Les journaux sont destinés à des informations qui ne sont pas suffisamment intéressantes
pour être validées en dépêche (sinon n'hésitez pas à proposer votre information en
dépêche), qui sont sans rapport avec Linux ou le libre, ou simplement pour donner votre
avis. Si vous désirez poser une question, merci d'utiliser Derniers journaux de Mayfoev :
- [08/02@06:22] Mais pourquoi mon italique est gras...
- [07/02@03:03] IBM veut savourer l'agonie de SCO
- [10/11@09:44] Historique de fichiers binaires?
Journal : Le créateur de MyDoom nargue son monde
Posté par Mayfoev () le 10 février 2004On peut y lire quelques remarques narquoises en commentaire genre...
What's the bug about "75% failures"?
Après le tristement célèbre Darl va nous dire ... "Vous voyez, c'était bien la communauté Linux qui nous attaquait, il distribue son code..."
Sauf que point de licence libre pour le code... ;) (oui bon je sors...)
> Lire le journal (8 commentaires, moyenne: 2).
Re: Le créateur de MyDoom nargue son monde
et on peut le trouver ou le tar.bz2 ?
-
[^]Re: Le créateur de MyDoom nargue son monde
Posté par Ph Husson (page perso, ) le 10/02/2004 à 13:41. (lien). Évalué à 2.Ouaih histoire de pouvoir savoir comment utiliser la backdoor
et pis pouvoir faire un vrai MyDoom.B :)-
[^]Re: Le créateur de MyDoom nargue son monde
Posté par ASpirit () le 10/02/2004 à 13:47. (lien). Évalué à 1.A mon avis il suffit juste d'attendre... (enfin pour ceux qui distribuent un peu partout leur adresse email... ou ceux qui ne savent pas configurer un filtre anti-spam...)
-
[^]Re: Le créateur de MyDoom nargue son monde
Posté par Mayfoev () le 10/02/2004 à 15:26. (lien). Évalué à 2.Non .... Puisque c'est un ver de port à port à la Blaster...
Les sources se retrouvent facilement sur amule/mldonkey ou autre réseau d'échange, étant donné que certains partagent leurs disques en totalité:
Le fichier s'appelle sync-src-1.00.tbz et il était déjà assez bien diffusé hier soir !-
[^]Re: Le créateur de MyDoom nargue son monde
Posté par unk () le 10/02/2004 à 17:18. (lien). Évalué à 2.Effectivement, ça commence à chauffer...
date | nombre d'accès au port 3127 depuis des adresses IP uniques ----------------+-----| 2004-02-10 | 9 | (<-- et la journée n'est pas finie...) 2004-02-09 | 3 | 2004-02-08 | 1 | 2004-02-06 | 1 | 2004-02-04 | 1 | 2004-02-02 | 1 | 2004-02-01 | 2 |M'enfin...-
[^]Re: Le créateur de MyDoom nargue son monde
Posté par ASpirit () le 10/02/2004 à 19:16. (lien). Évalué à 1.Pourrais-tu nous dire comment obtenir ce genre de statistiques ?
-
[^]Re: Le créateur de MyDoom nargue son monde
Posté par Cereal Killer (Jabber id, ) le 10/02/2004 à 19:34. (lien). Évalué à 1.Je dirais au hasard, remonter de logs iptables + grep + uniq + sort et leurs potes :) nan ?
-
[^]Re: Le créateur de MyDoom nargue son monde
Posté par unk () le 11/02/2004 à 00:15. (lien). Évalué à 4.remonter de logs iptables + grep + uniq + sort et leurs potes
Bah non...
Je trouve que ça devient rapidement fastidieux de faire ça avec grep & co. Et je suis un peu fainéant, je développe un minimum.
Donc j'utilise la cible ULOG de IPtables + ulogd ( http://gnumonks.org/gnumonks/projects/project_details?p_id=1(...) ) + PostgreSQL.
J'utilise PostgreSQL pour son support des vues ; en effet la table "ulog" brute regroupe tous les protocoles pêle-mêle. Avec le support des vues, on regroupe facilement chaque type de protocole, voir chaque type de port ou cible (--ulog-prefix).
Donc v'là la requête (psql) qui m'a renvoyé ça (à partir de la vue qui regroupe les accès pour le protocole TCP) :
-- Accès bloqué au port '3127' par jour depuis 1 semaine (7 jours)
SELECT (vulog_tcp.date::date) as date,
count(distinct vulog_tcp.src) as cnt,
count(vulog_tcp.src) as total
FROM vulog_tcp
WHERE vulog_tcp.date >= now()::date-8
AND vulog_tcp.dport = '3127'
GROUP BY date
ORDER BY date DESC, cnt DESC;
--
[mode dissaïdeur]Et c'est plus facile de faire des jolies courbes
Voilà par exemple les accès sur 20 ports les plus "pollués", avec un petit script en PHP qui génère l'image. Et ceci en "temps réèl" (enfin, là c'est du statique, j'ai généré la page puisque mes scripts PHP ne sont accessibles que depuis mon réseau local) : http://wop-sys.org/ulog/ulog_tcp.html(...)
J'ai aussi un petit script qui compte le nombre de ligne de chaque vue ou cible et qui stocke ça dans une base RRDtool : http://wop-sys.org/ulog/rrd.html(...)
Pour les graphiques, on peut aussi utiliser OpenOffice.org pour attaquer directement la base, plutôt que de générer un fichier CSV avec grep/sed à importer.
[/mode]
Y a aussi une table dans cette base qui stocke les enregistrements inverses des adresses IP qui ont été logguées (script qui fait les requêtes DNS une fois par jour) ; par exemple, ça me permet de sortir facilement des statistiques par domaine ; je peux donner les domaines les plus "polluants".
Enfin bref, pour conclure, je trouve que c'est vraiment plus pratique, j'ai plein de petites requêtes intéressantes (si ça intéresse quelqu'un, je les mets à coté des pages html ; d'ailleurs si vous utilisez ce principe, ça m'intéresse aussi d'avoir vos requêtes)
-
-
-
-
-
-
Cette page a été générée par Templeet en 0.0616s (dont 0.006 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !
Cette discussion est archivée, il n'est plus possible de laisser des commentaires.
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.