Reprise du message précédent :
cay la guerre

 
serieux sa fait 1 semaine que je l'ai pas lancé        
 
alors c'est des méchants ??        
 
 

 
c'est ben laden qui attaque  

 
si ta  une ip dynamique c'est normal
celle ci a pu servir a quelqu'un qui se servait justement de kazaa/ edonkey et compagnie

comment je peux voir les activités de mes ports?? (j'utilise un routeur )

 
Il integre pas un firewall ton routeur ?  

et tout ça juste parce qu'il zont reussi a niquer un serveur, celui de uunet surement situé a dallas, et ça fait de putain de repercution dans le monde entier, comme quoi, le net tien a pas grand chose      
 
vivement lundi pour voir l'evolution du nasdaq      
 
perso moi ça me fait marrer, dommage que c pas pris plus d'ampleur, menfin c pas fini        

je sais pas si c'est les memes attaques mais en corée du sud c'étais le foutoir  
 
http://fr.news.yahoo.com/030125/1/2z74u.html
 

Ph34R !!
 
De : Alain Thivillon <at@rominet.net>
Société : Rominet Networks Inc.
Groupes de discussion : fr.comp.securite
Date : 25 Jan 2003 10:47:12 GMT
Objet : Gros DOS en cours via MS-SQL
Bonjour,
Un worm assez méchant se propage via MS-SQL en envoyant des millions de
paquets UDP. Sur une classe C filtrée, je compte 28000 paquets depuis ce
matin 6h00.
Sur un acces ADSL wanadoo, je compte environ 1 paquet de 376 octets par
minute,
donc je vous laisse calculer le débit total que ça doit faire pour Wanadoo.
# tcpdump -i ng0 -n port 1434
tcpdump: listening on ng0
11:16:53.759193 152.16.20.190.1600 > 81.48.116.160.1434: udp 376
11:22:09.279231 64.70.191.20.1641 > 81.48.116.160.1434: udp 376
11:22:39.030999 131.96.128.22.41557 > 81.48.116.160.1434: udp 376
11:25:34.155890 218.30.21.124.1075 > 81.48.116.160.1434: udp 376
11:27:01.111422 209.67.168.224.3023 > 81.48.116.160.1434: udp 376
11:27:16.138716 81.31.32.31.1241 > 81.48.116.160.1434: udp 376
11:28:01.383357 212.227.122.37.2268 > 81.48.116.160.1434: udp 376
11:31:46.723654 208.18.48.112.4134 > 81.48.116.160.1434: udp 376
11:32:17.168548 24.158.63.7.2133 > 81.48.116.160.1434: udp 376
11:36:06.886232 137.248.91.153.2120 > 81.48.116.160.1434: udp 376
11:37:42.145494 200.39.150.252.4803 > 81.48.116.160.1434: udp 376
11:39:32.446851 204.108.64.10.2544 > 81.48.116.160.1434: udp 376
11:40:12.036591 195.251.232.79.2155 > 81.48.116.160.1434: udp 376
11:40:58.230823 210.12.92.158.1084 > 81.48.116.160.1434: udp 376
Que pouvez vous faire:
 - si vous avez un serveur SQL Microsoft ouvert sur Internet (faut deja
   pas être bien), vérifier que vous avez appliqué le correctif pour la
   vulnérabilité décrite au mois de Juillet:
   http://www.intelenet.net/news/mssql-udp.txt
 - si vous etes ISP, vous pouvez filtrer les paquets qu'emettent
   vos client vers le port UDP 1434.
 - si vous etes un opérateur Internet avec de gros tuyaux, vous n'avez
   plus qu'a prier.
 - si vous etes un utilisateur personnel, vous n'avez plus qu'a
   configurer votre firewall pour qu'il cesse de journaliser ses paquets,
   sinon vous allez remplir votre disque
 
 
vous en faites pas

Mouarf la page d'accueil de zataz
 
http://www.zataz.com/
 

mouhahahaahahahaha j'adore, aller vont tout faire peter, c l'anarchie genial, bon jvias voir si jpeut pas aller aider  

C'est un truc de oOf ce qui est entrain de se passer

Est-ce que le fire wall de Windows XP bloque tout ces ports dont vous parlez?

 
oui si j'en crois mes log
 
drop drop  

ben si, mais j'ai pas de log

 
ben si t'a pas ouvert les ports stout bon

 
mais tinkieetteeee pooooo, les particulier risque pas grand chose, il veule pas effacer vos disk dur ou niquer vos pc, il veule jsute niquer le reseau (ou c ptet ce quil veule nous faire croire   ) vous naurez pas non plus de virus.....

 
 
Ok, parce que j'ai que cette merde en Fire Wall, on peut meme pas le configurer comme on veut.

 
Pis microsoft SQL server c'est pas abordable par tt le monde donc ras pour les particuliers
 
sauf les ralentissements biensur

toute ces requete qu'il envoye c juste pour saturé le reseau, et ainsi le faire tombé les gros serveur.
don't be afraid

il est en telechargement gratuitement sur leur site....

de toute facon c'est une telle merde pour acceder a mon pc, meme quand je veux

c'est moi ou cnn.com chie?

c'est toi ou ton FAI

il a fini par loader
 
hfr marche normalement

Je pense que le vers a l'origine du bordel actuel est celui ci
 
http://securityresponse.symantec.c [...] .worm.html
 
 
W32.SQLExp.Worm
 
W32.SQLExp.Worm is a worm that targets servers running Microsoft SQL. Since this worm exists only in memory, it cannot be detected by traditional antivirus scanners. As a result, Symantec Security Response will not be posting virus definitions for this threat.  
 
The worm sends 376 bytes to 1434/udp - the SQL Server Resolution Service Port. Beginning at 5:31am GMT, we started to see a significant increase in the unique number of source IPs scanning for 1434/udp. Symantec Security Response highly recommends all MS-SQL server system administrators to audit their machines for known security vulnerabilities immediately.  
 
Symantec Security Response also recommends configuring perimeter devices to block 1434/udp traffic from untrusted hosts.
 
The worm has the unintended payload of performing a Denial of Service due to the large number of packets it sends out.
 
---------------------------------------------------------------
 
Traduction rapide, ca donne :
W32.SQLExp.Worm est un vers qui prend pour cible les serveurs microsoft SQL. Depuis que ce vers reside uniquement dans la mémoire, il ne peut etre détecté par des antivirus classiques. De ce fait, Symantec se voit dans l'impossibilité de fournir une définition de virus.
 
Ce vers envoie 376 octets sur le 1434/udp - Port du service sql de microsoft. Commence a 5:31 gmt, nous avons commencé a observer une augmentation significative du nombre d'ips scanné sur le port 1434/udp. Symantec recommande vivement a tous les administrateurs de serveur microsoft SQL d'auditer leurs machines pour connaitre leur vulnerabilite.
 
Symantec conseille aussi de configurer tous les firewall et proxy de manière a bloquer le traffic sur le port 1434/udp venant d'adresse non verifier.
 
Le vers a aussi la fonction non désiré de provoquer des "Denial of Service" (DoS) a cause du nombre important de paquets envoyés.
------------------------------------------------------------
 
Traduction approximative, Dsl

je viens de recevoir le mail de Secuser.com:
 
  S E C U S E R   A L E R T   25/01/03
                http://www.secuser.com/
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
                      SQLSlammer
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
 
1. RESUME DE L'ALERTE
2. SYSTEME(S) CONCERNE(S)
3. PREVENTION
4. DESINFECTION
5. AIDE ET DISCUSSION
6. FAIRE CONNAITRE SECUSER ALERT
7. CONTACTER SECUSER.COM
8. DESABONNEMENT ET CHANGEMENT D'ADRESSE
 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
1. RESUME DE L'ALERTE
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
SQLSlammer un virus qui cible uniquement les serveurs Microsoft SQL Server
2000. Il se présente sous la forme d'un paquet de données de 376 octets à
destination du port 1434 UDP. Si le serveur n'est pas à jour dans ses
correctifs, le ver l'infecte puis scanne abondament le web à la recherche de
serveurs nouveaux vulnérables, d'où une forte consommation de bande passante
et un accès parfois difficile voire impossible à certains sites web.
http://www.secuser.com/alertes/2003/sqlslammer.htm
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
2. SYSTEME(S) CONCERNE(S)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Microsoft SQL Server 2000
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
3. PREVENTION
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Les administrateurs de serveurs Microsoft SQL Server 2000 doivent s'assurer
avoir appliqué le correctif concerné (Q323875) ou au minimum le Service Pack
2. Les utilisateurs ne sont pas directement concernés par cette alerte.
http://www.microsoft.com/technet/s [...] 02-039.asp
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
4. DESINFECTION
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Le ver étant uniquement présent en mémoire, il suffit d'installer le
correctif et de redémarrer le serveur infecté pour éliminer le virus.
http://www.secuser.com/alertes/200 [...] sinfection
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
5. AIDE ET DISCUSSION
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Précédentes alertes virus
http://www.secuser.com/alertes/
Précédents faux virus et autres canulars
http://www.secuser.com/hoax/
Forum de discussion et d'entraide sur les virus informatiques
http://www.secuforum.com/fr.comp.securite.virus/
Antivirus gratuit en ligne
http://www.secuser.com/outils/antivirus.htm
Derniers communiqués sécurité
http://www.secuser.com/communiques/
Dernières nouvelles de la sécurité informatique
http://www.secuser.com/actu/
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
6. FAIRE CONNAITRE SECUSER ALERT
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Si vous pensez que cette lettre et ses services gratuits peuvent être utiles
à un(e) ami(e) ou un collègue, vous pouvez l'inviter à s'abonner ou à
découvrir le site Secuser.com.
http://www.secuser.com/services/invitation/
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
7. CONTACTER SECUSER.COM
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Pour nous transférer copie d'un nouveau virus ou hoax, nous informer d'une
tentative de piratage, nous envoyer vos critiques et suggestions, ou encore
nous contacter à propos de tout autre sujet.
http://www.secuser.com/contact/
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
8. DESABONNEMENT ET CHANGEMENT D'ADRESSE
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Afin d'assurer la gratuité du service, les opérations d'abonnement et de
désabonnement ont été automatisées. Pour vous abonner, changer votre adresse
email ou vous désabonner merci d'utiliser le lien ci-dessous. Vous trouverez
une aide complète sur la gestion de votre abonnement dans la page Contact.
http://www.secuser.com/newsletters/secuser_alert/
http://www.secuser.com/contact/index.htm#newsletters
 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
La liste Secuser Alert est une publication gratuite
du site Secuser.com (http://www.secuser.com/)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Reproduction interdite sans accord écrit préalable
dans le cas d'une utilisation autre que privée
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Copyright (c) 2001-2003 Emmanuel JUD
Secuser est une marque déposée
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

putain c'est pourtant pas complqiuer, il suffirait aux opérateurs télécoms de bloquer tout ce qui passe par ce port et puis voilà

cela n'éliminera pas le probleme

 
Justement si, si chaque admin isole ses serveurs sql et bloque ensuite ce port 1434 sur son routeur d'entré, tout redeviendra normal.

 
pk ?

et si ils ont besoins de leur serveur Sql??

un samedi ?? c pour ca que ca se déroule aujourd'hui

 
Ben ils vont la  
http://www.microsoft.com/Downloads [...] E45CFA6A89
 
et ils appliquent le patch    

 
ça c'est leur merde, on a pas besoin d'en profiter  

 
chuuuuuutttttttttt faut pas le dire  

la conclusion de l'article de CNN est affolante:
 

 
Je pense qu'il est tout à fait possible que ce soit un complot destiné à prouver la nécessité d'une plus grande sécurité --> surveillance du réseau entier, et adoption du système palladium...
et tout cela profite aux vendeurs de firewall/antivirus etc.
il est possible que MS soit à l'origine de cette attaque, afin de créer un climat de "terreur informatique" (ya pas de sang versé mais bon c qd même ça) propice à l'adoption de leur "trustworthy computing" destiné à assurer une domination sans partage du contrôle de l'information.
 
Et qui d'autre que MS connaît aussi bien le fonctionnement de cette faille?

sauf qu'une bonne part des serveurs qui ne sont pas patchés sont en l'occurence mal administrés donc on verra pas la chose avant un certain temps a mon avis ... & pendant ce temps le traffic continuera

Leurs ingénieurs

Je croyais qu'internet était conçu pour résister aux guerres éventuelles car même si un des elements du réseau était détruit, les autres continueraient de fonctionner.