Juste un mot pour indiquer que le créateur de MyDoom par la backdoor que son ver a ouvert fait se répandre un ver de port à port (façon Blaster, Code Red, Sapphire)... qui outre Microsoft, distribue aussi les sources du ver initial ... (en tar.bz2)
On peut y lire quelques remarques narquoises en commentaire genre...
What's the bug about "75% failures"?
Après le tristement célèbre Darl va nous dire ... "Vous voyez, c'était bien la communauté Linux qui nous attaquait, il distribue son code..."
Sauf que point de licence libre pour le code... ;) (oui bon je sors...)
# Re: Le créateur de MyDoom nargue son monde
Posté par TazForEver . Évalué à 3.
[^] # Re: Le créateur de MyDoom nargue son monde
Posté par Ph Husson (site web personnel) . Évalué à 2.
et pis pouvoir faire un vrai MyDoom.B :)
[^] # Re: Le créateur de MyDoom nargue son monde
Posté par ASpirit . Évalué à 1.
[^] # Re: Le créateur de MyDoom nargue son monde
Posté par Mayfoev . Évalué à 2.
Les sources se retrouvent facilement sur amule/mldonkey ou autre réseau d'échange, étant donné que certains partagent leurs disques en totalité:
Le fichier s'appelle sync-src-1.00.tbz et il était déjà assez bien diffusé hier soir !
[^] # Re: Le créateur de MyDoom nargue son monde
Posté par monsieurw . Évalué à 2.
[^] # Re: Le créateur de MyDoom nargue son monde
Posté par ASpirit . Évalué à 1.
[^] # Re: Le créateur de MyDoom nargue son monde
Posté par Cereal Killer . Évalué à 1.
[^] # Re: Le créateur de MyDoom nargue son monde
Posté par monsieurw . Évalué à 4.
Bah non...
Je trouve que ça devient rapidement fastidieux de faire ça avec grep & co. Et je suis un peu fainéant, je développe un minimum.
Donc j'utilise la cible ULOG de IPtables + ulogd ( http://gnumonks.org/gnumonks/projects/project_details?p_id=1(...) ) + PostgreSQL.
J'utilise PostgreSQL pour son support des vues ; en effet la table "ulog" brute regroupe tous les protocoles pêle-mêle. Avec le support des vues, on regroupe facilement chaque type de protocole, voir chaque type de port ou cible (--ulog-prefix).
Donc v'là la requête (psql) qui m'a renvoyé ça (à partir de la vue qui regroupe les accès pour le protocole TCP) :
-- Accès bloqué au port '3127' par jour depuis 1 semaine (7 jours)
SELECT (vulog_tcp.date::date) as date,
count(distinct vulog_tcp.src) as cnt,
count(vulog_tcp.src) as total
FROM vulog_tcp
WHERE vulog_tcp.date >= now()::date-8
AND vulog_tcp.dport = '3127'
GROUP BY date
ORDER BY date DESC, cnt DESC;
--
[mode dissaïdeur]Et c'est plus facile de faire des jolies courbes
Voilà par exemple les accès sur 20 ports les plus "pollués", avec un petit script en PHP qui génère l'image. Et ceci en "temps réèl" (enfin, là c'est du statique, j'ai généré la page puisque mes scripts PHP ne sont accessibles que depuis mon réseau local) : http://wop-sys.org/ulog/ulog_tcp.html(...)
J'ai aussi un petit script qui compte le nombre de ligne de chaque vue ou cible et qui stocke ça dans une base RRDtool : http://wop-sys.org/ulog/rrd.html(...)
Pour les graphiques, on peut aussi utiliser OpenOffice.org pour attaquer directement la base, plutôt que de générer un fichier CSV avec grep/sed à importer.
[/mode]
Y a aussi une table dans cette base qui stocke les enregistrements inverses des adresses IP qui ont été logguées (script qui fait les requêtes DNS une fois par jour) ; par exemple, ça me permet de sortir facilement des statistiques par domaine ; je peux donner les domaines les plus "polluants".
Enfin bref, pour conclure, je trouve que c'est vraiment plus pratique, j'ai plein de petites requêtes intéressantes (si ça intéresse quelqu'un, je les mets à coté des pages html ; d'ailleurs si vous utilisez ce principe, ça m'intéresse aussi d'avoir vos requêtes)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.