-----BEGIN PGP SIGNED MESSAGE-----

===================================================================

    Bulletin hebdomadaire du CERT Renater (certsvp@renater.fr)

====================================================================


Bonjour,


Durant la semaine du 24/05/2002 au 30/05/2002, 3055 incidents de
securite qui nous ont ete signales ont pu etre enregistres.

Cette semaine 5 cas de machines piratees ont pu etre detectees. 
Quatre de ces machines sont en cours d'analyse.


Attaque sous Windows
 --------------------

Cette machine sous Windows 2000 a ete utilisee comme serveur ftp warez.
Elle contenait un demon shell sans mot de passe en ecoute sur le port 
3127/tcp, ainsi qu'un serveur ftp (servU FTP) pirate en ecoute sur le 
port 65302/tcp contenant des films au format divx.


Attaque sous Solaris
 --------------------

L'analyse d'une ancienne compromission sous Solaris 7 a permis 
de mettre au jour le fichier de configuration du rootkit 
" X-Org SunOS Rootkit v2.5DXE " et complete ainsi sa description:

http://www.cert.uhp-nancy.fr/avis.cfm?an=2002&type=STAT&file=17

Ce rootkit cache dans le repertoire /usr/lib/libX.a contient, par 
defaut, un fichier de configuration  /usr/lib/libX.a/uconf.inv.
Celui-ci permet de cacher l'ensemble des fichiers et des ports suivant:


file_filters=libX.a,lblibps.so,libm.n,modcheck,modstat,wipe,
syn,uconf.inv,ntpstats,solbnc,solegg,soliro

ps_filters=ntpq,rps,srload,modcheck,modstat,lpsys,syn,solegg,
solbnc,soliro

lsof_filters=lp,uconf.inv,rps,:17171,:55838,:5555,:6667,
/usr/lib/libX.a,libm.n,lsof,solegg,solbnc

net_filters=55838,17171,60001,6667,6668,5555


Ce rootkit deplace aussi les commandes d'origine sous:

find=/usr/lib/libX.a/bin/find
du=/usr/lib/libX.a/bin/du
ls=/usr/lib/libX.a/bin/ls
ps=/usr/lib/libX.a/bin/rps
netstat=/usr/lib/libX.a/bin/netstat


Le port 55838 est, dans cet incident, associe a une porte derobee du systeme
(backdoor ssh) cachee dans le fichier /usr/bin/srload.



Attaque de Vers Internet Nimda/ Code Red
 ---------------------------------------

Cette semaine, 2 nouvelles machines de la communaute Renater ont ete
infectees par le ver Nimda.

Pour rappel, tous les systemes avec Microsoft Index Server 2.0
(IIS 4.0 et 5.0) qui n'ont pas encore ete patches sont
potentiellement infectables par ce ver.

Descriptions disponibles sur:

F-Secure Virus Descriptions: NIMDA
http://www.f-secure.com/v-descs/nimda.shtml

CERT Advisory CA-2001-26 Nimda Worm
http://www.cert.org/advisories/CA-2001-26.html




Liste des Scans
 ---------------

Parmi les scans que l'on nous a signales, nous notons:
 - 2916 scans sur le port 80 (www)

 - 689 scans sur le port 1433 ()
 - 64 scans sur le port 21 (ftp)
 - 244 scans sur le port 137 (netbios-ns)
 - 146 scans sur le port 25 (smtp)
 - 119 scans sur le port 22 (ssh)
 - 115 scans de type multiple
 - 109 scans sur le port 53 (domain)
 - 72 scans sur le port 111 (sunrpc)
 - 53 scans sur le port 8080 (webcache)
 - 48 scans sur le port 23 (telnet)
 - 48 scans sur le port 6346 ()
 - 46 scans sur le port 3128 ()
 - 41 scans sur le port 515 (printer)
 - 39 scans sur le port 161 (snmp)
 - 26 scans sur le port 6112 ()
  - 25 scans sur le port 0 ()
 - 24 scans sur le port 1080 (socks)
 - 18 scans sur le port 443 (https)
 - 16 scans sur le port 139 (netbios-ssn)
 - 16 scans sur le port 500 ()
 - 15 scans sur le port 445 ()
 - 12 scans sur le port 6970 ()
 - 10 scans sur le port 524 ()
 - 8 scans sur le port 1524 (ingreslock)
 - 7 scans sur le port 123 (ntp)
 - 7 scans sur le port 9705 ()
 - 7 scans sur le port 31337 ()
 - 5 scans sur le port 135 ()
 - 5 scans sur le port 6635 ()



Scans icmp :
 -----------

 - 93 scans icmp de type echo-request
 - 69 scans icmp de type unknown
 - 19 scans icmp de type ttl-exceeded


Pour les Chevaux de Troie :
 -------------------------

 - 9 scans sur le port 27374 (asp)
 - 5 scans sur le port 12345 ()
 - 5 scans sur le port 65535 ()


L'apparition la semaine derniere du ver "Spida" ciblant les serveur 
microsoft SQL en ecoute sur le port 1433 ne semble pas avoir fait de
victime dans notre communaute. L'activite de ce ver semble retomber
au long de la semaine.

Pour plus d'information, se repporter a l'alerte  2002/ALER004 :
http://www.up.univ-mrs.fr/wcri/d_serv/d_reseau/d_cert/certmsgALER004



Vulnerabilite:
 -------------


Une vulnerabilite du logiciel wu-imapd permet à vos utilisateurs 
d'obtenir un acces privilegie sur un systeme. Nous invitons fortement
les utilisateurs de ce logiciel a appliquer les correctifs requis. 


Avis parus:

RedHat:
http://rhn.redhat.com/errata/RHSA-2002-092.html
   
Mandrake
http://www.linux-mandrake.com/en/security/



Pour info:
 --------


L'operateur KPNQwest a annonce l'arret imminent de son service
aujourd'hui pour cause de faillite.
Il est fort probable que cela entraine des difficultes de 
communication avec de nombreux sites en Europe pendant quelques
temps.



Cordialement,


=========================================================
+ CERT-RENATER          |                               +
+                       | tel : 01-53-94-20-44          +
+ 151 bd de l'Hopital   | fax : 01-53-94-20-41          +
+ 75013 Paris           | email: certsvp@renater.fr     +
=========================================================

-----BEGIN PGP SIGNATURE-----
Version: PGP 7.0.4

iQCVAwUBPPeqTeqKnSvXVOjNAQGGaAP/WYt4J3aDLNySrdjVjNBrF+wD53dT92j5
DHZvAjertOKcoAk5tnyct55JfkqXM74cXm1OyqzM46amk4JH7ev/sAZDEAgwkEqn
+rpz+HmX5ptcxYK8WcyLi6/9aCAiQa1dF7YVptHxhVLjpctKw+1edw7Kn38QysPC
uHiTzuXD6aU=
=FMP8
-----END PGP SIGNATURE-----