Un ver déstabilise Internet

Posté par  (site web personnel) . Modéré par Pascal Terjan.
Étiquettes : aucune
0
25
jan.
2003
Internet
Depuis ce matin, le réseau Internet subit un fort ralentissement (beaucoup de sites inaccessibles). Il s'agirait d'une attaque DDOS (Distributed Denial Of Service) saturant les réseaux des principaux fournisseurs de backbones US et internationaux.

La France n'est pas épargnée puisque certains fournisseurs d'hébergement, comme OVH, étaient inaccessibles ce matin.

Le DDOS serait mené par un ver exploitant une faille de MS SQL Server pourtant corrigée depuis quelques temps.

NDR: Vous pouvez retrouvez un thread dans le newsgroup fr.comp.securite sous le titre: "Gros DOS en cours via MS-SQL"

NdM: merci à tous ceux qui ont signalé ceci depuis ce matin. Ce n'est pas la peine de saturer les sites de news qui en parlent, contentez vous de bloquer les ports MSSQL et de ne pas loguer les attaques sur ces ports à moins d'avoir un gros disque.

Aller plus loin

  • # Euh..

    Posté par  . Évalué à -2.

    contentez vous de bloquer les ports MSSQL

    J'ai fouillé tous mes panels de config, j'ai pas trouvé l'option..
    • [^] # Re: Euh..

      Posté par  . Évalué à 7.

      mssql utilise le port 1433 c'est lui qu'il faut bloquer
      • [^] # Re: Euh..

        Posté par  . Évalué à 10.

        Il semblerait qu'il faille bloquer en réalité 1433, 1434, 4662 selon les informations relayées par zataz.com, je viens de le lire, donc je transmets. Je n'ai bien évidemment aucune confirmation que les 3 ports soient touchés, mais 3 précautions valent mieux qu'une :-)

        Note pour modérateurs: c'est un ver, et pas un "vers" (ce dernier terme étant un terme de poésie :-)
        • [^] # Re: Euh..

          Posté par  (site web personnel) . Évalué à 10.

          en fait les ports à bloquer sont TCP 1433, UDP 1434 pour sql server.
          Le ver se propage sur le port 1434 en udp, d'après le bulletin ms.

          le port 4662, me semble t'il, est lié a e-donkey. Il n'aurait donc rien à voir avec cette attaque ( c'est presque du traffic normal ).
          • [^] # Re: Euh..

            Posté par  . Évalué à 3.

            ca explique bien des choses.
            ce matin a 0h10 environ impossible de resoudre quoi que ce soit en DNS,
            il a fallut que je modifie ma conf pour retrouver un serveur DNS digne de ce nom !!
            et hier soir, apparition de connections en TCP/4662 , alors que edonkey n'est pas un truc qui m'interesse ... et que je n'avais pas trop vu ce genre de port avant. Donc wait&see mais il est possible que 4662 soit effectivement aussi de la partie !!
            • [^] # Re: Euh..

              Posté par  . Évalué à 1.

              Ca fait environ une semaine qu'il y a des prob. épisodiques sur les DNS de noos.fr
              • [^] # Re: Euh..

                Posté par  . Évalué à 3.

                en fait chez moi j'utilise pdnsd, et il etait configuré avec seulement 3 root servers (et le dns de wanadoo limité aux requetes pour le domaine wanadoo puisque le dns interne est different du dns coté public chez wanadoo).
                et a 0h10, plus moyen de resoudre quoi que ce soit avec les root de ma conf, ou alors avec des delais de fou. le dns de wanadoo marchait MIEUX !!
                • [^] # Re: Euh..

                  Posté par  (site web personnel) . Évalué à 10.

                  Tu utilises les root-servers pour résoudre tes requêtes ? Alors il ne faut pas s'étonner d'avoir des problèmes :
                  - d'après la rfc, seuls les dns secondaires devraient interroger les root-servers
                  - en cas d'attaque, les root-servers seront forcément visés les premiers

                  Par contre, un dns doit normalement répondre aux requêtes venant de n'importe qui (pas de filtrage sur l'ip) donc tu peux ajouter les dns d'autres providers dans ton pdnsd.conf si tu veux être tranquille.

                  Et wanadoo a plus que 2 dns, puisqu'il y a ns1 à ns6.wanadoo.fr (merci au passage à la tribune qui m'avait appris ça il y quelques temps...).
                  • [^] # Re: Euh..

                    Posté par  . Évalué à 8.

                    > Et wanadoo a plus que 2 dns
                    Faut utiliser les adresses ip.
                    Pour wanadoo c'est :
                    193.252.19.3
                    193.252.19.4

                    Une page wanadoo dit 193.252.019.[34]. Mais bind n'aime pas le 019 !
                    • [^] # Re: Euh..

                      Posté par  . Évalué à 4.

                      çà c'est ce qui préconisé par wanadoo sur leur site web. Mais comme tu (bknight) le dis, il y a 6 serveurs dns : 193.252.19.(1 à 6).
                      • [^] # Re: Euh..

                        Posté par  . Évalué à 9.

                        [localhost]$ host ns.wanadoo.fr
                        ns.wanadoo.fr has address 193.252.19.10
                        [localhost]$ host ns1.wanadoo.fr
                        [localhost]$ host ns2.wanadoo.fr
                        ns2.wanadoo.fr has address 193.252.19.11
                        [localhost]$ host ns3.wanadoo.fr
                        [localhost]$ host ns4.wanadoo.fr
                        [localhost]$ host ns5.wanadoo.fr
                        [localhost]$ host ns6.wanadoo.fr

                        Les six DNS de Wanadoo ne seraient-ils pleinement accessibles qu'en local ?
                        • [^] # Re: Euh..

                          Posté par  . Évalué à 10.

                          Avec comme serveur dns 193.252.19.3 j'ai le résultat suivant :

                          |cauchemar@one cauchemar]$ host ns.wanadoo.fr
                          ns.wanadoo.fr has address 193.252.19.1
                          [cauchemar@one cauchemar]$ host ns1.wanadoo.fr
                          ns1.wanadoo.fr is an alias for ns.wanadoo.fr.
                          ns.wanadoo.fr has address 193.252.19.1
                          [cauchemar@one cauchemar]$ host ns2.wanadoo.fr
                          ns2.wanadoo.fr has address 193.252.19.2
                          [cauchemar@one cauchemar]$ host ns3.wanadoo.fr
                          ns3.wanadoo.fr has address 193.252.19.3
                          [cauchemar@one cauchemar]$ host ns4.wanadoo.fr
                          ns4.wanadoo.fr has address 193.252.19.4
                          [cauchemar@one cauchemar]$ host ns5.wanadoo.fr
                          ns5.wanadoo.fr has address 193.252.19.5
                          [cauchemar@one cauchemar]$ host ns6.wanadoo.fr
                          ns6.wanadoo.fr has address 193.252.19.6
                          [cauchemar@one cauchemar]$

                          En passant par les root serveurs j'ai la même chose que toi.
                          > Les six DNS de Wanadoo ne seraient-ils pleinement accessibles qu'en local ?

                          Depuis ma ligne ADSL abonnement wanadoo, j'ai accès aux dns wanadoo (ns[1-6]). Par contre depuis une autre machine qui ne passe pas par wanadoo, je n'ai pas accès à ces dns.

                          les serveurs dns 193.252.19.10 et 193.252.19.11 ne semblent servir que le domaine wanadoo.fr (pas de rattachement à un niveau supérieur) :

                          [cauchemar@one cauchemar]$ host linuxfr.org 193.252.19.10
                          Using domain server:
                          Name: 193.252.19.10
                          Address: 193.252.19.10#53
                          Aliases:

                          [cauchemar@one cauchemar]$ host linuxfr.org 193.252.19.2
                          Using domain server:
                          Name: 193.252.19.2
                          Address: 193.252.19.2#53
                          Aliases:

                          linuxfr.org has address 212.27.33.221
                          [cauchemar@one cauchemar]$

                          Marrant !
                          Quoi qu'il en soit, depuis une connection wanadoo, j'ai pas accès aux serveur dns free. Je pense que tout les FAI font çà.
                    • [^] # Re: Euh..

                      Posté par  . Évalué à 1.

                      La premiere adresse est facile a se rappeler, c'est un joli palindrome.

                      --
                      EIDOHPHOBIE :
                      N.F designant une peur irraisonnee des palindromes.
                      • [^] # Re: Euh..

                        Posté par  . Évalué à 6.

                        Le palindrome ne serait pas 193.252.39.1 ?

                        (-1 car aucun rapport avec la discussion...)
                  • [^] # Re: Euh..

                    Posté par  . Évalué à 4.

                    Qui a dit que j'utilisait les root server pour resoudre mes requetes ??
                    tout setup dns qui se respecte doit avoir quelques pointeurs vers les root server pour pouvoir resoudre.
                    aux root server tu demandes "qui gere le .com"
                    a celui qui gere "com" tu demandes "qui gere google.com"
                    a celui qui gere google.com tu demandes "qui gere www.google.com"

                    et tu garde tout ca en cache pour ne pas avoir a re-poser la question.
                    la RFC tu peux la relire :-)

                    ensuite, wanadoo a plus de 2 DNS à l'extérieur de son reseau, oui.
                    mais quand tu es abonné tu dois interroger les DNS internes.
                    la machine smtp.wanadoo.fr ne se resoud pas DU TOUT de la meme maniere selon le cas, le smtp interne accepte de relayer le mail (heureusement) et pas celui externe.
                    • [^] # Re: Euh..

                      Posté par  (site web personnel) . Évalué à 7.

                      Bah tu as l'air de dire que tu as mis explicitement les root-servers dans la liste des dns que tu utilisais.

                      Moi, je demande tout à wanadoo qui cache les résultats (à wanadoo je demande qui gère google.com etc...), et si tout le monde fait pareil ça réduit la pression sur les root-servers. Si les dns wanadoo tombent, j'ai un ou deux dns de secours hors wanadoo.

                      cf http://www.sciencedaily.com/releases/2003/01/030124074245.htm(...) si les requêtes inutiles n'avaient pas lieu (grâce à l'utilisation de caches), les root-servers tiendraient peut-être mieux les dos comme aujourd'hui.
                      • [^] # Re: Euh..

                        Posté par  (site web personnel) . Évalué à 6.

                        Ce ne sont pas les serveurs DNS root qui ne tiennent pas la charge... c'est la manière d'y accéder ! Ce ne sont pas les Root servers qui sont visés (à moins qu'ils ne tournent sous MS SQL ??) mais tout le monde. Ce n'est pas le nombre de requetes DNS qui fait mal aujourd'hui... c'est le traffic global ! et AMHA faire du super cache DNS ne sert pas à grand chose quant à l'amélioration de ce qui se passe aujourd'hui.
                        • [^] # Re: Euh..

                          Posté par  (site web personnel) . Évalué à 2.

                          Les requêtes ça fait du trafic, non ? Donc moins de requêtes = moins de trafic.

                          Par contre c'est vrai que j'avoue avoir du mal à comprendre comment les root-servers peuvent être impactés à ce point-là. L'explication que je vois est que les routeurs sont saturés, ce qui empêche d'atteindre les root-servers. Mais pour saturer ça avec des paquets udp de 376 octets il faut quand même en mettre pas mal (il y a tellement de serveurs ms sql ouverts à tous vents sur le net ?).

                          PS : heureusement que les root-servers n'utilisent pas ms sql ;)
                          • [^] # Re: Euh..

                            Posté par  . Évalué à 10.

                            > comment les root-servers peuvent être impactés à ce point-là.
                            http://www.internethealthreport.com/(...)

                            On voit que UUNET souffre vraiment, vraiment beaucoup. S'il y a quelques serveurs sur UUNET, il sont évidement moins accéssibles. Comme tout le reste. Les serveurs root DNS étant très surveillé, cette surveille a été utilisée pour montrer l'étendu du problème. Je ne pense pas que les serveurs DNS root soit plus impacté que tout autre serveur.
                            • [^] # Re: Euh..

                              Posté par  (site web personnel) . Évalué à 10.

                              Oui, je viens de lire le code de la bête, et effectivement dès que le ver arrive, il se réenvoie en continu à des adresses ip aléatoires. Donc :
                              - un paquet de liens tournent à fond
                              - comme les ips sont aléatoires, ces paquets doivent souvent traverser pas mal de routeurs pour aller à l'autre bout du monde donc ça a un effet sur le trafic global (qui est en général plutôt un trafic de proximité).
                            • [^] # Re: Euh..

                              Posté par  (site web personnel) . Évalué à 3.

                              > On voit que UUNET souffre vraiment, vraiment beaucoup.

                              Complètement d'accord !

                              > S'il y a quelques serveurs sur UUNET, il sont évidement moins accéssibles

                              Remonte à hier ou avant-hier pour comparer... UUNET est dans le rouge depuis un moment... :c/ Ok, les temps de réponses on augmenté sensiblement... mais bon, ce n'était pas joli joli avant déjà !
                              • [^] # Re: Euh..

                                Posté par  . Évalué à 1.

                                J'ai quelques serveurs chez eux la connection est pourrie depuis Vendredi matin
            • [^] # Re: Euh..

              Posté par  (site web personnel) . Évalué à 10.

              et hier soir, apparition de connections en TCP/4662 , alors que edonkey n'est pas un truc qui m'interesse ... et que je n'avais pas trop vu ce genre de port avant. Donc wait&see mais il est possible que 4662 soit effectivement aussi de la partie !!

              Le port 4662 est bien utilisé par EDonkey pur faire du P2P mais n'a rien à voir dans cette affaire.

              Ton problème est une question récurrente des connectés en ADSL : ton IP dynamique était auparavant utilisé par quelqu'un qui faisait du P2P avec Edonkey. Les requêtes que tu vois arriver sur ton port 4662 correspondent aux clients avec lesquels il était en connexion et qui cherchent encore à la joindre. Le problème est que ce genre de requêtes génèrent du trafic à n'en plus finir :-(

              Sur tous les accès ADSL que j'ai vu ces derniers temps, les requêtes sur port 4662 sont présentes à tous les coups que tu fasses du Edonkey ou pas.
              • [^] # Re: Euh..

                Posté par  . Évalué à 5.

                > Le port 4662 est bien utilisé par EDonkey
                Je connais pas EDonkey. Par contre les clients/serveur gnutella permettent de changer le port d'écoute. Beaucoup d'utilisateur le change. Je pense qu'il faudrait mettre un gros warning lorsque le port est changé. En effet, le jour où il y a les mêmes problèmes avec gnutella et 200 ports différents utilisé, çà va être un gros bordel.
              • [^] # Re: Euh..

                Posté par  . Évalué à 0.

                Oui et puis il ya aussi le jeux en reseau comme Halflife sur le port 27015 par exemple.
          • [^] # Re: Confirmation

            Posté par  (site web personnel) . Évalué à 6.

            Je confirme, mes logs sont clairs, depuis ce matin 6h30, j'ai des refus sur le port 1434 en UDP, alors que rien dans tous mes logs d'avant.
            Si vous loguez les DROP de iptables :
            # cat /var/log/syslog | grep DPT=1434 | wc
            vous donnera l'ampleur des dégats
            moi j'en suis à 296 :-)
            • [^] # Re: Confirmation

              Posté par  (site web personnel) . Évalué à 10.

              BIP !!!
              Useless use of cat !!
              Useless use of grep !!

              En une commande :
              grep -c DPT=1434 /var/log/syslog


              Oui, bon, ca va -1. Ah, ben non, il y a pas.
              • [^] # Re: Confirmation

                Posté par  . Évalué à 10.

                La commande idéale, c'est celle que tu tapes en trois secondes sans réflechier, pas nécessairement celle qui fait le moins de caractères...
                • [^] # Re: Confirmation

                  Posté par  . Évalué à 5.

                  prendre l'habitude ne pas forker 3 process pour faire un grep, c'est pas mauvais non plus ....
                  • [^] # Re: Confirmation

                    Posté par  . Évalué à 10.

                    Si c'est dans un script qui doit tourner régulièrement, on peut dire que c'est optimal.

                    Optimiser des simples lignes de commandes qu'on tape comme ça, ça ne me semble pas capital. Sur une machine qui n'a pas un load important, ça n'a finalement aucune importance.

                    Ok, c'est mieux sur le plan théorique. Pas de quoi pousser des grands "BIP" :-P
                    • [^] # Re: Confirmation

                      Posté par  . Évalué à 7.

                      Je suis completement d'accord avec toi.
                      reste que l'habitude de "cat | grep" c'est pas forcement une "bonne" habitude puisque grep suffit a faire le boulot.
        • [^] # Re: Euh..

          Posté par  . Évalué à 0.

          4662 ??? Argh, mais c'est mon bodet qu'on assassine !
        • [^] # Re: Euh..

          Posté par  . Évalué à 10.

          selon les informations relayées par zataz.com,


          Lol, th3 ult1m4t3 s3cUr1tY r3f3r3nc3! ^^
        • [^] # Re: Euh..

          Posté par  . Évalué à 3.

          Ahem...
          Disons en fait que la meilleure précaution est de n'autoriser que les ports utiles/utilisés pour le trafic de la machine.

          Mais il est toujours bon de connaitre en détail les ports dont il faut se méfier ;o)
  • # Re: Un ver déstabilise Internet

    Posté par  (site web personnel) . Évalué à -2.

    Vous trouverez un peu plus d'informations sur le site de zataz:

    http://www.zataz.com(...)
    • [^] # Re: Un ver déstabilise Internet

      Posté par  (site web personnel) . Évalué à 10.

      je cite zataz: "Ce virus avait touché à l'époque, dés son apparition, plus de 2 000 serveurs. Cette faille sql est utilisée par les forums warez pour faire des espaces de stockage. Les serveurs sous Os Linux, Microsoft, ... sont touchés."


      mince il existe une version mssql server 2000 pour linux, ou je n'ai pas compris le sens de la phrase ?
      • [^] # Re: Un ver déstabilise Internet

        Posté par  (site web personnel) . Évalué à 10.

        @Antony : Exactement ce que je m'appretais a poster.

        En quoi un serveur Linux avec Mysql serait vulnérable a une faille de sécurité sous SQL server?

        J'ai quand même filtré les dits ports, et effectivement je vois des hits mais en quoi ce bug affecterait un systeme GNU/Linux, mystere et boules de gommes.

        Je vais lire plus avant le forum secu, mais kje pense que zataz s'est vautré sur celle la.
        • [^] # Re: Un ver déstabilise Internet

          Posté par  . Évalué à 1.

          Je viens de contacet Zataz. Des que jâi 1 réponse je vous passe les nouvelles.

          Merci
          • [^] # Re: Un ver déstabilise Internet

            Posté par  (site web personnel) . Évalué à 10.

            Ca m'étonnerait que tu es une réponse de Zataz : Damien Bancal (Zataz) ne pane rien à la technique et se contente d'écrire des conneries plus grosses que lui comme celle à laquelle tu fais réference.
            • [^] # Re: Un ver déstabilise Internet

              Posté par  . Évalué à 4.

              effectivement ils n'ont pas répondu mais dans leur résumé de cete journée on peut quand meme voir qu ils ont corrigé le tir !!
    • [^] # Re: Un ver déstabilise Internet

      Posté par  . Évalué à 10.

      "Vous trouverez un peu plus d'informations sur le site de zataz"

      et si vous voulez des informations qui soient vraies, fuyez Zataz
    • [^] # Re: Un ver déstabilise Internet

      Posté par  . Évalué à 7.

      Ca a quand même du bon cette attaque, Zataz a du mettre une description plus légère et pas leurs pages daubique avec des pubs qui sont au milieu du texte sous Mozilla.
  • # Re: Un ver déstabilise Internet

    Posté par  . Évalué à 8.

    Une description du vers en question :
    http://www.digitaloffense.net/worms/mssql_udp_worm/(...)
  • # Re: Un ver déstabilise Internet

    Posté par  . Évalué à 1.

    Euh, comment les Root nameserver peuvent-il être touchés ?

    Ils tournent sous Windows & MySQL et ne sont pas mis à jour ? La faille était corrigée depuis Juillet il me semble ?! Quelqu'un peut-il m'expliquer ?
    • [^] # Re: Un ver déstabilise Internet

      Posté par  . Évalué à 1.

      Je pense que Zataz cite Linux car ça impacte la bande passante, donc tous les OS derrières.

      LaurenT
      • [^] # Re: Un ver déstabilise Internet

        Posté par  . Évalué à 10.

        Mais non, zataz cite Linux parceque comme cité plus haut ils ont l'habitude de raconter des conneries plus grosses que Maïté (c'est dire si elles sont grosses). C'est vendeur de citer Linux, allez, ça fera un super article vendu par allopass et ça permettra d'afficher pleins de baniere de pub. C'est pas la première fois que Zataz raconte n'importe quoi, on pourrait même en faire un site web bien remplis. Zataz est maintenu par des journalistes, pas par des gens connaissant ce que le site raconte.

        Autre exemple :
        "Cette faille sql est utilisée par les forums warez pour faire des espaces de stockage"

        ...
        • [^] # Re: Un ver déstabilise Internet

          Posté par  (site web personnel) . Évalué à 1.

          "par des journalistes", "des gens connaissant ce que le site raconte"
          pour moi un journaliste sait de quoi il parle...
          • [^] # Re: Un ver déstabilise Internet

            Posté par  . Évalué à 1.

            Et un vendeur sait ce qu'il vend...
            Non ! Principalement un vendeur sait vendre et un journaliste sait "journaliser" (ecrire, faire des articles, chercher l'information etc...) et avec l'expérience il acquière des connaissance dans le domaine qu'il vend ou dont il parle.
    • [^] # Re: Un ver déstabilise Internet

      Posté par  . Évalué à 4.

      > comment les Root nameserver peuvent-il être touchés ?
      Ce ver fout globalement le bordel. Il a l'effet de bon de diminuer la disponibilité des serveurs root dns. C'est un indicateur c'est tout.
      • [^] # Re: Un ver déstabilise Internet

        Posté par  . Évalué à 2.

        Ils sont juste touchés indirectement donc.
        • [^] # Re: Un ver déstabilise Internet

          Posté par  . Évalué à 7.

          Le ver se propage grâce aux serveurs Mssql; chaque serveur infecté cherche à en infecter d'autres et en profite pour inonder le réseau de requêtes qui provoquent la saturation de la bande passante "filaire", mais aussi la saturation des capacités de réponse des machines recevant les requêtes: d'où le déni de service, dont sont victimes les root servers.
          • [^] # Re: Un ver déstabilise Internet

            Posté par  . Évalué à 10.

            J'ai capturé un ou deux paquets qui tombaient sur mon accès dialup.

            J'ai comparé avec les infos données pas http://www.boredom.org/~cstone/worm-annotated.txt,(...) je n'ai trouvé aucune différence dans le shellcode.

            Il s'agit juste d'un worm qui se propage : pas d'autre payload, pas de backdoor, etc.. Surtout, rien de directement lié aux root servers ou quoi que ce soit qui puisse ressembler à un DDos ciblé. Bien sûr, je ne peut pas dire que je dispose d'un échantillon représentatif.

            Mais alors pourquoi les root-servers ont-ils des soucis ? Statistiquement, ils n'ont pas plus de chance de recevoir la visite du worm que d'autres hosts, et c'est dire s'ils sont plus solide que bcp de serveur web qui tiennent encore debout. S'agit-il d'un excès de reverse DNS (dont peu de requêtes seraient en cache dans les secondaires, vu le caractère aléatoire de la propagation), causé par chaque connection à un MSSQL ? Ou s'agit-il d'une autre attaque parallèle, ce worm n'étant qu'un écran de fumée ?
            • [^] # Re: Un ver déstabilise Internet

              Posté par  . Évalué à 5.

              a moins que DNS ne soit surtout victime de son mode de transport: UDP
              sur bugtrack certains disent qu'ils ont 95% de perte e paquets.
              Si pour joindre les DNS aux usa en UDP on passe par des reseaux aussi atteints, faut pas s'étonner que ca ne marche pas.
              • [^] # Re: Un ver déstabilise Internet

                Posté par  . Évalué à 4.

                > surtout victime de son mode de transport: UDP
                avec TCP/IP çà ne changerai rien. Sauf que c'est TCP qui gère les pertes alors d'avec UDP c'est l'appli qui gère les pertes.
              • [^] # Re: Un ver déstabilise Internet

                Posté par  . Évalué à 4.

                TCP me parait bien laid pour faire un requete style dns
                meme si il ny a pas de perte, en tcp letablissement dune conexion prend plus de temps
                • [^] # Le DNS c'est UDP et TCP

                  Posté par  (site web personnel) . Évalué à 1.

                  Le protocole DNS utilise UDP quand tout baigne, la plupart du temps, et TCP quand ces foutues requêtes UDP ne passent pas (par exemple quand les paquets font plus de 512 octets).

                  http://www.wbglinks.net/pages/reads/chainstables/firewallrules.html(...)
                  TCP Connections to DNS (nameservers)

                  If you're trying to block outgoing TCP connections, remember that DNS doesn't always use UDP; if the reply from the server exceeds 512 bytes, the client uses a TCP connection (still going to port number 53) to get the data.

                  This can be a trap because DNS will `mostly work' if you disallow such TCP transfers; you may experience strange long delays and other occasional DNS problems if you do.
    • [^] # Re: Un ver déstabilise Internet

      Posté par  (site web personnel) . Évalué à 2.

      "Ils tournent sous Windows & MySQL et ne sont pas mis à jour ?"

      Que vient faire MySQL dans l'histoire ? C'est un plantage de ta part ou c'est conscient ?
  • # DNS et fw

    Posté par  . Évalué à 10.

    J'avais lu que des effets de bords de ces problèmes, c'est les DNS root parce qu'ils sont presque tous installés chez les ricains. Leur répartition est mal conçue. Si une coupure ou un disfonctionnement se produit, il nous reste 3 serveurs root en europe accessible.
    J'espère que quelque chose sera fait de ce côté là à l'avenir.

    Règles pour openbsd pour ne pas loguer l'attaque :

    block in quick proto tcp from any to any port 1433
    block in quick proto udp from any to any port 1434
    à mettre avant un
    block in log all
    • [^] # Re: DNS et fw

      Posté par  . Évalué à 8.

      A noter quand meme que dans mes logs, les tentatives sur ces ports sont rejetées avec le message "SPOOFED".
      apparement ils arrivent tous avec des adresses forgées issues de la RFC1918.
      Si vous avez des firewalls sans regles anti-spoof, on ne peut plus rien pour vous ;-))

      alors avec IPTABLES=/sbin/iptables:
      et INPUTRED ma regle pour les paquets arrivant de l'interface coté Internet:

      $IPTABLES -A INPUTRED -s 192.168.0.0/16 -j SPOOFED
      $IPTABLES -A INPUTRED -s 10.0.0.0/8 -j SPOOFED
      $IPTABLES -A INPUTRED -s 172.16.0.0/12 -j SPOOFED
      $IPTABLES -A INPUTRED -s 224.0.0.0/4 -j SPOOFED

      $IPTABLES -N SPOOFED
      $IPTABLES -A SPOOFED -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level warning --log-prefix "$PREFIX SPOOFED packet:"
      $IPTABLES -A SPOOFED -j DROP


      nb: comme je n'utilise pas multicast, je le considere comme du spoofing aussi ...
    • [^] # Re: DNS et fw

      Posté par  . Évalué à 2.

      petit correctif, contrairement à ce qu'il y a de marqué dans un autre commentaire, 1433 est sur UDP et non TCP.
      Pour être tranquille:
      block in quick proto udp from any to any port 1433
      block in quick proto tcp from any to any port 1433
      block in quick proto udp from any to any port 1434
      block in quick proto tcp from any to any port 1434
      ....
      block in log all
      • [^] # Re: DNS et fw

        Posté par  . Évalué à 5.

        Pour résumer tout cela en une ligne on peut aussi faire:

        block in quick proto { tcp, udp } from any to any port { 1433, 1434 }

        pfctl rulez ;)
  • # Commentaire supprimé

    Posté par  . Évalué à 10.

    Ce commentaire a été supprimé par l’équipe de modération.

    • [^] # Re: Un ver déstabilise les administrateurs négligeants ...

      Posté par  . Évalué à 8.

      Cest vrai que MS nest pas responsable de ce genre d'erreur : faire un code sans faile me parait plutot rude, et de plus un patch etait deja sorti il y a un moment...
      Néanmoins je me demande l'utilité d'outils come apt-get, emerge, urpmi et dans ce cas win update si les admin ne les utilisent meme pas malgré leur simplicité...
      • [^] # Re: Un ver déstabilise les administrateurs négligeants ...

        Posté par  . Évalué à 9.

        J'ai une de mes machines au labo qui a refusé le SP3 pour Windows 2000. Juste une fenetre, avec "L'installation n'a pas pu être effectuée". A ce moment là je fais quoi ? Rien : aucune info pour savoir pourquoi, et pas de temps à perdre (note : je ne suis pas l'administrateur ou informaticien, ce n'est pas mon job, on nous recommande juste d'appliquer les SP de temps en temps, mais les informaticiens de la fac ne le font pas non plus).

        C'est comme ça qu'on reste avec des machines non patchées : parfois ça foire et on ne sait pas pourquoi.
        • [^] # Re: Un ver déstabilise les administrateurs négligeants ...

          Posté par  (site web personnel) . Évalué à 10.

          Mais d'une façon générale, même si le service pack ne s'applique pas, combien de ces marchines ont vraiment besoin d'avoir ce fameux port ouvert du côté internet ? Probablement très peu.

          En tout cas je ne vais pas plaindre ceux qui sont infectés, on ne laisse pas un port ouvert comme ça. Et si on n'est pas assez compétent pour savoir ça, on change de boulot. Ca finit par être lassant de voir des semi-admins se prendre pour des demi-dieux et ensuite emmerder la moitié de l'Internet.

          Voilà, c'était mon coup de gueule annuel.
        • [^] # Re: Un ver déstabilise les administrateurs négligeants ...

          Posté par  . Évalué à 0.

          Ben ...
          tu debranches la dite machine...
          C'est pas si complique...
      • [^] # Commentaire supprimé

        Posté par  . Évalué à 2.

        Ce commentaire a été supprimé par l’équipe de modération.

      • [^] # Commentaire supprimé

        Posté par  . Évalué à 5.

        Ce commentaire a été supprimé par l’équipe de modération.

        • [^] # Re: Un ver déstabilise les administrateurs négligeants ...

          Posté par  . Évalué à 7.

          Et administrateur n'est pas à la portée de tout le monde.
          Ce n'est pas parce Microsoft ou Mandrake nous facilite la tache que c'est pour autant facile. Gérer son poste à la maison, ça va. Dés que tu retrouves avec plus d'une dizaine de postes, si tu n'es pas compétent: tu es à la rue...
          Ce n'est pas parce que ton chef n'y connait rien en informatique qu'il est stupide.
          Il saura bien vite que tu nages complètement dans la semoule
          • [^] # Commentaire supprimé

            Posté par  . Évalué à 1.

            Ce commentaire a été supprimé par l’équipe de modération.

            • [^] # Commentaire supprimé

              Posté par  . Évalué à 8.

              Ce commentaire a été supprimé par l’équipe de modération.

          • [^] # Re: Un ver déstabilise les administrateurs négligeants ...

            Posté par  . Évalué à 7.

            on est daccord, admin est un vrai metier
            neanmoin, meme un patron de PME qui capte rien mais qui doit faire l'administration de son reseau ne devrait pas avoir de mal a faire au moin un win update.
            Bien sur, il n'a pas que ça a foutre, mais meme sans une vrai politique de secu qui lui serait peut etre plus pesante qu'utile (en terme de coup), il y a tout de meme un minimum a faire
            • [^] # Commentaire supprimé

              Posté par  . Évalué à 5.

              Ce commentaire a été supprimé par l’équipe de modération.

              • [^] # Re: Un ver déstabilise les administrateurs négligeants ...

                Posté par  . Évalué à 6.

                et si
                jai vu ca quand je bossais pour une boite qui faisait un progiciel pour des pharmacies, leur systeme offrait un acces internet pour envoyer leurs infos a la secu ou a leur grossiste, et la db utilisé pour stocké les infos clients, produits, etc... etait SQL Server... bien sur il y avait une maintenance et un suppor fourni, mais rien quant aux mise a jour des systemes automatiquement par la boite
                • [^] # Commentaire supprimé

                  Posté par  . Évalué à 1.

                  Ce commentaire a été supprimé par l’équipe de modération.

            • [^] # Re: Un ver déstabilise les administrateurs négligeants ...

              Posté par  (site web personnel) . Évalué à 3.

              un patron de PME qui capte rien mais qui doit faire l'administration de son reseau
              c'est quelqu'un qui se paye un outil sans se donner les moyens d'en assurer la maintenance => c'est un mauvais gestionnaire. S'il a un serveur qui demande une certaine sécurité, il doit se payer un contrat de maintenance ou un admin. S'il ne le fait pas, je n'irais pas le plaindre.
              • [^] # Re: Un ver déstabilise les administrateurs négligeants ...

                Posté par  . Évalué à 4.

                cest cela que je voulais expliquer
                ladmin nest pas toujours possible pour une PME, qui nont pas toujours les moyens de payer 1 salaire + les charges afferantes dun admin.
                Le contrat de maintenance ils l'ont, lais cest la boite qui devrait la fournir qui fait mal son taf. Le patron qui capte rien a linfo a peu de moyen de le savoir avant les premiers gros probs (comme par exemple avec larrivée d'un ver)
    • [^] # Re: Un ver déstabilise les administrateurs négligeants ...

      Posté par  . Évalué à 7.

      çà prouve qu'il faut énormément communiquer sur les problèmes de sécurité contrairement aux directives DMCA. Linux a souvent été critiqué à tort car il y a beaucoup de rapport de faille de sécurité. Messieurs les admins, au boulot.
      • [^] # Commentaire supprimé

        Posté par  . Évalué à 6.

        Ce commentaire a été supprimé par l’équipe de modération.

        • [^] # Re: Un ver déstabilise les administrateurs négligeants ...

          Posté par  . Évalué à 1.

          C'est ce que je voulais dire. J'ai dis "Linux a souvent été critiqué à tort...". Les rapports de bug et une large communication font parti de ce processus indispensable pour la sécurité.

          > La sécurité d'un système ne se compte heureusement pas qu'au nombre de failles
          Exact. D'ailleur les programmes les plus utilisés sont les plus "étudiés" par les cracker et les plus audités par les hackers. S'il y a beaucoup de rapport de bug, ce n'est pas forcément un signe de mauvaise qualité. C'est peut-être parce qu'il y a un gros travail de recherche de bug et donc de sécurisation.
    • [^] # Re: Un ver déstabilise les administrateurs négligeants ...

      Posté par  (site web personnel) . Évalué à 8.

      On n'apprend pas à vérifier la sortie de MAJ critiques avec les certifs MS à 1700€ (+ ou -, j'ai oublié le chiffre exact) le passage ? Arf non, je sais : il n'y a pas un gros bouton qui s'affiche au centre de la zolie fenêtre d'administration de MS SQL Server permettant de le mettre à jour tout automatiquement ainsi que de lancer une mise à jour des serveurs MS distants avec un index de l'ensemble des bases de données hébergées sur le serveur !

      Bon, je sors... retourner à mon emerge rsync && emerge -u world
    • [^] # Re: Un ver déstabilise les administrateurs négligeants ...

      Posté par  . Évalué à 10.

      Deja avoir un serveur DB en frontal faut *vraiment* que ce soit necessaire...

      -1
    • [^] # Commentaire supprimé

      Posté par  . Évalué à 1.

      Ce commentaire a été supprimé par l’équipe de modération.

    • [^] # Re: Un ver déstabilise les administrateurs négligeants ...

      Posté par  (site web personnel) . Évalué à 10.

      7 mois
      Oui mais c'est du windows.
      Je m'explique, contrairement a un linux qui une fois installé restera très longtemps sur une machine, voir même toute la durée de vie de la machine, un windows ca se reinstalle très souvent.
      Quand j'etais sous windows (oui je suis pas né linuxien), je me rappel qu'il failait réinstaller windows trés souvent disons tout les ans voir tout les 6 mois si on avait installé trop de truc. Généralement sans doute a cause de la base de registre, windows devenait de plus en plus lent et instable.
      Quand je regarde la ou je bosse c'est a peu près pareil, et même sur les serveurs, les admins windows réinstalle souvent, plus souvent d'ailleur pour changer vers une machine plus puissante car les services supporte mal la monter en charge et deviennent très instables.

      Et avec quoi on réinstalle ? ben avec les CD d'il y a quelques années, par ce que sinom faut racheter une licence (c'est dautant plus vrai pour les particuliers), pour avoir la version windows sp2 ou 3, ou osrx (je connais pas les versions), donc on installe un joli os tout troué. Et les patchs ben forcement y a des coups ou on les mets pas, vue qu'on passe sont temps a reinstaller, y a plus d'occasions d'être négligent.

      Si vous prenez le particulier qui se connecte avec un modem 56k, pour lire ses mails, et qui installe 2 trois truc pour ses gamin, qui réinstalle souvent son systeme (par ce que ses gamins ont tout pété, les sales mômes) avec les cd d'origine, qui va pas forcement retelecharger les derniers corectif sur windows update par ca prend du temp, ben vous avez la cible préféré de ninda.

      Pour les sevices comme MSSQL, ou ISS (j'ai encore plein de code red dans les logs), c'est encore plus grave par ce que théoriquement il y a des gens payés pour s'en occuper, et je vais m'arretter la par ce que sinom je vais pas pouvoir m'empecher de dénigrer les administrateurs windows.
      • [^] # Re: Un ver déstabilise les administrateurs négligeants ...

        Posté par  . Évalué à 4.

        alors qu'un bête ghost une fois installé avec tous les patchs à ressortir c'est vrai que c'est dur ...

        ok je --> []
      • [^] # Re: Un ver déstabilise les administrateurs négligeants ...

        Posté par  . Évalué à 6.

        [quote]Et avec quoi on réinstalle ? ben avec les CD d'il y a quelques années, par ce que sinom faut racheter une licence (c'est dautant plus vrai pour les particuliers), pour avoir la version windows sp2 ou 3, ou osrx (je connais pas les versions), donc on installe un joli os tout troué. Et les patchs ben forcement y a des coups ou on les mets pas, vue qu'on passe sont temps a reinstaller, y a plus d'occasions d'être négligent.[/quote]

        Là, je ne suis pas d'accord car la première chose à faire après une install est de vérifier la disponibilité de correctifs. Enfin c'est ce que je fais et je trouve que le faire juste après l'install est beaucoup plus facile qu'une fois que la machine est partie en prod car bien souvent avec un windows-update, il faut rebooter et rebooter quand les users utilisent le serveur, ça gueule...
    • [^] # Re: Un ver déstabilise les administrateurs négligeants ...

      Posté par  . Évalué à 1.

      Il est vrai qu'il deviens énervant de voir certains admins imbus de leur personne dire sans cesse "moi je connais ci, moi je connais ça, moi je, moi je..." et voir les "oublis" dont ils font preuve.
      Ce sont ces même personne qui vous bloquent dans votre évolution "Non, tu ne peux pas faire ce genre d'aministration, tu n'as pas mon experience..." . Effectivement je comprend mieux le genre d'experience dont ils parlent.
      Comment, en plus, ce genre de ver peux pénétrer un réseaux soit disant sécurisé, derrière firewall, proxy, addresse natés, (et même pas en DMZ, sur le réseaux sécurisé de toute la société), dont tout est administré par .... des experts! et oui ces messieurs sont experts en sécurité, cela n'est plus a démontrer.

      Désolé du ton de ce post, je suis juste désabusé aux vues de ce genre de co*** relativement facilement évitables (6 mois pour patcher la machine, même en prod, cela laisse le temps de réfléchir a la meilleurs façon de le faire, et réaliser les manip sur des serveur de test.) et surtout de la facon dont sont traité les autres personnes qui ne passent pas leur temps à se vanter d'être les meilleurs.
  • # Re: Un ver déstabilise Internet

    Posté par  (site web personnel) . Évalué à 10.

    > contentez vous de bloquer les ports MSSQL

    a moins de deja utiliser ce port, je vois pas pourquoi le bloquer... normalement toute personne sensee avec un firewall bloque deja tout les ports SAUF ce dont elle a besoin :)
    • [^] # Re: Un ver déstabilise Internet

      Posté par  . Évalué à 3.

      peut etre que ce message s'adressait aux administrateurs de passerelles ?
      peut-etre que ceussent qui on un MSSQL dans leur DMZ feraient bien de bloquer le port en attendant de faire mieux ?
      • [^] # Re: Un ver déstabilise Internet

        Posté par  (site web personnel) . Évalué à 1.

        j'ai pas dit le contraire :)
        en fait jaurais plutot vu un truc du genre "si vous ne le bloquiez pas deja, vous savez ce qui vous reste a faire :)" c'est tout...et ca fait pas de mal de rappeller que un firewall est plus efficace quand il bloque tout sauf le strict minimum :)
      • [^] # Re: Un ver déstabilise Internet

        Posté par  . Évalué à -1.

        Oui mais que fait un serveur de base de données dans une DMZ ????
    • [^] # Re: Un ver déstabilise Internet

      Posté par  . Évalué à 1.

      Je crois que c'est un message destiné aux admins de "gros" routeur qui généralement (et heureusement) laisse tout passé. On n'est pas dans le cadre d'un réseau local.
      • [^] # Re: Un ver déstabilise Internet

        Posté par  . Évalué à 6.

        Ce n'est pas aux « gros routeurs » de bloquer des ports. C'est justement aux réseaux locaux de choisir les ports qu'ils veulent bloquer ou pas.
        • [^] # Re: Un ver déstabilise Internet

          Posté par  . Évalué à 0.

          Quand il y a un risque pour tes serveurs / ton backbone, pourquoi ne pas ajouter une ou 2 acl dans tes routeurs ?
          (cf free vs wanadoo ...)
          • [^] # Re: Un ver déstabilise Internet

            Posté par  (site web personnel) . Évalué à 4.

            J'ai pas envie de me la péter technique, je serais ss doute vite largué... mais il faut quand même savoir une chose :

            Un routeur avec des flux réseaux proportionnels à la taille de l'Internet ne peuvent sans doute pas forcément appliquer du routage de niveau 4. Ca prend énormément de ressources (même une ou 2 acl).

            Et ce genre de pratique est tout à fait ce qui amene mes amis belges à galérer pour se faire des SMTP privés !!
        • [^] # Re: Un ver déstabilise Internet

          Posté par  . Évalué à 1.

          > « gros routeurs » de bloquer des ports.

          Oui. C'est une mesure temporaire pour répondre à une situation de crise.

          > C'est justement aux réseaux locaux de choisir les ports qu'ils veulent bloquer ou pas.

          Lorsque tout les admins de réseau locaux auront fixé çà (enfin...), le filtrage par les "gros routeurs" pourra peut-être être viré.
  • # Commentaire supprimé

    Posté par  . Évalué à -2.

    Ce commentaire a été supprimé par l’équipe de modération.

  • # Re: Un ver déstabilise Internet

    Posté par  (site web personnel) . Évalué à 10.

    Le patch existe depuis juillet ?
    Bah! Quand on voit dans les logs le nombre de hits que fait encore le ver Nimda, on ne s'étonne plus de rien.

    Ce qui m'étonne, c'est qu'il n'y ai pas encore eu un ver de cet envergure qui supprime toutes les données du disque des machines infectées après quelques jours.
    Ça finira par arriver; peut-être qu'alors on parlera enfin un peu de ce qu'est une vrai démarche sécurité. (mais bon le plus probable c'est que ça finisse par pousser plus vite d'autres lois liberticides)
    • [^] # Commentaire supprimé

      Posté par  . Évalué à -1.

      Ce commentaire a été supprimé par l’équipe de modération.

      • [^] # Re: Un ver déstabilise Internet

        Posté par  . Évalué à 4.

        a ma connaissance on est tout de meme peu dependant des root serv, la plupart du temps les dns de ton provider on cache plutot imposant permetant de se passer des root serv... ceux-ci ne sont là qu au cas ou...
        • [^] # Commentaire supprimé

          Posté par  . Évalué à 1.

          Ce commentaire a été supprimé par l’équipe de modération.

          • [^] # Re: Un ver déstabilise Internet

            Posté par  . Évalué à 6.

            > genre un mix de coda - replication - et gnutella - dynamisme
            Oui mais comment faire pour garantir la "qualité" de ces copies si tout le monde peut prétendre être un serveur root. Il y a ici d'énormes possibilités de piratage, même si les serveurs root sont moins dérangé.
            • [^] # Commentaire supprimé

              Posté par  . Évalué à 1.

              Ce commentaire a été supprimé par l’équipe de modération.

              • [^] # Re: Un ver déstabilise Internet

                Posté par  . Évalué à 4.

                Ben...
                DNSSEC ou TSIG, ça existe...
                Il suffit d'ouvrir un livre pour savoir que les chers chercheurs de l'ISC s'y sont déjà penché. Je ne pense que ce soit un simple problème technique...
                Le conflit entre Wanadoo et Free le démontre: avant le problème technique,
                il y a des facteurs humains et économiques qui expliquent pourquoi nous ne sommes pas encore à ipv6...
                • [^] # Commentaire supprimé

                  Posté par  . Évalué à 6.

                  Ce commentaire a été supprimé par l’équipe de modération.

          • [^] # Re: Un ver déstabilise Internet

            Posté par  . Évalué à 2.

            [surcouf@arioch 19:38:55 surcouf]$ dig org NS
            ...
            ;; ANSWER SECTION:
            org. 518400 IN NS L7.NSTLD.COM.
            org. 518400 IN NS M5.NSTLD.COM.
            ...

            Donc, nous avons là un enregistrement avec un TTL de 518400 secondes.
            Ce qui revient à ...
            [surcouf@arioch 19:39:00 surcouf]$ echo "518400/(60*60*24)" | bc
            6
            Soit 6 jours... Je ne crois pas que les DDoS actuels soient capables de tenir un "siège" aussi long... Evidemment, il est probable que l'attaque survienne justement au moment où quelques serveurs importants, style Wanadoo (je me demande comment vous pouvez encore etre chez Wanadoo, m'enfin), pour que le traffic généré s'en ressente.
        • [^] # Re: Un ver déstabilise Internet

          Posté par  . Évalué à 3.

          Les serveurs root sont "dérangés" lorsqu'il y a une demande pour connaitre les serveurs DNS .com, .org, .net etc...

          S'il y a une requête pour www.toto.com et que le serveur n'a pas www.toto.com en cache, il demande à un des serveurs dns du domaine .com. Si par malheureur il n'a pas la liste des DNS .com en cache, il l'a demande aux serveurs root. Si toute le monde utilise un cache et que l'on passe par son FAI on peut tourner au mieux durant 7 jours sans utiliser les serveurs root. Après c'est la cata...
  • # DNS, petit rappel

    Posté par  . Évalué à 9.

    Beaucoup sous linux utilise les capacité cache de bind. Si on utilise une connexion via un FAI il faut utiliser le serveur DNS du fournisseur d'accès qui fait aussi cache. çà limite encore les accès au serveur root dont on parle actuellement.
    Pour named/bind mettre dans /etc/named.conf dans la section options :

    options {
    forward first ;
    forwarders {
    ip.ip.ip.ip ;
    ip.ip.ip.ip ;
    etc...
    } ;
    };
    • [^] # Commentaire supprimé

      Posté par  . Évalué à 1.

      Ce commentaire a été supprimé par l’équipe de modération.

      • [^] # Re: DNS, petit rappel

        Posté par  . Évalué à 5.

        > si les root server sont down trop longtemps les cache sont invalidées si on ne fait rien...
        Je me le demande.
        Si le cache arrive à expiration et qu'il ne peut-être renouvelé, le serveur DNS supprime sont cache où continue-t-il a l'utilisé puisqu'il n'a pas d'autres sources. L'utilisation d'un cache expiré étant un mode dégradé.
        Un spécialiste DNS peut-il donner la réponse.
        • [^] # Re: DNS, petit rappel

          Posté par  . Évalué à 6.

          "Spécialiste DNS" ce n'est vraiment pas mon titre,
          mais je peux te dire pour l'avoir vu que bind ne te servira jamais une info qui est périmée sous pretexte qu'il n'a pas pu joindre un autre serveur.
    • [^] # Re: DNS, petit rappel

      Posté par  (site web personnel) . Évalué à -1.

      ou alors on prend un truc qui fait juste cache dns, c'est plus simple, moins gros, et mieux pour le decideur presse qui a vu que bind etait pas mal cote failles de secu :)
      • [^] # Commentaire supprimé

        Posté par  . Évalué à 1.

        Ce commentaire a été supprimé par l’équipe de modération.

      • [^] # Re: DNS, petit rappel

        Posté par  . Évalué à 2.

        > ou alors on prend un truc qui fait juste cache dns
        bind peut être utilisé comme uniquement cache DNS. Toutes les bonnes distribes le proposent. Mais c'est un plus d'indiquer à bind (ou tout autre programme cache dns) de forwarder les requêtes vers les DNS (qui font forcément cache s'il utilise bind) du fournisseur d'accès.
        • [^] # Re: DNS, petit rappel

          Posté par  (site web personnel) . Évalué à -1.

          je nai jamais dit que bind ne pouvait pas etre utilise simplement comme cache dns. mais amha il existe plein de trucs plus simples (a configurer et a utiliser), qui ne font que ca, avec un historique moins charge de failles de secu et on aurait tord de s'en priver... c'est tout...
          • [^] # Re: DNS, petit rappel

            Posté par  . Évalué à 3.

            "avec un historique moins charge de failles de secu"...
            Tu voulais dire "avec un casier judiciaire encore vierge" ?
            Cracher sur un programme qui, tout compte fait, remplit son role trés bien depuis des années, c'est assez énervant, tout de meme.
            C'est assez typique d'une personne qui crache systématiquement sur Microsoft parce que "CAI MAL'" sans chercher à etre objectif. Or ce n'est pas ainsi qu'on fera avancer notre cause, àmha.
            Il en reste que Bind est un programme qui a de la bouteille, qui devient robuste et relativement fiable avec un certains nombres de fonctionnalités bien qu'il ne soit pas idéal pour un simple cache, j'en conviens. Il faut rester objectif.
            • [^] # Re: DNS, petit rappel

              Posté par  (site web personnel) . Évalué à -3.

              tu noteras que dans ma premiere remarque yavait de l'humour... jai pas voulu faire le gros lourd en remettant la meme phrase c tout...

              pour le reste, comme tu le dis si bien, pour un simple cache autant prende un truc fait pour. (voila c bon vous pouvez recommencer a me scorer negativement si ca vous amuse)
              • [^] # Re: DNS, petit rappel

                Posté par  . Évalué à -5.

                De l'humour ? Ah bon ? Où ça ?
                Désolé, je n'en ai point vu.
                Rien dans tes phrases ne permet de distinguer de l'humour.
                Il existe des des façons plus explicite d'en faire, si tu veux mon avis.
                Ca éviterait les quiproquos à l'avenir.
    • [^] # Re: DNS, petit rappel

      Posté par  (site web personnel) . Évalué à -1.

      Oui, Mais...

      Je vais ptet dire une grosse connerie, mais je croit que bind garder les donnes du cache en memoire et lorsque l'on reboot on perd les donnees du cache.

      Y'a t'il une option pour bind qui permet de garder ces informations sur le disque dur?
      • [^] # Re: DNS, petit rappel

        Posté par  . Évalué à 1.

        > lorsque l'on reboot on perd les donnees du cache.
        Les données sont perdues.
        Mais je ne pense pas que les serveurs DNS des FAI soient rebootés tous les jours...

        Sinon il y a çà :
        http://dproxy.sourceforge.net/(...)

        Mais le projet semble peut actif (rien depuis mars 2000).
        • [^] # Re: DNS, petit rappel

          Posté par  . Évalué à 0.

          > Mais le projet semble peut actif (rien depuis mars 2000).

          Il est mort-né quoi...
          • [^] # Re: DNS, petit rappel

            Posté par  . Évalué à 6.

            y a aussi pdnsd, c'est un dns cache only au départ et qui sauve le cache sur disque lorsqu'on l'arrete. il peut aussi servir de petites zones, par exemple et servant tout le contenu de /etc/hosts automatiquement. c'est super pratique a la maison tellement c'est SIMPLE a configurer ...
      • [^] # Re: DNS, petit rappel

        Posté par  . Évalué à 1.

        Non, Bind ne conserve pas les données du cache lorsqu'on le redémarre.
        Par contre, d'autres serveurs plus spécialisés dans le cache le font...
  • # Message de SOPHOS

    Posté par  . Évalué à -1.

    ---------- Forwarded Message ----------

    Subject: Sophos warns of SQLSlammer internet worm
    Date: Sat, 25 Jan 2003 13:24:32 +0000
    From: Sophos Alert System <emergency-return@lists.sophos.com>
    To: emergency@lists.sophos.com

    SOPHOS WARNS OF SQLSLAMMER INTERNET WORM


    Sophos is advising companies to ensure their systems are up-to-date with
    the latest security patches in response to a new internet worm
    called W32/SQLSlam-A or SQLSlammer.

    The worm relies upon a security vulnerability in some versions of Microsoft
    SQL server, and creates traffic on UDP port 1434.

    Sophos advises companies to ensure their systems are up-to-date with the
    latest security patches, including the patch from Microsoft to protect
    against the vulnerability exploited by the worm:
    http://www.microsoft.com/technet/security/bulletin/MS02-039.asp(...)

    Sophos has posted more information about the worm at
    http://www.sophos.com/link/slammer(...)

    Sincerely

    Sophos technical support



    ---------------------------------------------------------------------
  • # Re: Un ver déstabilise Internet

    Posté par  . Évalué à 5.

    tiens, c'est marrant, dans le nouveau 01 informatique, il y a un article "Windows Update, peut mieux faire" comme quoi les entreprises attendent plus de remontée d'information sur les updates... Quand on voit les dégâts que peuvent causer l'oubli d'une mise à jour...
  • # Dérive sécuritaire !

    Posté par  (site web personnel) . Évalué à 5.

    Et lundi on lira dans la presse :

    Le réseau Internet a été victime d'une attaque de pirates. Pour éviter que cela se reproduise, il y a une solution développée par Intel et Microsoft : TCPA/Palladium. Ce système permet d'autoriser les programmes à faire tourner sur un ordinateur. Il suffirait d'une loi interdisant les ordinateurs non TCPA/Palladium pour éviter que cela se reproduise.
    • [^] # Re: Dérive sécuritaire !

      Posté par  . Évalué à -1.

      Le plus fort c'est que Palladium est développé par Microsoft et d'où vient l'exploit qui as conduit a un DDoS massif, d'un logiciel microsoft. Alors la sécurité avec microsoft, laissez moi rire...
      • [^] # Re: Dérive sécuritaire !

        Posté par  . Évalué à 6.

        Le patch est sorti il y a longtemps. La c'est pas Ms qui n'a pas fait son boulot.
        • [^] # Re: Dérive sécuritaire !

          Posté par  . Évalué à 10.

          En partie, si. Depuis longtemps, Microsoft nous bassine avec la force de Widows est son «Zéro administration». Rappelons-nous de l'épisode «We have the way out», dont c'est une des idées.
          Je n'ai jamais lu nulle part que les mainteneurs de Debian disaient que la Debian ne nécessitait pas d'administration.
          Tout système a besoin d'être administré, mais j'ai souvent le sentiment que Microsoft n'aime pas à le rappeler (oui, il faut avoir des connaissances en info pour comprendre les tenants et les aboutissants, ce n'est pas à la portée de n'importe qui, mais justement, le fonds de commerce de Microsoft c'est de faier croire cela ...).
    • [^] # Re: Dérive sécuritaire !

      Posté par  . Évalué à -2.

      arg !
      arrete !
      je vais éplucher le journal :/
      si j'en vois une je la scanne !
  • # Re: Un ver déstabilise Internet

    Posté par  (site web personnel) . Évalué à 9.

    Vu qu'il y eu les regles iptables, voici celle pour routeur cisco.

    Pour bloquer le port
    -----------------------------------------------

    access-list <number> deny udp any any eq 1434
    access-list <number> permit ip any any
    access-list <number> permit icmp any any
    access-list <number> permit <protocol> any any

    interface <name>
    ip access-group <number> in
    ip access-group <number> out
    !

    On peut utiliser plus d'une liste d'access pour faire la difference entre traffic entrant et sortant (sh access-list)

    Comment trouver les machines infectees
    -----------------------------------------------

    Sur les routeurs passerelles:

    interface <name>
    ip accounting mac-address input
    ip accounting mac-address output
    !

    clear counters
    sh interfaces <name> mac-accounting

    trouver les MAC avec un grand nombre de packet associes.

    sh arp | inc <MAC>

    Pour trouver l'IP.

    Pour le prochain vers :-)
    • [^] # Re: Un ver déstabilise Internet

      Posté par  (site web personnel) . Évalué à 3.

      Ce qui est nettement mieux c'est de n'autoriser que ce qui est necessaire

      ----------------------------------------
      ! anti spoofing
      deny ip xxx.yyy.zzz.0 0.0.0.255 xxx.yyy.zzz.0 0.0.0.255 log
      deny ip 127.0.0.0 0.255.255.255 any log
      ! les connections etablies sont conserve
      permit tcp any any established
      ! ping devrait meme etre interdit
      permit icmp any any
      ! acces au dns
      permit udp host ip-serveur-dns eq domain any gt 950
      permit udp host ip-serveur-dns eq domain any eq netbios-ns
      ! acces serveurs
      permit tcp any host ip-serveur-web eq www
      deny ip any any
      ---------------------------------------

      mieux encore il faut logguer ce qui est rejete
      donc remplacer la derniere ligne par

      deny udp any any eq 1434
      deny ip any any log

      le "deny udp any any eq 1434" est provisoire et permet de se proteger d'un ddos en evitant de logguer en cas de forte attaque comme actuellement ;-)
    • [^] # Annonce officielle de Cisco

      Posté par  . Évalué à 2.

  • # Re: Un ver déstabilise Internet

    Posté par  . Évalué à -2.

    Ah bah merci linuxfr, ça explique pourquoi j'ai des problèmes pour me connecter au net, ainsi qu'à mes boites aux lettres.
  • # Re: Proposition de sanction

    Posté par  (site web personnel) . Évalué à -2.

    On devrait mettre un carton jaune (comme au rugby) à tous ceux qui ont participé à l'attaque par négligence et les exclure des DNS pendant 8 jours.
    En cas de récidive : carton rouge (comme au foot).
    • [^] # Re: Proposition de sanction

      Posté par  . Évalué à 10.

      Non non non non non.
      Je sais que c'est la tendance actuelle mais la répression n'est pas la solution à tous les problèmes. Déjà que Nicole Sarkozy est presque partout, j'ai pas envis de le retrouver en gendarme/moralisateur de la toile pour vérifier si DMCA / Palladium est appliqué et/ou si les couleurs de ma page perso sont racoleuses (passif ou actif).
      • [^] # Re: Proposition de sanction

        Posté par  . Évalué à 1.

        Une répression autorégulée sur Internet peut fonctionner, par exemple les blacklists de plages IP qui incitent les providers à surveiller les spammeurs chez leurs clients.
        Rien à voir avec des lois, surtout nationales.
        • [^] # Re: Proposition de sanction

          Posté par  (site web personnel) . Évalué à 2.

          C'est pourtant l'exemple type d'un truc qui marche pas.
          Ces listes font nettement plus de dégats collatéraux qu'elles n'aident pour la lutte contre le SPAM.
    • [^] # foot ? ?

      Posté par  . Évalué à -7.

      PSG PSG PSG PSG PSG PSG
      -10 ok je le mérite , mais vu l heure , c t obligé (pis c pas moi qui ai commencé)
      • [^] # Re: foot ? ?

        Posté par  . Évalué à -2.

        moi je dit, petit joueur niveau heure

        -20 et dodo.
  • # Mort de rire... MS communique sur l'attaque du ver

    Posté par  . Évalué à -4.

    Sur la page d'accueil de http://www.microsoft.com/(...) il y a un lien vers un communiqué de Microsoft relatif à l'attaque du ver :
    http://www.microsoft.com/security/slammer.asp(...)

    Extraits :
    - "Microsoft became aware of an Internet attack "

    Microsoft est la victime.

    - "Typical home users' computers are not affected."

    C'est vague. Le consommateur moyen peut dormir sur ces deux oreilles. Un "Typical home users" linux based n'a jamais d'aussi bonnes nouvelles :-)

    - "This is a criminal act"

    Putain, un attentat, la guerre. Combien de mort ?

    - "we are working with law enforcement authorities."

    Comme suposé plus haut un cyber Sarkozy va être mise au point. Plus sérieusement, on send que MS veut surfer sur cette attaque pour faire passer Palladium et consort dans les lois. J'espère que les journalistes, les politiques ne vont pas se laisser endormir par cette propagande grotesque.

    - "Microsoft strongly recommends customers immediately follow the instructions for installing the patch on TechNet"

    Y a pas un apt-get upgrade, un up2date, etc ?!? Fichtre la facilité de maintenance en prend un coup ( ou coût ) .

    - "begin evaluation and deployment of SQL Server 2000 SP3."

    Un petit appel à la montée en version (payante ? un Windowsien, malgrés lui, peut-il confirmer mon hypothèse ?).

    - "We also recommend that customers, typically software developers, using MSDE 2000 install the patches"

    Tout la simplicité de Windows. Il faut un développeur pour appliquer un patch. A moins que les admins certifiés ont en fait subit un lavage de cerveau.

    - "If you have any ongoing issues [...] contact the Microsoft Anti-Virus hot line [...] or your anti-virus vendor"

    Il y a un message subliminal : Seul une société à la pointe de la technologie et avec un soucis élevé de la sécurité comme Microsoft peut proposer un anti-virus comme solution à un trou de sécurité. Et oui, chez microsoft on ne corrige pas les bugs, on les gueris.
    • [^] # Re: Mort de rire... MS communique sur l'attaque du ver

      Posté par  . Évalué à -5.

      > - "Microsoft became aware of an Internet attack "
      > Microsoft est la victime.
      Je vien de prouver mon piètre niveau d'anglais.

      C'est "Microsoft a pris connaissance d'une attaque d'Internet." et non "Microsoft a subit une attaque d'Internet." contrairement à ce que j'ai supposé en premier.
    • [^] # Re: Mort de rire... MS communique sur l'attaque du ver

      Posté par  . Évalué à 2.

      Moi je pense que tu ferais bien de faire des etudes d'anglais, vu que tu comprends tout de travers.


      "This is a criminal act"

      Putain, un attentat, la guerre. Combien de mort ?


      Faire un distributed DDoS, planter des dizaines de serveurs et saturer la bande passantes de dizaines d'ISPs est un acte criminel, si tu preferes jouer au malin avec des phrases debiles libre a toi

      "Microsoft strongly recommends customers immediately follow the instructions for installing the patch on TechNet"

      Y a pas un apt-get upgrade, un up2date, etc ?!? Fichtre la facilité de maintenance en prend un coup ( ou coût ) .


      Quand on ne sait pas, on dit pas, ca evite d'avoir l'air idiot(hint: windows update, autoupdate).

      "We also recommend that customers, typically software developers, using MSDE 2000 install the patches"

      Tout la simplicité de Windows. Il faut un développeur pour appliquer un patch. A moins que les admins certifiés ont en fait subit un lavage de cerveau.


      En francais ca se traduit par "les clients, habituellement des developpeurs, utilisant MSDE 2000 ...."
      Ce qui veut simplement dire que les utilisateurs de ce soft sont habituellement des devellopeurs.

      Bref, ton poste est digne d'un gamin de 10 ans
      • [^] # Re: Mort de rire... MS communique sur l'attaque du ver

        Posté par  (site web personnel) . Évalué à 10.

        > Faire un distributed DDoS, planter des dizaines de serveurs et saturer la bande passantes de dizaines d'ISPs est un acte criminel, si tu preferes jouer au malin avec des phrases debiles libre a toi
        Ce n'est pas un crime c'est un délit. Nuance. Je ne vois pas pourquoi faire un DDoS emmènerait l'auteur devant la cour d'assises. C'est peut-être illégal, mais faudrait un peu arrêter de balancer les termes crime/criminel dès que quelqu'un enfreint la loi et que ça touche à l'informatique...
        • [^] # Re: Mort de rire... MS communique sur l'attaque du ver

          Posté par  . Évalué à -5.

          Qui te dit qu'on parle de la France la ?
          • [^] # Re: Mort de rire... MS communique sur l'attaque du ver

            Posté par  (site web personnel) . Évalué à 8.

            > Qui te dit qu'on parle de la France la ?
            D'abord, je ne parle pas spécialement de France. L'utilisation du terme "crime" pour désigner tout délit informatique fait partie d'une dérive générale, la même qui fait appeler "pirate" la personne qui ose lire un DVD avec un logiciel libre. L'utilisation des champs lexicaux du crime / de la piraterie pour désigner tout acte informatique contraire aux lois est AMHA très malsaine, et est responsable de pas mal de non sens et de quiproquos.

            Ensuite, il n'existe aujourd'hui aucune instance juridique internationale digne de ce nom. Seules quelques tribunaux existent, et sont réservés en général au jugement d'hommes politiques pour des crimes de guerre ou autres pratiques sans comparaison avec le lancement d'un DDOS. Que je sache, la plupart des jugements sont aujourd'hui prononcés dans un pays donné. C'est d'ailleurs ce qui justifie les procédures d'extradition et autres. En plus, la loi est différente dans chaque pays. C'est donc tout naturellement que je me réfère à la loi française, vu que je suis français et que j'habite en France. Les quelques "lois" internationales qui existent consistent en général en des accords signés entre pays, chaque pays s'accordant pour intégrer la "loi" en question dans sa propre législation. Donc en respectant la loi française, je respecte de facto un bon nombre de lois communes à d'autres pays, par exemple je n'ai pas le droit de dupliquer des CD d'installation de Windows et les filer à mes potes.

            Dans tous les cas, je ne vois pas en quoi le terme délit est un terme franco-français. Je ne connais pas dans le détail les législations des autres pays, mais pour moi il y a 2 cas possibles:
            - Soit le pays a la distinction entre crime et délit. Et dans ce cas je serais surpris qu'un DDOS soit considéré comme un crime. Pour moi le DDOS, c'est du même tonneau qu'une grêve de routiers qui bloque les autoroutes. Ca fait chier, ça bloque les axes de communication, mais c'est quand même pas la fin du monde.
            - Soit le pays n'a pas la distinction entre crime et délit, auquel cas effectivement on peut parler par défaut de crime. Il se trouve que notre législation et notre langue mettent à notre disposition un moyen de faire la nuance, rien ne nous empêche d'en profiter.

            Enfin, en utilisant le terme crime en français, tu évoque - peut-être involontairement - quelque chose de particulier, généralement considéré comme plus grave qu'un délit, et qui peut très concrêtement t'envoyer aux assises. Si tu veux être factuel et ne pas entrainer de confusion, ne dis pas:
            "saturer la bande passantes de dizaines d'ISPs est un acte criminel"
            mais dis plutôt quelque chose du genre:
            "saturer la bande passantes de dizaines d'ISPs est un acte illégal"
            C'est moins tendancieux.
            • [^] # Re: Mort de rire... MS communique sur l'attaque du ver

              Posté par  . Évalué à 7.

              Si c'est criminel, combien de fois vous etes morts à cause d'un lag dans un jeu en réseau ? Ok je sors :)
            • [^] # Re: Mort de rire... MS communique sur l'attaque du ver

              Posté par  . Évalué à -2.

              Microsoft qui est une boite americaine a parle de crime. Ce DDoS implique l'intrusion sur des machines, ce genre de chose est un crime aux USA, et ca a eu lieu aux USA vu le nombre de machines se trouvant aux USA il y en a surement eu un paquet.

              Donc oui, Microsoft a raison d'appeler ca un crime, aux USA c'est un crime(= felony, et non pas misdemeanor = delit) de s'introduire sur des machines qui ne t'appartiennent pas.
              • [^] # Re: Mort de rire... MS communique sur l'attaque du ver

                Posté par  . Évalué à 2.

                Faut pas oublié qu'il n'y a pas eu de perte de donnée ni semble-t-il divulgation (ou vole) de données confidentiels !

                Si c'est un crime, comme peut-on considérer le couple Palladium/DRM qui va fouiller dans nos PC ?

                Ah oui j'oubliais, çà va être autorisé par la lois et appuié pas une boîte qui parle de crime pour une perte d'efficacité temporaire du réseau durant quelques heures et en week-end. C'est simplement un délit, un sabotage. Et même si ce n'est pas un crime les peines peuvent être lourde. Au moins le ou les crakers vont éviter l'exécution. Quoi que... avec l'ambiance actuelle...
                • [^] # Re: Mort de rire... MS communique sur l'attaque du ver

                  Posté par  . Évalué à -1.

                  Le virus utilise un buffer overflow pour s'introduire dans le systeme --> intrusion.

                  C'est un crime au sens de loi, point a la ligne. C'est pas MS qui a decide que c'etait un crime, c'est la loi US.

                  Quand a Palladium, ou as tu vu qu'il fouillerait dans les PC ?
                  • [^] # Re: Mort de rire... MS communique sur l'attaque du ver

                    Posté par  . Évalué à 1.

                    > C'est un crime au sens de loi, point a la ligne.
                    > c'est la loi US.
                    Ben moi je suis en France et je ne parle pas au nom de la lois. Je donne mon avis perso qui est que ce n'est pas un crime. Ce n'est pas la loi américaine (ni d'autres pays de plus triste réputation) plus qui va dicter mes opinions.

                    Laisse moi croire que ce n'est pas ton opinion mais que simplement tu expliques la qualification de crime par MS.
                  • [^] # Re: Mort de rire... MS communique sur l'attaque du ver

                    Posté par  . Évalué à 6.

                    > Quand a Palladium, ou as tu vu qu'il fouillerait dans les PC ?
                    C'est Palladium/DRM.
                    DRM peut regarder sur ton PC s'il n'y a pas des mp3 pirates et les supprimer. Et même s'il y a des dégât co-latéraux, ils sont pas responsables. Je ne sais pas si c'est précisément DRM qui fait ce "boulot" mais çà va être authorisé pas la loi.
                    • [^] # Re: Mort de rire... MS communique sur l'attaque du ver

                      Posté par  . Évalué à 0.

                      Montre moi un lien qui prouve ca.
                      • [^] # Re: Mort de rire... MS communique sur l'attaque du ver

                        Posté par  (site web personnel) . Évalué à 1.

                        Pas besoin de lien pour le prouver. Avec Palladium et l'informatique "de confiance" les éditeurs de logiciels peuvent faire faire ce qu'ils veulent à ta machine. Tu ne peux pas savoir ce que font les programmes qui tournent dessus, tu *dois* leur faire confiance. Couplé avec l'EUCD, le fait même _d'essayer_ de savoir ce que font tes programmes sera illégal. Chercher à comprendre le pourquoi du comment de ce que fait ton ordinateur sera donc un "crime" d'après MS 8-)
              • [^] # Re: Mort de rire... MS communique sur l'attaque du ver

                Posté par  (site web personnel) . Évalué à 2.

                > Microsoft a raison d'appeler ca un crime
                Surtout, ça les arrange bien de noircir le tableau. C'est bien simple la notion de délit est carrément rayé des dictionnaires pour les éditeurs de logiciel. Dès que tu fais quelque chose de mal -> crime!

                En plus, tant qu'on ne connaît pas exactement l'auteur du DDoS, bien malin qui peut dire sous quelle juridiction il va tomber. C'est peut-être un coréen qui a commencé par hacker une machine en Allemagne pour rebondir en Australie puis enfin lancer son bidule depuis le Texas. Va savoir... Dans l'affaire, Microsoft n'est même pas si impliqué que ça, quelqu'un a exploité une faille de leur serveur, mais ça en reste à priori là. MS n'est pas vraiment la victime ni le coupable.

                > aux USA c'est un crime
                Quel beau pays 8-) Il n'empeche qu'il y a surement eu aussi des machines françaises, allemandes, chinoises, etc. touchée par le vers (qui apparemment frappe au hasard et sans discrimination). Et là il n'y a pas crime.

                Il est regrettable que le fait que les US considère les intrusions comme des crimes déteigne sur les autres pays.
                • [^] # Re: Mort de rire... MS communique sur l'attaque du ver

                  Posté par  . Évalué à -2.

                  Bordel...

                  Ils ne noircissent RIEN DU TOUT.

                  Au sens de la loi americaine, c'est un crime, ils appellent ca donc un crime.

                  Tu veux qu'ils utilisent les termes de quel pays ? France ? Zimbabwe ? Australie ? C'est une boite americaine !
                  • [^] # Re: Mort de rire... MS communique sur l'attaque du ver

                    Posté par  (site web personnel) . Évalué à 0.

                    Je reprends tes propos:
                    > Faire un distributed DDoS, planter des dizaines de serveurs et saturer la bande passantes de dizaines d'ISPs est un acte criminel
                    > Tu veux qu'ils utilisent les termes de quel pays ? France ? Zimbabwe ? Australie ? C'est une boite americaine !
                    Faudrait savoir si tu parles en ton nom ou si tu es porte parole de MS USA. Je veux bien que MS USA appelle un crime n'importe quoi, de toutes façons en tant que citoyen français je n'ai pas de compte à leur rendre. Maintenant c'est toi qui dit que c'est un crime. Après tu peux considérer que tout ce que dit MS USA est parole divine et fait donc foi, c'est ton droit, mais ce n'est pas mon cas. Quand tu dis "c'est un acte criminel", c'est toi qui porte le jugement que je sache. Ou alors dis simplement "c'est un acte criminel d'après MS USA". Mais l'attitude que tu as est exactement celle que je déplore: une boîte aux US déclare "ceci est un crime" et ensuite, tout le monde considère que c'en est un. Je ne sais pas lequel de nous 2 est aux US, mais en tous cas ce n'est pas moi, donc que viens faire la loi américaine dans tout cela, je ne suis pas censé la respecter que je sache.
                    • [^] # Re: Mort de rire... MS communique sur l'attaque du ver

                      Posté par  . Évalué à -5.

                      Tu fais expres....

                      Vous gueulez comme quoi MS exagere en utilisant le mot "crime".

                      Moi je vous dis qu'un DDoS c'est un crime aux USA, vu qu'on parle de l'appellation donnee par MS, qui est aux USA.

                      Je vais pas me mettre a parler du cas en France, vu que ca n'a rien a voir, ici on parle du pourquoi/comment MS USA a nomme cet acte, il faut donc se referer a la loi US.

                      Si tu n'en as rien a foutre de la loi US, ben ne vient pas causer sur le pourquoi/comment de l'appelation donnee par MS a cet acte alors, vu que ca fait justement reference a la loi US, et tu le sais tres bien, a moins que tu croies que MS est une boite francaise.
                      • [^] # Re: Mort de rire... MS communique sur l'attaque du ver

                        Posté par  (site web personnel) . Évalué à -1.

                        > Vous gueulez comme quoi MS exagere en utilisant le mot "crime".
                        1 - je ne gueule pas si fort que ça
                        2 - "on parle du pourquoi/comment MS USA a nomme cet acte", justement, je ne suis pas sur qu'on parle de la même chose. Moi je parle de toi qui dit que c'est un crime. Après tu peux choisir d'être porte parole de MS USA, c'est ton choix, mais jusqu'ici j'avais l'impression que les propos que tu tenaient sur ce site reflétaient ton opinion personnelle, et je pense que c'est encore le cas. Tu peux choisir de répéter la même chose que la maison mère de manière systématique, mais le fait qu'une boîte ait appelé ça crime aux US n'empêche pas que sur un site quand même relativement francophone (LinuxFR) on s'indigne de ce genre d'appellation.
              • [^] # Re: Mort de rire... MS communique sur l'attaque du ver

                Posté par  . Évalué à 5.

                Oups, prend un dico...
                'crime' (english) est un terme générique pour désigner une violation de la loi. Il couvre aussi bien le vol d'une pomme que le viol ou le meurtre -- et peut-être, (quelqu'un confirme?) les infractions au sattionnement.
                "Felony" c'est pour les trucs amenant plus d'un an de prison, "misdemeanor" serait plus proche de la contravention.

                MS a raison de parler d'action "criminal", et cela n'implique aucune dérive sécuriaire.
      • [^] # Re: Mort de rire... MS communique sur l'attaque du ver

        Posté par  . Évalué à 3.

        « Faire un distributed DDoS, planter des dizaines de serveurs et saturer la bande passantes de dizaines d'ISPs est un acte criminel, si tu preferes jouer au malin avec des phrases debiles libre a toi »

        Crime/Criminel a un sens plus fort en francais, on peut parfois utiliser crime en anglais dans un sens qui devrait être traduit par délit. Celui à qui tu réponds fait cette erreur. Par contre toi visiblement, tu considère le DDoS comme un acte criminel. Mais ce n'est que ton avis, ce n'est pas parce que tu le dis que c'est à considérer comme un crime, c'est même plutot une bonne raison d'avoir des doutes sur l'emploi de ce terme (c'est du même style que « pirate »)

        « Bref, ton poste est digne d'un gamin de 10 ans »

        Et jouer sur l'emploi de certains mots pour criminaliser des infractions ou des délits, c'est une attitude « digne » (tout court) ?
        • [^] # Re: Mort de rire... MS communique sur l'attaque du ver

          Posté par  . Évalué à -5.

          Aux USA c'est un crime, pas un delit.
          • [^] # Re: Mort de rire... MS communique sur l'attaque du ver

            Posté par  . Évalué à 0.

            « Aux USA c'est un crime, pas un delit. »

            Le posteur initial a pu se planter, je l'ai dit. Toi tu reprends ces termes spécifiques aux USA pour en faire des vérités absolues en te gardant bien de préciser que ce n'est valable que là-bas. S'il y avait une remarque à faire sur le premier post, c'était peut-être dire que l'auteur ne connaissait pas assez les lois américaines. Jouer le jeu de la criminalisation n'est pas nécessaire, à moins de vouloir répandre ces idées (mais après tout tu as déjà expliqué ici le bien-fondé de l'emploi du terme « pirate »).
    • [^] # Re: Mort de rire... MS communique sur l'attaque du ver

      Posté par  . Évalué à 7.

      Sur la page d'accueil de http://www.microsoft.com/(...) il y a un lien vers un communiqué de Microsoft relatif à l'attaque du ver :


      Communiqué qui a bizarrement pris la place qu'occupait hier, exactement au même endroit sur la page d'accueil, un lien vers un article de Bill Gates intitulé Security in a Connected World : http://www.microsoft.com/mscorp/execmail/(...)

      Où l'on apprend entre autres que, pour se protéger par exemple des attaques des vers Internet, le code développé sera plus sûr, que les installations par défaut seront sûres, que les alertes de sécurité seront plus sûres... évidemment...
      • [^] # Re: Mort de rire... MS communique sur l'attaque du ver

        Posté par  . Évalué à 4.

        Comme d'habitude certaines personnes tirent à boulet rouge sur microsoft. Je profite donc de ce thread pour dire ce que je pense depuis un petit moment.

        Juste une petite précision avant de commencer : je ne suis pas pro microsoft et quand je parle de windows je parle de windows2000 et de windows.net. Je n'aime pas la politique commerciale de microsoft et encore moins tcpa/palladium. je suis ingénieur systèmes unix / windows2000 et que je ne porte aucun jugement philosophique sur le bien ou le mal de tel ou tel Os.

        Microsoft à fait beaucoup d'erreur de sécurité par le passé au profit de leur politique commerciale "out of the box". C'est cette facilité d'installation qui fait perdre bien souvent de vue que bien administrer un serveur windows est aussi difficile sinon plus qu'administrer un serveur linux. Cette politique de "out of the box" posait les plus gros soucis car il fallait repasser derrère pour supprimer les script d'administration et autres répertoires de IIS par exemple. La prochaine version de windows (.net) aura elle une vision plus "unixienne" -si vous me passez l'expression- de l'installation de ses programmes.

        Pour la mise à jour et la sécurisation des serveurs windows, microsoft met à disponibilité beaucoup de très bon utilitaires :
        http://www.microsoft.com/technet/security/(...)

        Maintenant tout le monde sait qu'en terme de nombre de failles de sécurité découvertes, le paramêtre "popularité" est assez important et l'augmentation des failles découvertes sur linux le montre (je me souvient encore des séances de recompilation de openldap, cyrus, bind et autres ;).

        Tout n'est pas rose dans le monde de microsoft, loin de là, mais ce n'est pas en dénigrant gratuitement cet Os que l'on milite en faveur de linux. Ce n'est qu'en ayant un discour modéré et intelligent sur la place de linux en entreprise que l'on pourra faire avancer les choses. (je me souvient encore d'une discussion où un linuxien extemiste voulait remplacer le serveur exchange de l'entreprise par sendmail :) ).

        Personnellement je pense que windows ET linux ont leur place _ensembles_ dans une entreprise.
        • [^] # Re: Mort de rire... MS communique sur l'attaque du ver

          Posté par  (site web personnel) . Évalué à 2.

          > Pour la mise à jour et la sécurisation des serveurs windows, microsoft met à disponibilité beaucoup de très bon utilitaires
          Sauf que cette "mise à disponibilité" est sujette à tout un tas de restrictions:
          http://www.microsoft.com/info/cpyright.htm(...)
          entres autres:
          "Unless otherwise specified, the Services are for your personal and non-commercial use"
          Bref, le problème avec les mise à jour MS, c'est qu'à chaque fois tu dois accepter une nouvelle licence, et j'ai autre chose à foutre que de lire 200 lignes chaque fois que je fais une MAJ de sécurité. Et *non* je ne suis pas prêt à accepter certaines clauses des CLUF Microsoft que je trouve abusives. Et *oui* je considère qu'il est important de lire la licence avant d'installer un soft.
          • [^] # Re: Mort de rire... MS communique sur l'attaque du ver

            Posté par  . Évalué à -1.

            T'as remarque qu'il y a "Unless otherwise specified" ?

            Tu sais tres bien que ces utilitaires et infos sont disponibles pour tout le monde.
            • [^] # Re: Mort de rire... MS communique sur l'attaque du ver

              Posté par  (site web personnel) . Évalué à 2.

              > Tu sais très bien que ces utilitaires et infos sont disponibles pour tout le monde.
              Alors montre-moi où précisément il est écrit que ces utilitaires sont disponibles pour tout le monde et tous les usages. Moi j'ai pas vu.

              Il n'y a pas de "tu sais très bien" qui tienne. Je m'en tiens à ce qui est écrit dans les licences, le reste c'est du pipo.
              • [^] # Re: Mort de rire... MS communique sur l'attaque du ver

                Posté par  . Évalué à -2.

                De la meme page :


                NOTICE SPECIFIC TO SOFTWARE AVAILABLE ON THIS WEB SITE.
                Any software that is made available to download from the Services ("Software") is the copyrighted work of Microsoft and/or its suppliers. Use of the Software is governed by the terms of the end user license agreement, if any, which accompanies or is included with the Software ("License Agreement"). An end user will be unable to install any Software that is accompanied by or includes a License Agreement, unless he or she first agrees to the License Agreement terms.

                The Software is made available for download solely for use by end users according to the License Agreement. Any reproduction or redistribution of the Software not in accordance with the License Agreement is expressly prohibited by law, and may result in severe civil and criminal penalties. Violators will be prosecuted to the maximum extent possible.


                Ce qui revient a dire "Zieutez la licence qui vient avec les softs", et ces licences la comme par magie n'interdisent pas aux societes de les utiliser, c'est dans la plupart des cas des EULA standards.
        • [^] # Commentaire supprimé

          Posté par  . Évalué à 5.

          Ce commentaire a été supprimé par l’équipe de modération.

      • [^] # Re: Mort de rire... MS communique sur l'attaque du ver

        Posté par  (site web personnel) . Évalué à 3.

        Hum .... et cette annonce (qui découle probablement de la période où MS a décidé de reaxé ses développeurs sur la sécu) date de quand ?

        Non parce que le correctif date de juillet, si on compte 1 mois pour la découverte, 6 mois pour le développement de la release (ca me parait léger mais bon, on va dire ca) ca fait 1 an et 1 mois que cette faille a été faite (je table sur un minimum, ca peut etre deux ans).

        Ben oui, chez MS ils n'ont pas de magiciens, ce n'est pas parce que à partir d'une date X ils se rexent sur la sécu que d'un coup tous les anciens développements qui datent de plus de 6 mois sont sans failles.
        Sans compter que meme axé sur la sécu ca n'empeche pas les failles, ca se saurait. Je rappelle que on en a aussi sous Unix & Linux
    • [^] # Re: Mort de rire... MS communique sur l'attaque du ver

      Posté par  (site web personnel) . Évalué à 10.

      Oh ? un commentaire idiot ...


      Ben oui, des failles il y en a dans les programmes opensource aussi, et meme dans les programmes libres aussi. L'ouverture ne permettant que de les corriger plus vite (et encore, ca c'est la théorie).

      Qu'est ce qu'il s'est passé ? il s'est passé que il y a eu une faille sur MS SQL, comme ca aurait pu etre une faille de Bind.

      Que cette faille est connue depuis au moins juillet, qu'un correctif est disponnible gratuitement depuis cette date là.

      6 mois apres donc, un ver exploite cette faille et fait des ravages. Dis ? tu m'explique la faute de MS et pourquoi tu lui tires dessus ?
      Responsable d'avoir fait des failles ? on en a aussi sous nos Unix like,
      Responsable de ne pas avoir distribué un correctif assez rapidement ? ben si, il l'a fait,
      va falloir que tu m'explique

      - "Microsoft became aware of an Internet attack "
      Microsoft est la victime.


      Ah ouais, ton niveau d'anglais est assez important. Pour ton information ca veut dire "MS est au courant d'une attaque internet". Tu m'expliques d'où vient ta traduction fantaisiste ?

      - "This is a criminal act"
      Putain, un attentat, la guerre. Combien de mort ?


      C'est un acte criminel, on pourrait le dire en France aussi (sauf qu'en France c'est un délit, pas un crime mais ca c'est une autre histoire). Pas besoin ni de guerre ni de mort pour qualifier quelque chose de crime. Pour info quand tu prend ta voiture juste apres avoir avalé 2 verres d'apéritif c'est un crime en france.

      - "Microsoft strongly recommends customers immediately follow the instructions for installing the patch on TechNet"
      Y a pas un apt-get upgrade, un up2date, etc ?!? Fichtre la facilité de maintenance en prend un coup ( ou coût ) .


      Y'a un windows update, un autoupdate, qui font tout à fait ce genre de boulot.
      Maintenant on ne peux pas forcer les admins à s'en servir. Ceci dit sous unix non plus. (sauf que quand ca arrive sous unix c'est la faute de l'admin et sous windows ca serait la faute de MS ?)
      Enormément de machines se sont montrées vulnérables donc il redemande aux gens d'appliquer le patch, où est le probleme ?

      "We also recommend that customers, typically software developers, using MSDE 2000 install the patches"
      Tout la simplicité de Windows. Il faut un développeur pour appliquer un patch. A moins que les admins certifiés ont en fait subit un lavage de cerveau.


      Parce que toi dans ton entreprise on fait appliquer les patchs sur les serveurs connectés sur l'extérieur par les secrétaires ? (on parle bien d'un serveur de base de donné accessible depuis l'extérieur, pas d'un poste de travail)


      - "If you have any ongoing issues [...] contact the Microsoft Anti-Virus hot line [...] or your anti-virus vendor"
      Il y a un message subliminal : Seul une société à la pointe de la technologie et avec un soucis élevé de la sécurité comme Microsoft peut proposer un anti-virus comme solution à un trou de sécurité. Et oui, chez microsoft on ne corrige pas les bugs, on les gueris.


      Damned, les salop de MS, ils fournissent meme une hotline de support ... alors ca c'est vraiment exagéré !
      Ah ? dans l'oreillette on me soufle que en fait c'est une bonne chose, bon, alors je ne comprend pas bien.



      Franchement si vous voulez paraitre crédibles évitez de taper sur MS par principe, pour une fois il est clair que ce n'est pas leur faute. Un vieille faille Unix non corrigée aurait fait les meme ravages.
      • [^] # Re: Mort de rire... MS communique sur l'attaque du ver

        Posté par  (site web personnel) . Évalué à 4.

        Pour abonder dans le sens du précédent post, je communique un lien sur un site sérieux qui montre que les patch de sécurité ne sont pas toujours appliqués sur des logicels libres.

        http://linuxfr.org/2002/07/11/8924.html(...)

        un peu de réserve ne saurait nuire
        (je sais ça fait moraliste)
        • [^] # Commentaire supprimé

          Posté par  . Évalué à 3.

          Ce commentaire a été supprimé par l’équipe de modération.

          • [^] # Re: Mort de rire... MS communique sur l'attaque du ver

            Posté par  . Évalué à 4.

            > Ceux qui utilisent redhat pas beaucoups

            Le problème est que beaucoup considèrent que les mises à jour simple (sans un dixaine de "rpm -i") sous RH sont payantes. RedHat n'a pas asser communiqué sur ce point. Pour profiter de ce type de mise à jour, il faut s'enregistrer. Donc lors de l'inscription, les gens abandonnent penssants à un service payant. Ce qui est payant chez RH c'est la gestion d'un park de machines depuis http://rhn.redhat.com/(...) avec un seul compte et d'autres goddies. Le mieux étant apt4rpm :-)
            • [^] # Commentaire supprimé

              Posté par  . Évalué à 1.

              Ce commentaire a été supprimé par l’équipe de modération.

          • [^] # Re: Mort de rire... MS communique sur l'attaque du ver

            Posté par  . Évalué à 7.

            Dans mon experience, ceux qui font des mises a jour automatiques la nuit via cron ne sont responsable que de leur machine perso :-)
            AUCUN admin serieux n'accepterait de laisser un automate faire des updates automatiqes sur des machines en prod !!! et encore moins a un moment ou personne ne peut rectifier le tir (la nuit).

            Dans mon experience toujours, les redhat que j'installe chez mes clients sont équipées d'un script tout con interrogeable en snmp qui donne la liste des RPM en retard par rapport à updates.redhat.com. y a pas a s'enregistrer, rien a payer non plus, et ca clignote tout orange dans le monitoring ... du coup les admins pensent a faire les mises a jour.

            ah oui, il s'agit d'entreprises, avec un reseau, des serveurs, plusieurs DMZ et surtout un systeme de monitoring (et des equipes qui le surveillent 24h/24 7j/7).

            Chez moi ma redhat m'envoie un mail chaque fois qu'un update de redhat dont elle devrait profiter (paquet utilisé) sort. Ce qui fait que en général, ma machine est mise a jour la veille de l'annonce publique sur bugtrack (redhat sort le correctif souvent un jour avant de l'annoncer).

            Bref apt-get c'est bien (et c'est dispo pour rpm aussi ainsi que urpmi ...) mais le plus important AMHA c'est d'incorporer l'information "machine a jour" dans le monitoring pour que les admins soient au courant.

            voir .... d'installer un monitoring !!
            • [^] # Re: Mort de rire... MS communique sur l'attaque du ver

              Posté par  . Évalué à 7.

              > mes clients sont équipées d'un script tout con interrogeable en snmp qui donne la liste des RPM en retard par rapport à updates.redhat.com.

              rhn.redhat.com fourni çà gratuitement.

              > ca clignote tout orange dans le monitoring

              notification par mail.

              > dont elle devrait profiter (paquet utilisé)

              Comme rhn.redhat.com

              > ma machine est mise a jour la veille

              Pareil, mais à confirmer.

              Et çà c'est la version gratuite du système rhn.redhat.com . Ce qui peut être interessant pour un admin c'est la gestion de plusieurs postes à la fois. J'ai pas testé. Çà fait donc aussi moniteur. Le problème est que tu es dépendant de RedHat.
              Un bon récapitulatif est ici : https://rhn.redhat.com/network/index.pxt(...)
              Si tu veux faire un essai tu lances up2date. RedHat te garantit la non divulgation des infos fournis.

              Bon, je dis çà mais je dis rien. Je ne connais pas ton système. J'ai trouvé le système RH intéressant. Je l'utilise depuis un mois environ chez moi. Mais j'ai pas encore réellement creusé la question. Je n'ai pas encore assez de recule pour dire :
              - go go go !
              • [^] # Re: Mort de rire... MS communique sur l'attaque du ver

                Posté par  . Évalué à 2.

                mon systeme ets en prod depuis presque 2 ans ... avec un cache local des packages pour gerer tous les serveurs facilement sans embeter RH.
                a l'epoque RH ne proposait pas la meme chose, puis est apparut un soft "autoupdate" sur freshmeat qui semble faire la meme chose, puis RH a proposé son système.
                Je réfléchis a migrer vers un de ces 2 la, mais comme mon biniou fonctionne sans ratées depuis 2 ans ...
            • [^] # Re: Mort de rire... MS communique sur l'attaque du ver

              Posté par  . Évalué à 2.

              > Bref apt-get c'est bien
              > mais le plus important AMHA c'est d'incorporer l'information "machine a jour" dans le monitoring

              Avec apt-get c'est pas compliqué. Il faut peut-être faire deux/trois bout de script.
              Exemple (je n'ai pas une "pure" Psyche) :

              [root@one root]# apt-get -s upgrade # -s simulation
              Reading Package Lists...
              Collecting File Provides...
              Building Dependency Tree...
              The following packages will be upgraded
              alsa-driver ppp
              2 packages upgraded, 0 newly installed, 0 removed and 0 not upgraded.
              Inst alsa-driver (0.9.0-fr0rc6.2 Psyche Freshrpms:8.0 en/Red Hat Linux)
              Inst ppp (2.4.1-7 Psyche:8.0 en/Red Hat Linux)
              Conf alsa-driver (0.9.0-fr0rc6.2 Psyche Freshrpms:8.0 en/Red Hat Linux)
              Conf ppp (2.4.1-7 Psyche:8.0 en/Red Hat Linux)
              [root@one root]#

              J'ai deux packages à mettre à jours. Suffit de faire un mail. L'idéal pour un gros réseau est de fait un dépôt apt (avec peut-être quelques paquetage spécifique) et de faire pointer les clients (apt-get) vers le dépôt.

              Avec un "apt-get upgrade" il n'y a que les paquetages déjà installés qui sont mise à jours. Par défaut, cette commande est intéractive. Elle affiche les paquetages a mettre à jour et demande confirmation. Tu peux aussi spécifier les paquetages "apt-get upgrade ppp".

              Si interressé, c'est ici : http://apt.freshrpms.net/.(...)

              RH indique quelques problème de sécurité.
              http://people.redhat.com/tcallawa/faq.html#apt-get(...)

              C'est pas génant si tu fais ton propre dépôt.
              • [^] # Re: Mort de rire... MS communique sur l'attaque du ver

                Posté par  . Évalué à 1.

                oui oui je connais, d'ailleur j'ai installé des depots "apt" et apt4rpm est ajouté de base sur les systèmes dont je parlais.
                a l'origine ma moulinette faisait monitoring + download. c'est a dire que l'admin avait juste une option a passer pour telecharger les rpm a mettre a jour sur la machine. mais maintenant, les upgrades sont faisables aussi via apt, et les 2 systèmes téléchargent les packages depuis le meme dépot.

                Quand a envoyer un mail quand il y a des choses a upgrader, je fais cela a la maison, mais cela ne vaut pas un système de monitoring.
                Par exemple, le monitoring est visible de tous (en http), et on peut y voir combien de temps l'upgrade est resté signalé (mis a jour toutes les 5 minutes) et si les admins mettent 1 semaine a appliquer les correctifs, tout le monde le vois et cela reste dans les archives ...
                Libre au client d'organiser des concours des serveurs les mieux administrés en fonctions de stats issues du monitoring, voir de distribuer des primes aux bons admins ... bref plein de bonnes raisons pour que les admin FASSENT LEUR BOULOT.
                Je met des outils pour faciliter la tache, oui ... mais il faut que le résultat se voit sur la diponibilité des machines ....
            • [^] # Re: Mort de rire... MS communique sur l'attaque du ver

              Posté par  . Évalué à 10.

              >AUCUN admin serieux n'accepterait de laisser un automate faire des updates automatiqes sur des machines en prod.

              Je suis totalement d'accord avec toi.
              Surtout lorsque l'on touche au domaine des gros systèmes d'information.

              Sur une base de donnée de plusieur dizaines de giga, voir centaines et devant assurer un taux de disponibilité de 99% le problème des mises à jour est relativement complexe.

              Le problème est le même pour un serveur de mail sous linux.
              un sendmail, un cyrus et 1000 boites pour un total de 400Go de données. Ce genre de mise-à-jour est un vrai cauchemard et le stress de la responsabilité en cas de problème engendrés par de tels opération est relativement important. La mise à jour de ce type de système ne peut être fait du jour au lendemain et surement pas de manière automatique.Ceci explique (sans l'excuser) le fait que certains gros serveurs ne sont pas ou rarement patchés dans les temps.

              Maintenant l'ouverture au net des ports 1433 et 1434 ne me parait pas justifié même sur de gros systèmes (pour les accès à distance, les vpn sont faits pour cela) . Peut être est-ce du à une configuration simpliste des routeurs et/ou firewalls qui ne consiste qu'à filtrer les ports situés en dessous de 1024 ?!
            • [^] # Commentaire supprimé

              Posté par  . Évalué à 0.

              Ce commentaire a été supprimé par l’équipe de modération.

            • [^] # Commentaire supprimé

              Posté par  . Évalué à 2.

              Ce commentaire a été supprimé par l’équipe de modération.

              • [^] # Re: Mort de rire... MS communique sur l'attaque du ver

                Posté par  . Évalué à 1.

                Non ce n'est pas contradictoire, ceusse qui surveillent le monitoring la nuit n'ont pas les compétences pour faire des upgrades ... ils savent parer au plus pressé (panne matérielle / direiger le service sur un noeud de backup / reboot ...) mais la vraie maintenance est faite en heure/jours ouvrables.

                Je suis désolé si je t'ai vexé (rapport au "troll a la con"), et je constate que tu abondes au moins partiellement dans mon sens: tu es admin en dehors de chez toi ... et tu ne fais pas les mises a jour automatiquement la nuit ;-).

                Si avec Debian tu penses pouvoir faire les mises a jour en automatique c'est bien. Moi je ne rendrai JAMAIS la qualité de MON travail dépendant d'une erreur potentielle de packaging d'un autre, fusse t'il payé par RedHat ou volontaire chez Debian... Donc les mises a jour je les teste (au moins rapidement) avant de les appliquer en prod.
                • [^] # Commentaire supprimé

                  Posté par  . Évalué à 1.

                  Ce commentaire a été supprimé par l’équipe de modération.

                • [^] # Commentaire supprimé

                  Posté par  . Évalué à 1.

                  Ce commentaire a été supprimé par l’équipe de modération.

  • # Re: Un ver déstabilise Internet

    Posté par  (site web personnel) . Évalué à 1.

    depuis auj j'ai une recrudescence de message comme ca dans les logs ...

    81.56.3.62 - - [27/Jan/2003:17:42:07 +0100] "\xe3K" 501 -

    nouveau ver ??!

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.