Bulletin hebdomadaire du CERT Renater (certsvp@renater.fr) =================================================================== Bonjour, Durant la semaine du 3 mars au 9 mars 2000, 115 incidents nous ont ete signales et traites. Parmi ceux-ci, 6 compromissions sont a deplorer, et 4 autres sont probables. Deux d'entre elles concernent l'installation complete de rootkit*. Parmi les failles exploitees on note bind, pop2, et les sunrpc. Deux attaques en deni de service par mail nous on ete signalees mettant en jeu plusieurs centaines de machines . Parmi les scans, la repartition est la suivante : - 15 scans sur le port 23/tcp (telnet) - 14 scans sur le port 109/tcp (pop2) - 14 scans sur les ports 80/1080/8080/3128 /tcp (http et proxies) - 12 scans et tentatives de connexion sur le port 21/tcp (ftp) - 10 scans icmp - 8 scans sur le port 111/tcp (sunrpc - portmapper) - 8 scans sur le port 53/udp (dns/udp) - 5 scans sur le port 137/udp (netbios-ns) - 5 scans sur le port 143/tcp (imap2) - 3 scans sur le port 110/tcp (pop3) - 3 scans sur le port 12345/tcp ("NetBus") - 3 scans sur le port 31337/udp ("back orifice") - 7 scans sur le port 1/tcp (tcpmux) - 4 scans sur le port 25/tcp (smtp) - 2 scans sur le port 119/tcp (nntp) Cette semaine on remarque une forte recrudescence des ports 23, 109, 21, 80/1080/8080/3128 (http et proxies). A noter egalement, 10 problemes de relayage de spam par le serveur de mail ont ete rapportes. Nous apportons une precision importante relative au message d'alerte CERT-Renater : 2000/ALER005. Les versions du login pirate que nous avons eu ne fonctionnent a priori que sur Linux, BSDI 2.0, FreeBSD, IRIX 6.x, 5.x, Sunos 5.5,5.6,5.7, OSF1/DGUX4.0. Elles ne fonctionnent pas sur SunOS 4.x and 5.4 a priori. Cordialement, ========================================================= + CERT-RENATER | + + | tel : 01-53-94-20-44 + + 151 bd de l'Hopital | fax : 01-53-94-20-41 + + 75013 Paris | email: certsvp@renater.fr + ========================================================= ----------------------------------------------------------------------- * On constate de plus en plus que des rootkits sont installes lors des compromissions. Une nouvelle version de rootkit est sortie le 11 fevrier dernier. Cette version (version 5.0) ecoute par defaut sur le port 12497/tcp,(qu'il convient de fermer) et contient une reprogrammation de login, ps, sshd,netstat, tcpd, ls, chfn, chsh, crontab, du, find, ifconfig, inetd,killall, linsniffer, passwd, pidof, rshd, syslogd, su ,top. Cette version n'a ete testee que sur Linux 2.2.x.