Résumé lapidaire :
- le site grc.com a subi une (plusieurs en fait) attaque par déni de service distribuée (DDoS), qui les a littéralement submergés : un flux massif de données qui empèche l'utilisation normale du site (Yahoo avait subi cela en début d'année) ;
- l'attaqueur prétend être un "gamin" de 13 ans ;
- l'attaque est venue de 474 machines tournant sous Windows ;
- paradoxalement, c'est cela qui a sauvé grc.com : l'implémentation du protocol IP dans Windows avant 2000 est incomplète, facilitant ainsi la repousse de l'attaque ;
- l'auteur de l'histoire prévoit un cauchemard quand Windows 2000 et XP seront largement diffusés, car ceux-ci contiennent un protocol IP complet ;
- les machines "attaqueuses" contenaient toutes un fichier "rundIl.exe", avec un 'i' majuscule, qui ressemble fort à "rundll.exe" (vérifiez vos systèmes !), mais est en fait un client IRC infecté ;
- l'infection est un cheval de Troye nommé "Sub7Server" semble-t-il...
Aller plus loin
- L'article (long) (7 clics)
- La news sur Slashdot (4 clics)
# proposition de frlinux (trop tard alors je la mets ici)
Posté par Fabien Penso (site web personnel, Mastodon) . Évalué à 1.
Tres interessant, je me permet de mettre le lien vers patchwok, un utilitaire de test d'intrusion d'un serveur NT4 ecrit par des personnes du FBI (un peu hors sujet certes mais oh combien necessaire).
http://www.cisecurity.org/patchwork.html(...)
[^] # Re: proposition de frlinux (trop tard alors je la mets ici)
Posté par cliklik . Évalué à 1.
quels sont les équivalents sous linux?
perso, j'utilise portsentry, mais je ne maitrise pas tout ce qu'il controle,...
[^] # Re: proposition de frlinux (trop tard alors je la mets ici)
Posté par Stéf . Évalué à 1.
c'est pas GPL, ça donne aucune info, si ce n'est qu'on est vulnérable à ça ou ça, bref, caca !
Par contre, Arnaud Deraison à pondu un soft GPL qui s'appel http://www.nessus.org(...) et qui est très bien, et facilement 'pluggable.
Et en plus il me semble que l'armée militaire américaine l'a validée en tant que Soft de sécurité, bon ok c'es pas forcément un critère, mais ça montre bien la power de nessus :)
Avé ARnaud :))
[^] # Re: proposition de frlinux (trop tard alors je la mets ici)
Posté par Guillaume Rousse (site web personnel) . Évalué à 1.
Et que fait l'armée civile pendant ce temps :-) ?
[^] # Re: proposition de frlinux (trop tard alors je la mets ici)
Posté par cliklik . Évalué à 1.
nessus : audit de ta machine (vesions de logiciels avec des trous de sécurité, ports ouverts pour rien,...). c'est un nmap avec une analyse en plus.
portsentry : détecter quand qq'un fait une tentative d'attaque sur ton pc (scan des ports,...)
"le truc de fabien" : se rendre compte quand un intru est sur ta machine.
en écrivant ça, je me rappelle d'un article (lwn.net je crois) d'une boite qui avait mis au point un logiciel qui détecte les intrus en analysant les changements de comportement (load, ...) de ton serveur.
je recherche.
[^] # Re: proposition de frlinux (trop tard alors je la mets ici)
Posté par cliklik . Évalué à 1.
http://lwn.net/2001/0503/security.php3(...)
CylantSecure for Linux.
"..."
Most of the current focus of intrusion detection systems look either at the input to the system (e.g., network connections, attack signatures) or the output from the system (file checksums, etc.).
CylantSecure looks instead at the behavior of the system itself, producing a model for what the "normal" behavior of the CPU is, when in production use, and therefore detecting "abnormal" behavior and actively dropping connections or terminating processes that display abnormal behavior.
[^] # Re: proposition de frlinux (trop tard alors je la mets ici)
Posté par gosseyn . Évalué à 1.
et dans ce cas....snort (http:// www.snort.org) peut servir ...
[^] # Re: proposition de frlinux (trop tard alors je la mets ici)
Posté par Stéf . Évalué à 1.
Et bien sur qu'on peux faire qque chose !
Ce que je ne sais pas c'est pourquoi personne (Apache ,IIS et consort ) ne l'implémente par défaut dans la conf !
Il suffit de dire au serveur httpd de ne pas accepter + de X connexion depuis une même adresse IP pendant un temps donnée et lorsque une telle chose arrive, tu firewall cette adresse IP à l'aide d'un script perl par ex et hop !
[^] # Re: proposition de frlinux (trop tard alors je la mets ici)
Posté par freePK . Évalué à 1.
C'est vraiment si simple que cela ? Je n'y connais pas grand chose mais à partir de combien de connexions met-on un système à genoux ?
Il y avait environ 500 machines. Si chacune d'elle envoie 10 requêtes simultanément, je ne pense pas qu'un petit serveur puisse avaler 5000 requêtes d'un coup ? Ou alors je n'ai pas les bons ordres de grandeur...
Deuxième question: à combien de requêtes te limites-tu par adresse IP ? Cela risque vite vite de saturer le serveur de calculer cela tout le temps, non ?
Je suis curieux de connaître les réponses...
Merci
PK
[^] # Re: proposition de frlinux (trop tard alors je la mets ici)
Posté par Wawet76 . Évalué à 1.
- Ce n'est pas Apache ou autre qui est la cible du denial, mais la machine : souvent des paquets ping.
- Dans un ddos, tu ne recois pas beaucoup (tout est relatif) de paquets d'une seule IP : L'attaque viens de plusieurs machines et sont de toute facon en général falsifiées (spoofing). Un filtrage par adresse IP de l'envoyeur est donc souvent inefficace.
- Changer la configuration de la machine attaquée pour refuser les paquets n'est pas suffisant : la ligne est de toute facon engorgée. Le filtrage doit s'effectuer en amont sur les routeurs (plus de capacité à gérer les gros flux et flux plus réduit si ils sont partagés sur plusieurs routeurs)
Le dernier point est surtout vrai pour le cas de serveurs hebergés sur une ligne ADSL (débit de la ligne ridicule par rapport au volume d'un ddos), mais je pense que c'est aussi valide pour un serveur relié à une grosse ligne. Plus tu t'éloigne de l'attaqué et moins tu as de traffics. A partir d'une certaine distance (enfin distance... on se comprend), il deviens même difficile de détecter une anormalité sur les flux.
Je ne sais pas si news.nerim.net est disponible pour les non-abonnés (ptet en lecture). Les forums sont assez instructifs.
[^] # Limitation de connexions par IP
Posté par Johann Deneux . Évalué à 1.
Le traffic venant de telles IP devrait etre bien plus important qu'un traffic "normal", sans pour autant relever de l'attaque.
[^] # Portsentry == grosse daube !
Posté par Mathieu Dessus (site web personnel) . Évalué à 1.
- le nb de ports d'ecoute est limité,
- il ne permet pas de se baser sur les ports deja utilisés par des prorgrammes.
- et il ouvre les ports qu'on lui demande d'ecouter !!!
Il vaut mieux utiliser ippl qui utilise la libpcap et qui marche tres bien (-> apt-get install ippl ).
[^] # Re: proposition de frlinux (trop tard alors je la mets ici)
Posté par Fabien Penso (site web personnel, Mastodon) . Évalué à 1.
# Bizarre bizarre... autant qu'étrange.
Posté par Jar Jar Binks (site web personnel) . Évalué à 1.
C'est bizarre, je n'ai pas de rundIl.exe.
En fait, je n'ai pas de rundll.exe non plus, c'est grave docteur ?
[^] # Re: Bizarre bizarre... autant qu'étrange.
Posté par Anonyme . Évalué à 0.
[^] # Re: Bizarre bizarre... autant qu'étrange.
Posté par un nain_connu . Évalué à -1.
find: /windows: Aucun fichier ou répertoire de ce type
Mince il se cache où cet animal ?
[^] # Re: Bizarre bizarre... autant qu'étrange.
Posté par Anonyme . Évalué à -1.
# pas exactement.
Posté par Wawet76 . Évalué à 1.
Beaucoup d'utilitaire de DDOS se dirige par IRC. C'est pratique pour pouvoir les commander simplement de n'importe où.
Enfin bon bref. Détail...
--
# ...
Posté par Anonyme . Évalué à 0.
Et en réponse à la news, vous croyez que j'ai un rundil.exe sur linux?
[^] # Re: ...
Posté par Euclide (site web personnel) . Évalué à 1.
non mais tu as d'autres fichiers infectables.
et des worm linux, ca se trouve
des kernel <2.2.19 aussi
Et franchement tu connais toutes les lib et exe de ta machine ?
bref de genre de saleté ca finira par utiliser linux, le jour ou windows aura disparu du marché de l'OS et que GNU sera le standard (reve éveillé)
Et avec une pile TCP unix, bonjour les dégats
(cf l'article)
euclide
# Pinaillage orthographique
Posté par Anonyme . Évalué à -1.
- protocole (avec un 'e', pas comme en anglais)
- cauchemar (sans 'd' à la fin)
C'est tout. Sinon je trouve l'article exceptionnel et passionnant. A s'en demander si tout est bien réel.
[^] # Re: Pinaillage orthographique
Posté par Anonyme . Évalué à -1.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.