Journal Le créateur de MyDoom nargue son monde

Posté par  .
Étiquettes : aucune
0
10
fév.
2004
Juste un mot pour indiquer que le créateur de MyDoom par la backdoor que son ver a ouvert fait se répandre un ver de port à port (façon Blaster, Code Red, Sapphire)... qui outre Microsoft, distribue aussi les sources du ver initial ... (en tar.bz2)

On peut y lire quelques remarques narquoises en commentaire genre...

What's the bug about "75% failures"?

Après le tristement célèbre Darl va nous dire ... "Vous voyez, c'était bien la communauté Linux qui nous attaquait, il distribue son code..."

Sauf que point de licence libre pour le code... ;) (oui bon je sors...)

  • # Re: Le créateur de MyDoom nargue son monde

    Posté par  . Évalué à 3.

    et on peut le trouver ou le tar.bz2 ?

    • [^] # Re: Le créateur de MyDoom nargue son monde

      Posté par  (site web personnel) . Évalué à 2.

      Ouaih histoire de pouvoir savoir comment utiliser la backdoor
      et pis pouvoir faire un vrai MyDoom.B :)

      • [^] # Re: Le créateur de MyDoom nargue son monde

        Posté par  . Évalué à 1.

        A mon avis il suffit juste d'attendre... (enfin pour ceux qui distribuent un peu partout leur adresse email... ou ceux qui ne savent pas configurer un filtre anti-spam...)

        • [^] # Re: Le créateur de MyDoom nargue son monde

          Posté par  . Évalué à 2.

          Non .... Puisque c'est un ver de port à port à la Blaster...

          Les sources se retrouvent facilement sur amule/mldonkey ou autre réseau d'échange, étant donné que certains partagent leurs disques en totalité:

          Le fichier s'appelle sync-src-1.00.tbz et il était déjà assez bien diffusé hier soir !

          • [^] # Re: Le créateur de MyDoom nargue son monde

            Posté par  . Évalué à 2.

            Effectivement, ça commence à chauffer... 
            
    date          | nombre d'accès au port 3127 depuis des adresses IP uniques
----------------+-----|
 2004-02-10 |    9 |   (<-- et la journée n'est pas finie...)
 2004-02-09 |    3 |
 2004-02-08 |    1 |
 2004-02-06 |    1 |
 2004-02-04 |    1 |
 2004-02-02 |    1 |
 2004-02-01 |    2 |
            M'enfin...

            • [^] # Re: Le créateur de MyDoom nargue son monde

              Posté par  . Évalué à 1.

              Pourrais-tu nous dire comment obtenir ce genre de statistiques ?

              • [^] # Re: Le créateur de MyDoom nargue son monde

                Posté par  . Évalué à 1.

                Je dirais au hasard, remonter de logs iptables + grep + uniq + sort et leurs potes :) nan ?

                • [^] # Re: Le créateur de MyDoom nargue son monde

                  Posté par  . Évalué à 4.

                  remonter de logs iptables + grep + uniq + sort et leurs potes

                  Bah non...
                  Je trouve que ça devient rapidement fastidieux de faire ça avec grep & co. Et je suis un peu fainéant, je développe un minimum.

                  Donc j'utilise la cible ULOG de IPtables + ulogd ( http://gnumonks.org/gnumonks/projects/project_details?p_id=1(...) ) + PostgreSQL.

                  J'utilise PostgreSQL pour son support des vues ; en effet la table "ulog" brute regroupe tous les protocoles pêle-mêle. Avec le support des vues, on regroupe facilement chaque type de protocole, voir chaque type de port ou cible (--ulog-prefix).

                  Donc v'là la requête (psql) qui m'a renvoyé ça (à partir de la vue qui regroupe les accès pour le protocole TCP) :

                  -- Accès bloqué au port '3127' par jour depuis 1 semaine (7 jours)
                  SELECT (vulog_tcp.date::date) as date,
                  count(distinct vulog_tcp.src) as cnt,
                  count(vulog_tcp.src) as total
                  FROM vulog_tcp
                  WHERE vulog_tcp.date >= now()::date-8
                  AND vulog_tcp.dport = '3127'
                  GROUP BY date
                  ORDER BY date DESC, cnt DESC;
                  --

                  [mode dissaïdeur]Et c'est plus facile de faire des jolies courbes
                  Voilà par exemple les accès sur 20 ports les plus "pollués", avec un petit script en PHP qui génère l'image. Et ceci en "temps réèl" (enfin, là c'est du statique, j'ai généré la page puisque mes scripts PHP ne sont accessibles que depuis mon réseau local) : http://wop-sys.org/ulog/ulog_tcp.html(...)
                  J'ai aussi un petit script qui compte le nombre de ligne de chaque vue ou cible et qui stocke ça dans une base RRDtool : http://wop-sys.org/ulog/rrd.html(...)
                  Pour les graphiques, on peut aussi utiliser OpenOffice.org pour attaquer directement la base, plutôt que de générer un fichier CSV avec grep/sed à importer.
                  [/mode]

                  Y a aussi une table dans cette base qui stocke les enregistrements inverses des adresses IP qui ont été logguées (script qui fait les requêtes DNS une fois par jour) ; par exemple, ça me permet de sortir facilement des statistiques par domaine ; je peux donner les domaines les plus "polluants".

                  Enfin bref, pour conclure, je trouve que c'est vraiment plus pratique, j'ai plein de petites requêtes intéressantes (si ça intéresse quelqu'un, je les mets à coté des pages html ; d'ailleurs si vous utilisez ce principe, ça m'intéresse aussi d'avoir vos requêtes)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.