=================================================================== 

    Bulletin hebdomadaire du CERT Renater (certsvp@renater.fr)

===================================================================

  Bonjour,

  Durant la semaine du 16 mars au 23 mars 2000, 83 incidents
nous ont ete signales et traites.

  Nous notons cette semaine une diversification des types d'attaques,
une seule compromission est a deplorer via le compte lp, 4 incidents de
deni de service sont a signaler dont 2 attaques smurf icmp, un par envoi
massif de mail et un flood echo (port 7/udp). 

  Parmi les scans, la repartition est la suivante :

-  13 scans sur le port 111/tcp (sunrpc - portmapper)
-  8 scans sur le port 53/udp (dns)
-  5 scans icmp
-  7 scans et tentatives de connexion sur le port 21/tcp (ftp)
-  6 scans sur les ports 80/1080/8080/3128 /tcp (http et proxies)
-  7 scans sur le port 143/tcp (imap2)
-  3 scans sur le port 25/tcp (smtp)
-  4 scans sur le port 110/tcp (pop3)
-  3 scans sur le port 1243/tcp (BackDoor-G, SubSeven, SubSeven
Apocalypse)
-  3 scans sur le port 31337/udp ("Back Orifice")
-  3 scans sur le port 31789/udp ("Hack'a'Tack")
-  3 scans sur le port 137/udp (netbios-ns)
-  3 scans sur le port 109/tcp (pop2)
-  3 scans sur le port 119/tcp (nntp)
-  2 scans differents sur les ports 28431 et 27374 restent
     sans explication.
-  1 scans sur le port 23/tcp (telnet)


  Cette semaine, un seul scan sur le port 23 a ete signale. 
Pour les scans la tendance est la recherche de failles et la presence de
chevaux de troie.

  A noter egalement, 11 problemes concernant du relayage de spam par le
serveur de mail.

  Nous rappellons que les recommandations des precedents avis au niveau
du filtrage des ports utilises par les rootkits sont plus que jamais
valables.

  Nous rappellons aussi que l'utilisation des outils de deni de service
distribue sont encore d'actualite. Par consequent, au moindre doute,
c'est-a-dire, si vous constatez un trafic icmp tres important sur votre
reseau, ou bien si vous remarquez des scans sur les ports connus des
outils de deni de service distribue (ports 16660, 27444, 27665, 34555,
65000, 65512, 65513), n'hesitez pas a nous contacter.

Cordialement,

=========================================================
+ CERT-RENATER          |                               +
+                       | tel : 01-53-94-20-44          +
+ 151 bd de l'Hopital   | fax : 01-53-94-20-41          +
+ 75013 Paris           | email: certsvp@renater.fr     +
=========================================================

-----------------------------------------------------------------------