Z'auriez pas vu des scans sur le port 27347, par hasard ?
Moi non, mais eux, oui : http://www.mynetwatchman.com/tpincr.asp http://www1.dshield.org/port_report.php?port'347
Si oui, z'auriez pas une idée sur le pourquoi du comment ?
Il y a 3 ans, un message parlait de SubSeven sur ce port: http://archives.neohapsis.com/archives/iss/2000-q4/0197.html
Il traine quelques autres exemples dans les archives...
-- http://arboi.da.ru FAQNOPI de fr.comp.securite http://faqnopi.da.ru/
Bertrand
Salut,
Il y a 3 ans, un message parlait de SubSeven sur ce port: http://archives.neohapsis.com/archives/iss/2000-q4/0197.html
Le port "nominal" de SubSeven est 27374.
Ca pourrait pourquoi pas etre un ou deux allumés qui ont un peu trop bu (ou pas assez dormi ?) qui ont lancés un scan de grande envergure a la recherche de machines infectées par SubSeven, mais qui au lieu de taper 27374 ont tapés 27347... quoi que 350 sources, c'est un peu beaucoup. Maintenant, il faut voir ce qu'on appelle sources: adresses IP uniques ? Avec les dialup qui scannent, et les zombies IRC qui s'y mettent, ca fait pas tant que ca finalement.
Ce qui explique tout le remue menage sur toutes les listes de secu; le port 27374, on n'y fait meme plus gaffe (ya qu'a voir les stats de ce port), mais le port 27347, c'est nouveau. D'ailleurs c'est rigolo de voir comment tout le monde s'excite pour un scan de port...
Je parle de scan de port car partir a la recherche de machines trojanisées est une pratique trés courante chez les warlordz de l'IRC, a la recherche de machines où installer leurs zombies... ben oui, il n'y a meme pas besoin de rentrer dans la becane, la porte est deja ouverte. Trés pratique pour eux...
Il existe d'ailleurs au moins un zombie IRC, qui tourne avec mIRC d'ailleurs couplé à un ou deux helpers executables pour planquer le client IRC, qui fait un scan automatique a la recherche de SubSeven, et qui s'auto propage de cette facon (oui, un ver sous mIRC, vous ne revez pas) Pourquoi ne pourrait-il pas y avoir un autre bot dans ce style, mais avec un typo dedans ?
C'est une hypothese comme une autre, meme si ca me semble pas trés plausible, ca reste dans le domaine de l'envisageable...
@+ Bertrand
Salut,
Il y a 3 ans, un message parlait de SubSeven sur ce port:
http://archives.neohapsis.com/archives/iss/2000-q4/0197.html
Le port "nominal" de SubSeven est 27374.
Ca pourrait pourquoi pas etre un ou deux allumés qui ont un peu trop bu
(ou pas assez dormi ?) qui ont lancés un scan de grande envergure a la
recherche de machines infectées par SubSeven, mais qui au lieu de taper
27374 ont tapés 27347... quoi que 350 sources, c'est un peu beaucoup.
Maintenant, il faut voir ce qu'on appelle sources: adresses IP uniques ?
Avec les dialup qui scannent, et les zombies IRC qui s'y mettent, ca fait
pas tant que ca finalement.
Ce qui explique tout le remue menage sur toutes les listes de secu; le
port 27374, on n'y fait meme plus gaffe (ya qu'a voir les stats de ce
port), mais le port 27347, c'est nouveau. D'ailleurs c'est rigolo de voir
comment tout le monde s'excite pour un scan de port...
Je parle de scan de port car partir a la recherche de machines
trojanisées est une pratique trés courante chez les warlordz de l'IRC, a
la recherche de machines où installer leurs zombies... ben oui, il n'y a
meme pas besoin de rentrer dans la becane, la porte est deja ouverte.
Trés pratique pour eux...
Il existe d'ailleurs au moins un zombie IRC, qui tourne avec mIRC
d'ailleurs couplé à un ou deux helpers executables pour planquer le
client IRC, qui fait un scan automatique a la recherche de SubSeven, et
qui s'auto propage de cette facon (oui, un ver sous mIRC, vous ne revez
pas) Pourquoi ne pourrait-il pas y avoir un autre bot dans ce style, mais
avec un typo dedans ?
C'est une hypothese comme une autre, meme si ca me semble pas trés
plausible, ca reste dans le domaine de l'envisageable...
Il y a 3 ans, un message parlait de SubSeven sur ce port: http://archives.neohapsis.com/archives/iss/2000-q4/0197.html
Le port "nominal" de SubSeven est 27374.
Ca pourrait pourquoi pas etre un ou deux allumés qui ont un peu trop bu (ou pas assez dormi ?) qui ont lancés un scan de grande envergure a la recherche de machines infectées par SubSeven, mais qui au lieu de taper 27374 ont tapés 27347... quoi que 350 sources, c'est un peu beaucoup. Maintenant, il faut voir ce qu'on appelle sources: adresses IP uniques ? Avec les dialup qui scannent, et les zombies IRC qui s'y mettent, ca fait pas tant que ca finalement.
Ce qui explique tout le remue menage sur toutes les listes de secu; le port 27374, on n'y fait meme plus gaffe (ya qu'a voir les stats de ce port), mais le port 27347, c'est nouveau. D'ailleurs c'est rigolo de voir comment tout le monde s'excite pour un scan de port...
Je parle de scan de port car partir a la recherche de machines trojanisées est une pratique trés courante chez les warlordz de l'IRC, a la recherche de machines où installer leurs zombies... ben oui, il n'y a meme pas besoin de rentrer dans la becane, la porte est deja ouverte. Trés pratique pour eux...
Il existe d'ailleurs au moins un zombie IRC, qui tourne avec mIRC d'ailleurs couplé à un ou deux helpers executables pour planquer le client IRC, qui fait un scan automatique a la recherche de SubSeven, et qui s'auto propage de cette facon (oui, un ver sous mIRC, vous ne revez pas) Pourquoi ne pourrait-il pas y avoir un autre bot dans ce style, mais avec un typo dedans ?
C'est une hypothese comme une autre, meme si ca me semble pas trés plausible, ca reste dans le domaine de l'envisageable...
@+ Bertrand
Bertrand
Salut,
Il existe d'ailleurs au moins un zombie IRC, qui tourne avec mIRC d'ailleurs couplé à un ou deux helpers executables pour planquer le client IRC, qui fait un scan automatique a la recherche de SubSeven, et qui s'auto propage de cette facon (oui, un ver sous mIRC, vous ne revez pas) Pourquoi ne pourrait-il pas y avoir un autre bot dans ce style, mais avec un typo dedans ?
L'histoire d'un truc qui se propage tout seul n'est peut etre pas si bete (gniark gniark =)):
On y lit: "can spread using kazaa, kuang2 (port 17300) and sub7 (port 27347)."
Alors soit ce sont les gars de McAfee qui se sont trompés en copiant le port, soit c'est le mec qui a ecrit le virus qui a inversé les lettres et les types de McAfee qui n'ont pas remarqué le typo, soit il existe un nouveau sub7 qui ecoute sur le port 27347.
Qui vient departager ?
En tout cas ca pourrait expliquer l'augmentation d'activité, meme si elle est un peu rapide.
@+ Bertrand
Salut,
Il existe d'ailleurs au moins un zombie IRC, qui tourne avec mIRC
d'ailleurs couplé à un ou deux helpers executables pour planquer le
client IRC, qui fait un scan automatique a la recherche de SubSeven, et
qui s'auto propage de cette facon (oui, un ver sous mIRC, vous ne revez
pas) Pourquoi ne pourrait-il pas y avoir un autre bot dans ce style, mais
avec un typo dedans ?
L'histoire d'un truc qui se propage tout seul n'est peut etre pas si bete
(gniark gniark =)):
On y lit:
"can spread using kazaa, kuang2 (port 17300) and sub7 (port 27347)."
Alors soit ce sont les gars de McAfee qui se sont trompés en copiant le
port, soit c'est le mec qui a ecrit le virus qui a inversé les lettres et
les types de McAfee qui n'ont pas remarqué le typo, soit il existe un
nouveau sub7 qui ecoute sur le port 27347.
Qui vient departager ?
En tout cas ca pourrait expliquer l'augmentation d'activité, meme si elle
est un peu rapide.
Il existe d'ailleurs au moins un zombie IRC, qui tourne avec mIRC d'ailleurs couplé à un ou deux helpers executables pour planquer le client IRC, qui fait un scan automatique a la recherche de SubSeven, et qui s'auto propage de cette facon (oui, un ver sous mIRC, vous ne revez pas) Pourquoi ne pourrait-il pas y avoir un autre bot dans ce style, mais avec un typo dedans ?
L'histoire d'un truc qui se propage tout seul n'est peut etre pas si bete (gniark gniark =)):
On y lit: "can spread using kazaa, kuang2 (port 17300) and sub7 (port 27347)."
Alors soit ce sont les gars de McAfee qui se sont trompés en copiant le port, soit c'est le mec qui a ecrit le virus qui a inversé les lettres et les types de McAfee qui n'ont pas remarqué le typo, soit il existe un nouveau sub7 qui ecoute sur le port 27347.
Qui vient departager ?
En tout cas ca pourrait expliquer l'augmentation d'activité, meme si elle est un peu rapide.
