Bulletin hebdomadaire du CERT Renater (certsvp@renater.fr)

===================================================================

  Bonjour,

  Durant la semaine du 28 fevrier au 03 mars 2000, 83 incidents
nous ont ete signales.

  Parmi ceux-ci, 1  compromission est a deplorer, un rootkit a ete
installe, mais nous ne connaissons pas actuellement la faille exploitee.

  Une attaque en ftp anonyme conduisant a un deni de service est a
signaler.

Parmi les scans, la repartition est la suivante :

- 12 scans sur le port 111 (sunrpc - portmapper)
- 11 scans sur les ports 80/1080/8080/3128 (http et proxies)
- 6 scans sur le port 109 (pop2)
- 5 scans sur le port 110 (pop3)
- 4 scans icmp
- 4 scans sur le port 31789 ("Hack'a'Tack")
- 3 scans sur le port 53 (dns)
- 3 scans sur le port 137  (netbios-ns)
- 3 scans et tentatives de connexion sur le port 23 (ftp)
- 2 scans sur le port 12345 ("NetBus")
- 2 scans sur le port 2001 ("Trojan Cow")
- 2 scans sur le port 1643 (?)
- 2 scans sur le port 115 (sftp)

  Cette semaine le port 111 est le plus convoite comme les ports
concernant le protocole http 80/1080/8080/3128 (http et proxies) sont
toujours en progression .
 
  Nous avons egalement eu de tres nombreux incidents relatifs a des
tentatives d'amplification de smurf bloquees.

  A noter egalement, 13 problemes de relayage de spam par le serveur de
mail ont ete rapportes. 
Sur ce genre d'incident, vous pouvez consulter le rapport du dernier
Ripe Meeting au lien suivant :

http://www.link.net/noncore/bcp/ube-bcp.html

Concernant les denis de service distribues, une nouvelle version de
Stacheldraht est recemment sortie. Dans cette nouvelle version (v4), 
les communications se font par defaut sur les ports 61111, 65512 et
65513 (tous en tcp).  

Apparemment, apres recherche, il semblerait que les ports 115, 1080,
1643, et 2001 puissent servir de warez*. C'est une information a
prendre au conditionnel.

-----------------------------------------------------------------------

*warez : serveur ftp pirate sur lequel on peut telecharger de nombreux
logiciels.

Cordialement,

=========================================================
+ CERT-RENATER          |                               +
+                       | tel : 01-53-94-20-44          +
+ 151 bd de l'Hopital   | fax : 01-53-94-20-41          +
+ 75013 Paris           | email: certsvp@renater.fr     +
=========================================================