Journal SpeedInfection

Posté par zeitounator le 22 janvier 2003 à 15:14.

Étiquettes : aucune

jan.

2003

Ce matin, je recois un courrier recommandé de mon cablopérateur, noos. "Tiens tiens, aurais-je oublié de payer ?" me dis-je... Mais je me démend tout de suite, je paye par virement automatique.

J'ouvre, et là surprise: "Nous vous avertissons que des actions illicites 'Attaques Nimda sur le Port HTTP' ont été perpétrées à partir du Modem XXXXXXX et de l'adresse IP x.x.x.x que vous utilisiez vers notre réseau le 15/01/2003 à 16h09"

"Merde alors ! ils ont sorti une version qui se propage sous linux !" me fais-je. Mais je réfléchi quand même deux secondes. Puis je me rappelle que, ce jour là, j'ai recu mon routeur netgear MR314 tout neuf et que j'ai installé la carte WiFi sous XP (en multiboot) au cas ou j'en aurai besoin un jour. Et bein ouais, après installation d'un antivirus (Beurk...), le verdict tombe: infection par w32nimda@mm.

J'ai du rester en ligne 10 minutes, je ne relève jamais aucun mail avec cet 'OS', j'ai juste browsé un peu le web pour vérifier la connection en me cantonant à google et au site netgear. Ca, c'est de la SpeedInfection !!! ca me servira de leçon...

# Re: SpeedInfection

Posté par Fabien le 22 janvier 2003 à 15:40. Évalué à 10.

Au moins on pourrat pas reprocher à microsoft qu' ils font de la publicité mensongère ...
"Connecter votre entreprise en 1 seconde avec Microsoft"
(c' est une phrase dans ce style la)
# Re: SpeedInfection

Posté par Sylvain Rampacek (site web personnel) le 22 janvier 2003 à 15:49. Évalué à 4.

Mais tu as IIS d'installé sur ton XP ? Ou des partages de fichiers accessibles de partout par tout le modne ? Ce virus ne se propage pas par mail... (si mes souvenirs sont bons...)

Par contre, l'infection va très très vite !
Je me suis fait infecté en RTC sur un windows 2000 avec une connexion de moins de 2 minutes !!!
- [^] # Re: SpeedInfection
  
  Posté par Prosper le 22 janvier 2003 à 16:07. Évalué à 2.
  
  il me semble que nimda se propage par outlook/internet explorer/IIS
  - [^] # Re: SpeedInfection
    
    Posté par Infernal Quack (site web personnel) le 22 janvier 2003 à 16:20. Évalué à 3.
    
    \o/ oué !!!!
    Et en plus bientôt par Sagem :)
    L'association LinuxFr ne saurait être tenue responsable des propos légalement repréhensibles ou faisant allusion à l'évêque de Rome, au chef de l'Église catholique romaine ou au chef temporel de l'État du Vatican et se trouvant dans ce commentaire
# Re: SpeedInfection

Posté par doublehp (site web personnel) le 22 janvier 2003 à 16:27. Évalué à 8.

J ai connu une boite qui developpais un site web avec Frontpage, dans un LAN. Le lan disposait d une passerelle vers internet connectee seulement a la demande des utilisateurs, pour uploader le site et le tester sur le serveur finale. En prtaique les connection ne duraient que 10 a 15 min 3 ou 4 fois par jours. Pour se connecter, il fallait aller sur la passerelle, lancer le prog de NAT puis dire "ca y est vous etes connecte" . et des qu on avait fini son boulo, on retournais sur la passerelle pour eteindre.

Apres 1 semaine de devel, certaines machines on vu apparaitre environ 6 minutes apres les deconnections le message : "Impossible de joindre l hote" en pop windozien.

Bon ok c est un message normale quand on coupe bruptalement une passerelle. LE probleme est que les developpeurs n utilisaient la connection que en demandant a FP d uploader en FTP. Une fois l upload fini, ils lancaient IE pour verifier que le site etait bien arrive et fermaient le FTP pour pouvoir deco.

Au bout de quelques jours, ils se sont rendus comptes que seuls ceux qui laissaient IE ouverts sur le site avaient le dit message.

Cela constate, ils ont fait le test sur 2 machines:
- ouvrire la passerelle
- lancer IE vers le site en ligne sur une machine
- lancer ie vers google sur l autre
- deco la passerelle
6 minutes apres, celle avec le site en ligne fesait l erreur. Pas google.

Une petite relecture du code source apres telechargement a revele que le code qu ils envoyaient sur le serveur on-line contenait effectivement un bout de java script cense envoyer un cooky sur un site qu ils ne conaissaient pas.

Cela a révéle que Front page ajoutait du code aux pages pour envoyer des informations sur le dit site a un tier serveur ... Cela peut servire a recupere des information sur les visiteurs/clients de l entreprise dont l on developpais le site web.

Le soir meme, ils ont desinstalle FP, scanne tous les codes sources pour virer ce bout de java ( et il etait present dans toutes les pages ... ), puis ils ont opte pour une alternative.

Je ne sais plus quel version de FP etait en cause, mais j assimile cet indident a de l espionage industriel.
- [^] # Re: SpeedInfection
  
  Posté par Infernal Quack (site web personnel) le 22 janvier 2003 à 16:47. Évalué à 10.
  
  Déjà faut pas confondre java et javascript :)
  Ensuite, pour des développeurs-web je trouve ça un peu dommage de ne même pas jetter un oeil au code produit rien que par soucis de clarification. Mais bon je dis ça, je dis rien ;)
  L'association LinuxFr ne saurait être tenue responsable des propos légalement repréhensibles ou faisant allusion à l'évêque de Rome, au chef de l'Église catholique romaine ou au chef temporel de l'État du Vatican et se trouvant dans ce commentaire
  - [^] # Re: SpeedInfection
    
    Posté par esprit le 22 janvier 2003 à 19:07. Évalué à 5.
    
    +1
    
    Et je rajouterais que je vois pas bien le rapport avec le sujet de ce journal...
  - [^] # Re: SpeedInfection
    
    Posté par doublehp (site web personnel) le 23 janvier 2003 à 23:58. Évalué à 1.
    
    t a raison ,
    s/java/"java script"
  - [^] # Re: SpeedInfection
    
    Posté par doublehp (site web personnel) le 24 janvier 2003 à 00:00. Évalué à 1.
    
    <Troll>
    Y a bien des informaticiens qui utilisent Microsoft Windows ...
    </Troll>

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.