Depuis 10 heures, nous vous
faisons suivre une attaque de masse d'un ou de plusieurs groupes pirates. Un
DDoS qui est en train de mettre à mal le réseau des réseaux.
Déjà plusieurs
gros serveurs tel que Unet, Level 3, Ld Com ou encore H.P. sont hors service.
L'attaque, subdivisées, vise l'Asie, l'Europe et le Pacifique au moment ou
nous écrivons ces quelques lignes.
La France a aussi été touchée de maniére
assez forte avec des probléme chez Wanadoo, E-nexus, ...
Depuis plusieurs mois des
"essais" d'attaques, comme le Déni de Service Distribué à l'encontre des
root-serveurs ou encore UltimatDNS ont montré que des actions se
préparaient.
L'attaque semble provenir
d'un ddos basées sur un ver SQL nommé Snake, connu depuis depuis plusieurs mois.
Depuis quelques semaines déjà, sur le réseau Darknet, les pirates parlaient
d'une attaque de masse.
On tente de savoir pourquoi ce samedi, mais le
week-end, pas grand monde travaille, donc ca aide pour mettre le foin.
Ce
virus nommé SnakeSql passait par le port 1433 au moment de sa découverte, en
mars 2002.
Microsoft avait publié une
alerte au sujet d'un probléme de sécurité qui visait sa version SQL 7 et son
serveur de SQL 2000.
Les potes à Bill avait expliqué, qu'un code malveillant
appelé à l'époque Voyager Alpha Force, se promenait sur le réseau et volait les
mots de passe des comptes d'administrateur.
Ce virus avait touché à
l'époque, dés son apparition, plus de 2 000 serveurs. Cette faille sql est
utilisée par les forums warez pour faire des espaces de stockage. Les serveurs
sous Os Linux, Microsoft, ... sont touchés.
Les pays, pour le moment,
les plus touchés sont : Les Etats-Unis, le Canada, la France, le Taiwan et la
Chine, ...
Les ports d'origines sont le 1433, 1434. Il semble aussi que le
snake tape du côté du 4662.
Chose rigolote les groupes warez utilisent cette
même faille depuis plusieurs mois, voir le ZATAZ Papier 3, afin de placer leurs
contrefaçons sur les serveurs piratés.
Les sites
militaires US semblent en avoir pris un gros coup derriere les oreilles !
Voici une liste des serveurs roots visés. 4 sont déjà au tapis.
Root
b.root-servers.net 53% 25/40/48
Root c.root-servers.net 0% 82/82/82
Root
e.root-servers.net 20% 16/29/33
Root f.root-servers.net 26% 17/27/32
Root h.root-servers.net 20% 91/101/108
Root i.root-servers.net 26%
190/199/205
Root j.root-servers.net 26% 81/91/96
Root k.root-servers.net
64% 172/188/201
Root l.root-servers.net 0% 5/5/6
Root m.root-servers.net
33% 160/171/205
GTLD b.gtld-servers.net 26% 52/63/67
GTLD
c.gtld-servers.net 31% 85/93/95
GTLD d.gtld-servers.net 13% 88/100/103
GTLD f.gtld-servers.net 22% 38/50/57
GTLD i.gtld-servers.net 0%
198/200/203
GTLD k.gtld-servers.net 24% 90/100/105
GTLD
l.gtld-servers.net 33% 128/138/171
AboveNet
ns.above.net 28% 53/64/66
AGIS ns1.agis.net 26% 62/74/78
AlohaNet
nuhou.aloha.net 35% 84/94/98
ANS ns.ans.net 26% 83/97/100
BBN-NearNet
nic.near.net 28% 91/114/572
BBN-BARRnet ns1.barrnet.net 26% 16/26/32
Best ns.best.com 35% 79/89/95
Concentric nameserver.concentric.net 35%
18/31/56
CW ns.cw.net 28% 88/98/105
DIGEX ns.digex.net 31% 78/86/91
ENTER.NET dns.enter.net 28% 91/104/108
Epoch Internet ns1.hlc.net 33%
37/48/52
Flash net ns1.flash.net 17% 80/92/94
GetNet ns1.getnet.com 20%
40/52/56
GlobalCrossing name.roc.gblx.net 24% 85/97/104
GoodNet
ns1.good.net 31% 83/92/97
GridNet grid.net 20% 80/92/101
IDT Net
ns.idt.net 20% 91/104/121
Internex nic1.internex.net 26% 18/31/35
MCI
ns.mci.net 22% 91/103/107
MindSpring itchy.mindspring.net 15% 75/88/106
NAP.NET ns2.nap.net 20% 73/85/94
PacBell ns1.pbi.net 0% 89/89/90
Primenet dns1.primenet.net 20% 31/41/45
PSI ns.psi.net 0% 82/84/160
RAINet ns.rain.net 31% 40/49/53
SAVVIS ns1.savvis.net 31% 88/99/102
SprintLink ns1.sprintlink.net 11% 15/27/35
UUNet,AlterNet
auth00.ns.uu.net 26% 89/98/103
Verio-West ns0.verio.net 22% 31/42/47
Verio-East ns1.verio.net 22% 86/96/101
VISInet ceylon.visinet.ca 20%
102/116/188
MoonGlobal-ClubNET ns.clubnet.net 0% 0/1/2
MoonGlobal-Netway
dns.nwc.net 4% 6/6/7
MoonGlobal-Netxactics verdi.netxactics.com 4% 6/6/7
InterWorld ns.interworld.net 0% 4/4/5
En belgique, Skynet
ferme des connections suspecte. Toutes les connections ayant un traffic trop
important sont maintenant fermée afin de protéger le réseau de l'attaque qui à
lieu en ce moment.
