(Courriels de diversion: <remaniements@correspondrait-desarconnent.com> <festoyions@renverra-impetueuse.com> <comprendrais@enorgueillirons-symbolisez.com> <ecorcha@jalonnees-recitait.com> <facultes@moduliez-gondole.com> <reparles@telegraphieraient-profileront.com> <monopolisa@lesait-congolaises.com> <captaient@recopieras-bernais.com> <devisagent@radicale-socialiste-bourrellerie.com> <irriguait@tibetains-allaiteront.com> )
louable intention.Nicolas Figaro wrote: \
Il s'agit de probablement plusieurs centaines de machine zombifiees j'ai la chance d'avoir garde cette trace et d'avoir un element de preuve. si la personne reconnait son IP, en fonction de son systeme le type d'action n'est pas le meme. Si c'est bel et bien un systeme linux, ca signifie au'il y a un trojan /code imnside/ il s'agit de determiner l'application qui est corrompue et de prevenir les developpeurs de toute urgence.
J'ai des centaines d'adresse IP dans le monde entier pour tester le type d'OS par un scan : c'est soit des systemes windows sur lequel il y a un reverse proxy vers une machine linux (http/TCP et DNS/UDP) le serveur http est un apache/debian sur toutes les machines, et le serveur DNS est un serveur MyDNS (qui n'existe que sous *ix) soit des machines linux compromises (*le plus vraisemblable*) sur lesquelles le malware qui imitent la comportement de machine windows. La signature est la meme pratiquement sur tute les victimes:
comportement de chaque victime : serveur http avec une page d'erreur (le pirate s'est plante dans l'adresse de ses scripts php adresse absolue donc les pages ne sont pas servies correctement)
Serveur DNS robuste qui sert en Round Robin 4 adresses de victimes de part le monde quand on pointe la requete sur le domaine du pirate. Sur chacube de ces victimes il y a exactement le meme comportement.
J'ai scanne quelques victimes les signatures sont identiques. nmap reconnait le serveur MyDns et un serveur apache 2 php4 debian.
J'ai signale le bug a l'equipe de securite debian, et la il me faudrait pouvoir exhiber une victime pour connaitre exactement les conditions de l'installation du trojan.
*Si jamais les victimes sont des systemes windows,* ca signifie qu'elles pointent necessairement toutes sur le systeme du pirate j'aimerai bien connaitre son IP pour prevenir son FSI qui ne manquera pas de lui couper son acces vu le nombre de victimes. Quant au Registrar, je ne sais pas quel peut etre son action contre son registrant.
voir <news:1149529763.206104.209980@c74g2000cwc.googlegroups.com>http://groups.google.com/group/news.admin.net-abuse.misc/msg/4d4a0a2af18a0c8a pour plus de detail.
> c'est au FAI de régler cela avec son abonné.
Le FAI ? Quel fai ? celui de /cette/ machine ? Il est prevenu depuis 15 jours.
il est difficile d'aller plus loin dans ce genre de cas; à moins d'un gros coup de chance si l'une des ips source a un enregistrement dns vers un nom de domaine/enregistrement DNS différent d'un nom de fai classique.
pour avoir déjà lors d'une expérience professionnelle précédente envoyé pas mal de mail abuse@domain, je n'ai eu que peu de réponse.
concernant free, déjà que la hotline est saturée, pour ce genre de cas, ça doit être traité avec une priorité moindre.
tu peux éventuellement consulter les forums d'aduf.org ou freeks.org, ou éventuellement les newsgroups de free.
n f
-------------------------------------------------------------------- Les listes de diffusion occultes: <URL:http://www.CULTe.org/listes/>