Server pourtant corrigée depuis quelques temps.

NDR: Vous pouvez retrouvez un thread dans le newsgroup fr.comp.securite sous le titre: "Gros DOS en cours via MS-SQL"

NdM: merci à tous ceux qui ont signalé ceci depuis ce matin. Ce n'est pas la peine de saturer les sites de news qui en parlent, contentez vous de bloquer les ports MSSQL et de ne pas loguer les attaques sur ces ports à moins d'avoir un gros disque.

> Lire les commentaires (202 commentaires, moyenne: 4,2).  

Cette discussion est archivée, il n'est plus possible de laisser des commentaires.

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.

[+] Euh..

Posté par Benjamin () le 25/01/2003 à 14:12. (lien). Évalué à -2.

contentez vous de bloquer les ports MSSQL

J'ai fouillé tous mes panels de config, j'ai pas trouvé l'option..

[+] Re: Un ver déstabilise Internet

Posté par DPhil (page perso, ) le 25/01/2003 à 14:24. (lien). Évalué à -2.

Vous trouverez un peu plus d'informations sur le site de zataz:

http://www.zataz.com(...)

Re: Un ver déstabilise Internet

Posté par Buto () le 25/01/2003 à 14:38. (lien). Évalué à 8.

Une description du vers en question :
http://www.digitaloffense.net/worms/mssql_udp_worm/(...)

Re: Un ver déstabilise Internet

Posté par Benjamin () le 25/01/2003 à 14:44. (lien). Évalué à 1.

Euh, comment les Root nameserver peuvent-il être touchés ?

Ils tournent sous Windows & MySQL et ne sont pas mis à jour ? La faille était corrigée depuis Juillet il me semble ?! Quelqu'un peut-il m'expliquer ?

DNS et fw

Posté par Christophe (rOotix) GUILLOUX (Jabber id, page perso, ) le 25/01/2003 à 14:47. (lien). Évalué à 10.

J'avais lu que des effets de bords de ces problèmes, c'est les DNS root parce qu'ils sont presque tous installés chez les ricains. Leur répartition est mal conçue. Si une coupure ou un disfonctionnement se produit, il nous reste 3 serveurs root en europe accessible.
J'espère que quelque chose sera fait de ce côté là à l'avenir.

Règles pour openbsd pour ne pas loguer l'attaque :

block in quick proto tcp from any to any port 1433
block in quick proto udp from any to any port 1434
à mettre avant un
block in log all

--
http://rootix.info

Un ver déstabilise les administrateurs négligeants ...

Posté par L () le 25/01/2003 à 14:51. (lien). Évalué à 27.

Il est vrai que MSSQL (et non pas MySQL comme on peut le lire au début du thread sur le lien "Annonce de American Intelligence") est utilisé pour cette attaque en raison d'une faille de sécurité.

Il est vrai que les développeurs de MSSQL ont fait une erreur, tout comme en font les développeurs du monde du Logiciel Libre.

Il est vrai que le "buffer overrun" est probablement une des failles les plus répandues et que son existence dans des produits développés par des grandes sociétés peut laisser perplexe quand à sa politique d'audit ou de sécurité ...

Mais soyons honnête un tant soit peu ... Le correctif est sorti depuis le 24 juillet 2002 et nous sommes le 25 janvier 2003 : en 7 mois, il semblerait au vue de l'importance de l'attaque, que les administrateurs ont fait preuve d'une grande négligence, et ont une énorme part de responsabilité.

Nombreux sont ceux qui tirent sur Microsoft car elle met énormément de temps à sortir un correctif : mais finalement, que le correctif sorte rapidement ou pas, cela ne semble pas changer grand chose comme le démontre cet événement.

Et surtout, quand j'entends un "administrateur" MSSQL demander ici même quel est le port utilisé par MSSQL alors que tout est noté dans le bulletin de sécurité Microsoft, je comprend mieux pourquoi cette attaque a eu un certains succès.

Re: Un ver déstabilise Internet

Posté par Mathieu Pillard (page perso, ) le 25/01/2003 à 15:03. (lien). Évalué à 11.

> contentez vous de bloquer les ports MSSQL

a moins de deja utiliser ce port, je vois pas pourquoi le bloquer... normalement toute personne sensee avec un firewall bloque deja tout les ports SAUF ce dont elle a besoin :)

[+] C'est le moment de tester les IDS !

Posté par alenvers () le 25/01/2003 à 15:49. (lien). Évalué à -2.

C'est le moment de tester les IDS !

Re: Un ver déstabilise Internet

Posté par Wawet76 (page perso, ) le 25/01/2003 à 15:55. (lien). Évalué à 11.

Le patch existe depuis juillet ?
Bah! Quand on voit dans les logs le nombre de hits que fait encore le ver Nimda, on ne s'étonne plus de rien.

Ce qui m'étonne, c'est qu'il n'y ai pas encore eu un ver de cet envergure qui supprime toutes les données du disque des machines infectées après quelques jours.
Ça finira par arriver; peut-être qu'alors on parlera enfin un peu de ce qu'est une vrai démarche sécurité. (mais bon le plus probable c'est que ça finisse par pousser plus vite d'autres lois liberticides)

DNS, petit rappel

Posté par cauchemar () le 25/01/2003 à 16:09. (lien). Évalué à 9.

Beaucoup sous linux utilise les capacité cache de bind. Si on utilise