Le net au ralenti...

Statut
N'est pas ouverte pour d'autres réponses.

TheDevilS

From HELL
Heureusement que Vossey dispose de sa propre équipe de choc, ca va nous permettre de vous expliquer le pourquoi du comment de ce ralentissement de l'internet : site inaccessible ou très difficilement.

Pour ceux qui s'en rappellent encore, il y avait déjà eu un tel problème, ça date de quelques mois et le problème venait d'une attaque sur les serveurs (je ne me souviens plus du chiffre exact, mais ca devait être une dizaine) du World Wide Web, ceux par qui on passe pour visualiser l'internet. Ils avaient été attaqués simultanément par des membres présumés du groupe ALkaida, ce qui avait rendu le net quasiment inaccessible dans sa totalité.

Suite à cela, aujourd'hui, de la même manière que la précédente, plusieurs groupes de hackers ont fait une attaque de masse de grande envergure en s'attaquant cette fois-ci aux routeurs avec des attaques DoS via le port 1433 et grâce au ver SQLsnake.

Extrait de la news Zataz.com:
'Depuis ce matin, 10 heures, une attaque de masse d'un ou de plusieurs groupes pirates est en train de mettre à mal le réseau des réseaux. Déjà plusieurs gros serveurs tel que Unet, Level 3, Ld Com ou encore H.P. sont hors service. L'attaque, subdivisées, vise l'Asie, l'Europe et le Pacifique au moment ou nous écrivons ces quelques lignes.
Depuis quelques semaines déjà, sur le réseau Darknet, les pirates parlaient d'une attaque de masse.

Si vous n'êtes pas insensible à ce qui se passe, je vous conseille de lire ces quelques brèves informations qui font le point sur la situation.

1/ http://www.inpact-hardware.com/actualites.php3#id_news_8319
2/ http://www.zataz.com/zatazv7/news.php?id=2248
3/ http://forum.lazonepc.net/viewtopic.php?t=1252

Concernant l'indisponibilité des sites comme Hardware.fr, ou Presence-PC, ils semblent être en maintenance donc gageons pour qu'ils reviennent au plus vite sur la scène :)


Source vossey
 

zine

zoline
En raison d'un trop grand nombre de visiteurs d'un coup, nous mettons cette page pour le moment pour vous faire suivre en temps réel les probléme qui vise le réseau des réseaux depuis ce matin.

Depuis 10 heures, nous vous faisons suivre une attaque de masse d'un ou de plusieurs groupes pirates. Un DDoS qui est en train de mettre à mal le réseau des réseaux.
Déjà plusieurs gros serveurs tel que Unet, Level 3, Ld Com ou encore H.P. sont hors service.
L'attaque, subdivisées, vise l'Asie, l'Europe et le Pacifique au moment ou nous écrivons ces quelques lignes.
La France a aussi été touchée de maniére assez forte avec des probléme chez Wanadoo, E-nexus, ...

Depuis plusieurs mois des "essais" d'attaques, comme le Déni de Service Distribué à l'encontre des root-serveurs ou encore UltimatDNS ont montré que des actions se préparaient.

L'attaque semble provenir d'un ddos basées sur un ver SQL nommé Snake, connu depuis depuis plusieurs mois.
Depuis quelques semaines déjà, sur le réseau Darknet, les pirates parlaient d'une attaque de masse.
On tente de savoir pourquoi ce samedi, mais le week-end, pas grand monde travaille, donc ca aide pour mettre le foin.
Ce virus nommé SnakeSql passait par le port 1433 au moment de sa découverte, en mars 2002.

Microsoft avait publié une alerte au sujet d'un probléme de sécurité qui visait sa version SQL 7 et son serveur de SQL 2000.
Les potes à Bill avait expliqué, qu'un code malveillant appelé à l'époque Voyager Alpha Force, se promenait sur le réseau et volait les mots de passe des comptes d'administrateur.

Ce virus avait touché à l'époque, dés son apparition, plus de 2 000 serveurs. Cette faille sql est utilisée par les forums warez pour faire des espaces de stockage. Les serveurs sous Os Linux, Microsoft, ... sont touchés.

Les pays, pour le moment, les plus touchés sont : Les Etats-Unis, le Canada, la France, le Taiwan et la Chine, ...
Les ports d'origines sont le 1433, 1434. Il semble aussi que le snake tape du côté du 4662.
Chose rigolote les groupes warez utilisent cette même faille depuis plusieurs mois, voir le ZATAZ Papier 3, afin de placer leurs contrefaçons sur les serveurs piratés.

Nous allons vous tenir au courant, 1/4 heure par 1/4 d'heure sur l'évolution de la situation.

Désolé pour la lenteur de ZATAZ, mais 500 visiteurs secondes, on a eu du mal :)


Source : www.zataz.com
 

Soro

Elite
[GeX a dit:
MaxKilleR]Heureusement que Vossey dispose de sa propre équipe de choc, ca va nous permettre de vous expliquer le pourquoi du comment de ce ralentissement de l'internet : site inaccessible ou très difficilement.

Pour ceux qui s'en rappellent encore, il y avait déjà eu un tel problème, ça date de quelques mois et le problème venait d'une attaque sur les serveurs (je ne me souviens plus du chiffre exact, mais ca devait être une dizaine) du World Wide Web, ceux par qui on passe pour visualiser l'internet. Ils avaient été attaqués simultanément par des membres présumés du groupe ALkaida, ce qui avait rendu le net quasiment inaccessible dans sa totalité.

Suite à cela, aujourd'hui, de la même manière que la précédente, plusieurs groupes de hackers ont fait une attaque de masse de grande envergure en s'attaquant cette fois-ci aux routeurs avec des attaques DoS via le port 1433 et grâce au ver SQLsnake.

Extrait de la news Zataz.com:
'Depuis ce matin, 10 heures, une attaque de masse d'un ou de plusieurs groupes pirates est en train de mettre à mal le réseau des réseaux. Déjà plusieurs gros serveurs tel que Unet, Level 3, Ld Com ou encore H.P. sont hors service. L'attaque, subdivisées, vise l'Asie, l'Europe et le Pacifique au moment ou nous écrivons ces quelques lignes.
Depuis quelques semaines déjà, sur le réseau Darknet, les pirates parlaient d'une attaque de masse.

Si vous n'êtes pas insensible à ce qui se passe, je vous conseille de lire ces quelques brèves informations qui font le point sur la situation.

1/ http://www.inpact-hardware.com/actualites.php3#id_news_8319
2/ http://www.zataz.com/zatazv7/news.php?id=2248
3/ http://forum.lazonepc.net/viewtopic.php?t=1252

Concernant l'indisponibilité des sites comme Hardware.fr, ou Presence-PC, ils semblent être en maintenance donc gageons pour qu'ils reviennent au plus vite sur la scène :)


Source vossey
A quoi sa leur sert tain...
Si ils ont plus le net, ils pourront plus rien faire ...
Y a vraiment de gros boulz bordel :evil:
 
1er
OP
TheDevilS

TheDevilS

From HELL
kler mes pour un bon packet de tune on est pret a tout faire
 

Reload

motard casqué
aaaaah c'est donc pour ça que la plupart des sites de culs sont lent ces derniers jours :mrgreen:
 

KrYpt0niC

Touriste
zataz est down ...





je crois que vous comprenez pas tous l'ampleur d'une telle attaque ...
 
G

Guest

ex membre
Bon alors apparement ce serait une attaque similaire a celle de l'ete 2001 avec "code red" , sauf que la a mon avis ils ont fait tombés un nombre incroyable de serveurs....
rapidos , Code red exploitait une vulnérabilité sur le serveur web de win32 le fameux "IIs" , donc si vous n'avez pas de systemes NT chez vous avec des serveurs web qui tournent , y'a pas de dangers...

///source fr.comp.secu/////

De : Alain Thivillon <at@rominet.net>
Société : Rominet Networks Inc.
Groupes de discussion : fr.comp.securite
Date : 25 Jan 2003 10:47:12 GMT
Objet : Gros DOS en cours via MS-SQL

Bonjour,

Un worm assez méchant se propage via MS-SQL en envoyant des millions de
paquets UDP. Sur une classe C filtrée, je compte 28000 paquets depuis ce
matin 6h00.

Sur un acces ADSL wanadoo, je compte environ 1 paquet de 376 octets par
minute,
donc je vous laisse calculer le débit total que ça doit faire pour Wanadoo.

# tcpdump -i ng0 -n port 1434
tcpdump: listening on ng0
11:16:53.759193 152.16.20.190.1600 > 81.48.116.160.1434: udp 376
11:22:09.279231 64.70.191.20.1641 > 81.48.116.160.1434: udp 376
11:22:39.030999 131.96.128.22.41557 > 81.48.116.160.1434: udp 376
11:25:34.155890 218.30.21.124.1075 > 81.48.116.160.1434: udp 376
11:27:01.111422 209.67.168.224.3023 > 81.48.116.160.1434: udp 376
11:27:16.138716 81.31.32.31.1241 > 81.48.116.160.1434: udp 376
11:28:01.383357 212.227.122.37.2268 > 81.48.116.160.1434: udp 376
11:31:46.723654 208.18.48.112.4134 > 81.48.116.160.1434: udp 376
11:32:17.168548 24.158.63.7.2133 > 81.48.116.160.1434: udp 376
11:36:06.886232 137.248.91.153.2120 > 81.48.116.160.1434: udp 376
11:37:42.145494 200.39.150.252.4803 > 81.48.116.160.1434: udp 376
11:39:32.446851 204.108.64.10.2544 > 81.48.116.160.1434: udp 376
11:40:12.036591 195.251.232.79.2155 > 81.48.116.160.1434: udp 376
11:40:58.230823 210.12.92.158.1084 > 81.48.116.160.1434: udp 376

Que pouvez vous faire:

- si vous avez un serveur SQL Microsoft ouvert sur Internet (faut deja
pas être bien), vérifier que vous avez appliqué le correctif pour la
vulnérabilité décrite au mois de Juillet:
http://www.intelenet.net/news/mssql-udp.txt

- si vous etes ISP, vous pouvez filtrer les paquets qu'emettent
vos client vers le port UDP 1434.

- si vous etes un opérateur Internet avec de gros tuyaux, vous n'avez
plus qu'a prier.

- si vous etes un utilisateur personnel, vous n'avez plus qu'a
configurer votre firewall pour qu'il cesse de journaliser ses paquets,
sinon vous allez remplir votre disque :)


/////source : OVH (hebergeur (l'un des plus gros pour les serveurs mutualisés...)////



Salut,

Nous avons eu un grave problème depuis 6h30 environ sur
notre reseau. Le routeur n'arrivait plus à monter les
sessions bgp même après plusieurs reboot, changement
de firmware etc. Une carte mere du routeur (carte MSM) a grillé
au passage. pas grave puisqu'on a en 2 qui fonctionnent en spare.
Nous avons finalement décidé de reprendre les sessions bgp sur
les routeurs de FreeT pour refaire fonctionner les installations
et isoler problème par problème. Le routage est revenu vers 10h,
mais une surcharge anormale continuait à rendre la
connexion difficile. Nous avons isolé reseau interne
par reseau (switch par switch). Une attaque faite par
plusieurs machines hébergées sur notre reseau (les serveurs
dédiés) a saturé le routeur principal (800Mbs) et a cassé
les sessions bgp. Les machines qui attaquaient ont été
hackées et il s'agit e 4 machines sous windows nt (on en
5-6 seulement en tout !). L'attaque a été fait en broadcast
sur plusieurs classe /24 ce qui a permit d'avoir avec 400Mbs
initiaux les 800Mbs de flood qui ont cassé le routeur.
Nous avons debranché par precautions toutes les machines
nt et verifier exactement le type des packets.

Nous allons reprendre les sessions bgp sur notre routeur
dans la journée. D'autre part, nous allons acheter lundi
un 2ème blackd full (comme le principal) et monter tous
les switchs de distribution en ospf sur les 2 routeurs
en parallele. Une securisation bgp sera faite sur ce 2ème
blackd et sur hebus qui est sur th2 (par les 2 fibres).
Toutes ces securisations ont été déjà programmées et
devaient se faire d'un jour à l'autre ! grr :/

D'autre part, par défaut aujourd'hui la configuration
ethernet des serveurs dédiés est de 100Mbs alors qu'il y a
très peu des machines qui ont besoins plus de 10Mbs.
Nous allons donc changer la syncro à 10Mbs full duplex
et passer à 100Mbs seulement au besoins.

Octave


/////EN Corée//////

samedi 25 janvier 2003, 9h59

Mobile
Yahoo! Mobile Toute l'actualité sur votre mobile.

A c t u a l i t é s
· Informatique
· Internet
· Jeux
· Photos
J e u x
Yahoo! Jeux
À vous de jouer !
L o g i t h è q u e
Yahoo! Logithèque
Jeux et logiciels
à télécharger !
C o m m u n a u t é
Yahoo! Groupes
Créez votre communauté
branchée Internet
F i n a n c e
Toute l'actualité des
valeurs Internet
sur Yahoo! Finance
L'internet bloqué en Corée du Sud, des pirates soupçonnés

SEOUL, 25 jan (AFP) - Les réseaux internet à haut débit ont été bloqués samedi en Corée du Sud, provoquant la pire panne qu'ait connue un des pays les plus informatisés du monde, ont déclaré des ingénieurs des télécoms.

Tous les services du web, dont les lignes de Korea Telecom, étaient paralysés et les experts soupçonnaient un acte de pirates de l'informatique.

Les responsables des télécommunications ont entrepris de mettre en place des systèmes de soutien.

/////Aux US/////

Le réseau Internet affecté par une attaque électronique

WASHINGTON (AP) - Le trafic sur Internet a été ralenti de manière importante samedi matin, conséquence probable d'une infection qui s'est propagée rapidement sur le réseau informatique mondial, et qui pourrait être dû à un virus.

Des sites surveillant le fonctionnement d'Internet ont fait état de ralentissements importants sur le réseau planétaire.

Selon des experts, cette attaque électronique présente des similarités importantes avec le virus "Code rouge" qui, pendant l'été 2001, avait aussi perturbé une grande partie du trafic. AP


Y'a une courbe de saturation ici , j'ai pas reussi a la voir le serveur est OUT ;)))


c'est tout pour l'instant........................................................................... ; )

Il semble aussi que le snake tape du côté du 4662
Sauf erreur de ma part mais le port 4662 est utilisé par la mule !!!

En belgique, Skynet ferme des connections suspecte. Toutes les connections ayant un traffic trop important sont maintenant fermée afin de protéger le réseau de l'attaque qui à lieu en ce moment.

Derniere news :
En france, ils viennent de rendre l'âme

Root server Doozer down
http://f.root-servers.org/dozer.html
drew à l'air de s'éteindre
http://f.root-servers.org/drew.html
gjob est éteint
http://f.root-servers.org/gjob.html
 

Carambar

Elite
nocturne a dit:
Nous avons eu un grave problème depuis 6h30 environ sur
notre reseau. Le routeur n'arrivait plus à monter les
sessions bgp même après plusieurs reboot, changement
de firmware etc. Une carte mere du routeur (carte MSM) a grillé
au passage
. pas grave puisqu'on a en 2 qui fonctionnent en spare.
:D
 

ketum

Touriste
font chier grave ./.
ma mule avance presque plus :D
 

XKisssss

aka Mireille is back !
[ON-FIRE a dit:
]font chier grave ./.
ma mule avance presque plus :D
kler moi aussi

je me demandais pourquoi

maintenant je comprends :twisted: :twisted: :evil: :evil:
 

Leguman

no times
j en ai entendu parler au journal mais n avait po eu entendu le reportage du debut, donc suis content de lire ce que vous avez posté , et franchement ca fait peur moi je dis ....Je c pas ce qui se passe mais comme on dit " Le monde part en couille grave la ! " quel est notre avenir meme si ce n est pas le sujet du thread mais bon ptit "incidents" sur ptit "incidents" on fini vraiment par douter
Mais ce que je me demande c'est quel est l intention de gens derrierent tout ca ???? qui quoi et pourquoi ??,




euh ceci dit , je ne ressens encore aucun prob nivo web ....enfin fo dire que c limiter surf genre .be .fr etc etc pas trop site commerciaux moi
 

John__

Touriste
boh,a défaut d'avoir une meuf faut bien qu'ils se trouvent qques chose d'excitants a faire...




...ils vont encore mettre ca sur la recherche d'information je présume? mouarf ridicule...

les hackers sont trop des merdes.
 

Tibus

Touriste
Bah ce genre d'attaque permettra au moins à prouver, à mon patron notamment, qu'un VPN sur internet est loin d'être aussi fiable qu'on ne le croit et que rien ne vaut une bonne ligne louée ...

Faudrait que le net soit indisponible un jour ou deux tiens :)
 

titloup

Elite
Il est où le petit malin qui a fait ça que je le HS au couteau... :evil:
 

Leguman

no times
29/01/2003 - numéro 11

Liens utiles


Internet Info & Help Center

Skynet Security Pack
Info virus


www.belgacom.be

privé
professionel
support ADSL
votre facture en ligne




Chère Madame,
Cher Monsieur,

Vous avez devant les yeux le premier exemplaire du “Security Watch”, une newsletter qui vous informe des nouveaux virus apparus sur l’Internet et qui, en cas de besoin, vous offre une solution afin de les supprimer.

Cette première édition est dédiée au virus ver W32.Yaha.K@mm. Vous trouverez ci-dessous tous les détails relatifs à ce virus. Nous vous prévenons d’ores et déjà que celui-ci affecte la vitesse de nos serveurs, ce qui diminue la qualité des prestations fournies. Concrètement, cela signifie que nos services Internet peuvent être momentanément plus lents que d’ordinaire.

Nous vous invitons à parcourir et à conserver les informations mentionnées ci-dessous et surtout à mettre à jour votre programme anti-virus (via par exemple LiveUpdate™). Contrôlez également si votre disque dur est infecté grâce à votre software anti-virus.

Attention ! Si vous souhaitez recevoir les prochaines parutions du Security Watch, nous vous invitons à vous y abonner gratuitement à partir du mois de février.


Fiche de W32.Yaha.K@mm

Type de virus Ver (worm virus)
Charactéristics Expediteur - variable
Titre - variable
Attachment - variable
Message - variable
Danger Elevé - Moyen - Bas
Systèmes d'exploitation affectés Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me
Solution Removal tool





xComment reconnaître un virus ver ?

Un virus ver infecte votre ordinateur par le biais de votre programme mail. Vous pouvez reconnaître un message électronique infecté comme suit :

le sujet (un des suivants) :
Are you a Soccer Fan ?
Are you beautiful
Are you in Love

Cliquez ici pour disposer d'un aperçu des différentes possibilités.


le message (un des suivants) :
hey,
did u always dreamnt of hacking ur friends hotmail account..
finally i got a hotmail hack from the internet that really works..
ur my best friend thats why sending to u..
check it..just run it..enter victim s address and u will get the pass.
hi,
check the attached love screensaver
and feel the fragrance of true love.

Cliquez ici pour disposer d'un aperçu des différentes possibilités.


Le fichier joint ("attach") (un des suivants) :
Beautifull.scr
Be_Happy.scr
Body_Building.scr

Cliquez ici pour disposer d'un aperçu des différentes possibilités.






xQuel est le danger ?

W32.Yaha.K@mm agit comme suit :

Il s'envoie vers tous les correspondants de votre carnet d'adresses ;
Il inverse les fonctions des boutons de droite et gauche de votre souris à chaque 22 mars et 25 mai ;
Il alterne les fonctions en cours de votre programme anti-virus installé ;
Il installe de nouveaux fichiers qui modifient les paramètres de votre système d'exploitation ;
Il adapte la page de démarrage de votre logiciel de navigation vers le site http://www.infopak.gov.pk et tente de charger la page à plusieurs reprises. Ceci a pour conséquence de rendre la page inaccessible, c'est ce qu'on appelle une DoS-attaque (Denial-of-Service).
Ce sont les effets directs. Ensuite, apparaissent les conséquences imprévues. Ce site web http://www.infopak.gov.pk a entre-temps été désactivé et réactivé à plusieurs reprises. C'est pourquoi, lorsque vous ouvrirez votre logiciel de navigation, il est possible que la mention "Page cannot be displayed" apparaisse. Votre ordinateur tentera malgré tout de se connecter à cette url, ce qui aura pour conséquence de surcharger nos serveurs.

Concrètement cela signifie que nos services Internet peuvent être momentanément plus lents que d'ordinaire.







xComment ôter ce virus ?

W32.Yaha.K@mm peut heureusement être facilement éliminé grâce au "Removal Tool" de Symantec (cliquez ici pour le télécharger). Dès que vous l'avez téléchargé, vous devez double-cliquer sur le fichier qui porte le nom " FixYaha.com".

Cette application s'exécute ensuite comme suit :


Stopt alle virale W32.Yaha.E@mm-, W32.Yaha.F@mm-, W32.Yaha.K@mm- en W32.Yaha.L@mm-processen ;
Verwijdert alle virale W32.Yaha.E@mm-, W32.Yaha.F@mm-, W32.Yaha.K@mm- en W32.Yaha.L@mm-bestanden ;
Herstelt de registry die gewijzigd werd door het wormvirus.
Attention ! Nous insistons également sur le fait que les utilisateurs de Windows XP et Windows Me doivent redémarrer leur ordinateur en "Safe mode" et provisoirement désactiver l'option "System Restore" de leur système d'exploitation (cliquez ici pour Windows Me ou cliquez ici pour Windows XP) avant d'exécuter l'application.
Windows Me/XP utilise cette option afin de réparer des fichiers à l'aide de copies. Si votre ordinateur est infecté d'un virus, le " System Restore " pourrait également faire une copie du virus et ensuite, réinstaller un fichier infecté sur votre PC.



maill envoyer par skynet isp c 100% publicitaire?? me pose des questions avec ceux la ...gros coup de pub?? pour les pack secu!
 

hagen

Winners train, Losers complain.
c'est bizarre chez moi ça marche bien
 
Statut
N'est pas ouverte pour d'autres réponses.
Haut