> Refuznikster a écrit: > Parce que mine de rien, lorsque je prends mes listes d'attaques > (dont celle de ce mois-ci) je vois la provenance des ip des > postes corrompus c'est pour la plupart du poste sans ip fixe : > italie, brésil, pologne, chine, roumanie et russie, ah si j'ai > aussi un suisse.
Deux remarques: 1. Attention à la méthode qui te dit que c'est une IP dynamique. Même si dans ce contexte je pense que tu as raison. 2. Tu ne vois que l'un des cotés de la chose. Oui, l'attaque vient de l'armée de zombies de partout et de nulle part. Par contre, il ne faut pas oublier comment on construit une armée de zombies, et c'est parfois/souvent par l'intermédiaire d'un serveur vulnérable qui a attrapé la chtouille. L'installation du merdiciel vient (en gros) soit du spam envoyé par les zombies soit par l'utilisateur qui visite une page web qui contient le ver. Dans le cas de la contamination par une page web, c'est là ou on peut collectivement faire quelque chose: ce canal de contamination nécessite d'être hébergé. Même si toi et moi avons un serveur HTTP à la maison, ce n'est généralement pas le cas du PC de Claude Michu. Même si le port 80 n'est pas bloqué, le problème est souvent que le PC est derrière NAT, et que le port 80 n'est pas ouvert dans la machinbox, ce qui en pratique empêche le PC de devenir un serveur web même s'il est contaminé. Je vois bien la possibilité que le merdiciel essaie d'ouvrir le port 80 en utilisant uPNP, mais jusqu'à présent je n'ai pas vu ce genre de chose déployé à grande échelle. Je comprends aussi comment on pourrait utiliser une ruse genre STUN pour ouvrir le port mais ce genre de truc marche nettement mieux avec UDP qu'avec TCP et là encore je vois rien dans ce domaine. Comme d'ab, quelqu'un me corrige si je dis des foutaises. Donc, si chacun ici passait un peu le balai devant sa porte au lieu du status quo omniprésent qui consiste à tolérer les hébergeurs du dimanche (quand ce n'est pas les aider), ça pourrait faire une différence. Ce n'est pas un miracle, ni la solution complète. Mais demandez donc autour de vous comment on se fait contaminer: non j'étais pas en train de lire mon mail. Non j'étais pas en train de surfer les sites de films de cul. J'étais en train de googler quelque chose à propos du whisky qui contient 2/3 de whisky et 1/3 d'eau ferrugineuse et tout d'un coup il y a toutes ces fenêtres qui se sont ouvertes. Typique: contamination par merdiciel sur un serveur web chez un hébergeur du dimanche. Cà, c'est le merdiciel brutal. Le merdiciel subtil (genre rootkit) s'installe sans que l'utilisateur s'en aperçoive, mais de la même façon. > Guillaume Barrot a écrit: > Question con mais qui maintient la liste des bogons chez Cymru ? Par quelqu'un de Team Cymru, et tous ces braves gens ont le respect de la plupart des opérateurs américains, et le mien. En ce qui concerne les bogons originaux (v4, au niveau /8) c'était fait à la main (çà ne changeait pas si souvent que çà). En ce qui concerne les fullbogons, je ne connais pas les détails techniques mais vu la taille de l'animal (5500 routes en IPv4 et 49000 routes en IPv6) ça parait évident qu'il y a un automatisme qui analyse les bases de données des RIRs. > Ceci etant dit, j'observe qu'il y a quelques années un honeypot > / honeynet maintenu par la communauté tournait, et que ca n'a > plus le clair d'etre le cas actuellement. Du quel parles-tu? Un lien? Michel. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
