RE: [FRnOG] [TECH] Que faire d'une liste de PCs infectés ?
Denis Fondras a écrit: Tu voudrais refaire http://bgp-spamd.net/ ? Il y a une ressemblance certaine. Manuel demandait quoi faire avec sa liste, j'ai donné mes deux centimes d'euro. Manuel Guesdon a écrit: Et si beaucoup d'opérateurs null-routent ces IPs, Faut pas s'attendre à ce que ça arrive. Les opérateurs de peuvent pas faire çà: ça bloquerait aussi l'accès aux outils de décontamination. Null-router ces IP ce n'est faisable qu'à la périphérie. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Que faire d'une liste de PCs infectés ?
On Wed, 20 Nov 2013 18:52:11 -0800 Michel Py mic...@arneill-py.sacramento.ca.us wrote: | Manuel, combien de PCs dans ta liste? Il y a 37012 IPs dans les listes -MM-DD_HH.timestamped dédupliquées (depuis hier 15h UTC). Manuel -- __ Manuel Guesdon - OXYMIUM --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Que faire d'une liste de PCs infectés ?
Bonsoir, Personnellement, je contacterais le CERTA (http://www.certa.ssi.gouv.fr/) avec tes listes de hosts piratés (et a priori le type de trojan/virus si tu le connais). Le CERTA pourra alors faire passer le message au niveau du FIRST (qui regroupe tous les CERTs) et ainsi les machines auront le maximum de chances imaginables d'être fixées. Cordialement, Philippe Bourcier On 2013-11-21 11:55, Manuel Guesdon wrote: On Wed, 20 Nov 2013 18:52:11 -0800 Michel Py mic...@arneill-py.sacramento.ca.us wrote: | Manuel, combien de PCs dans ta liste? Il y a 37012 IPs dans les listes -MM-DD_HH.timestamped dédupliquées (depuis hier 15h UTC). Manuel -- __ Manuel Guesdon - OXYMIUM --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Philippe Bourcier web : http://sysctl.org/ blog : http://zsysctl.blogspot.com --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Que faire d'une liste de PCs infectés ?
Bonsoir, Si ce projet décolle ce nombre va un peu limiter le déploiement, il y a pas mal de gens qui sont ric-rac sur la TCAM qui ne vont pas prendre. Mais si t'as envie d'essayer Personne ne fait ce genre de chose aujourd'hui? Tu voudrais refaire http://bgp-spamd.net/ ? Denis --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Que faire d'une liste de PCs infectés ?
Manuel Guesdon a écrit: Il y a 37012 IPs dans les listes -MM-DD_HH. timestamped dédupliquées (depuis hier 15h UTC). Si ce projet décolle ce nombre va un peu limiter le déploiement, il y a pas mal de gens qui sont ric-rac sur la TCAM qui ne vont pas prendre. Mais si t'as envie d'essayer Personne ne fait ce genre de chose aujourd'hui? Manu Bourguin a écrit: Questions en rapport indirect avec le sujet initial : - lorsqu'on blacklist une IP derrière laquelle se trouve une machine réputée infectée, combien de temps garde-t-on le flag vérolé ? la machine peut finir par être être remplacée ou le windows réinstallé par le neveu-qui-s-y-connait-bien-en-informatique. Mes €0.02: quelques heures après la dernière détection. Faudrait avoir une page de délistage, aussi. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Que faire d'une liste de PCs infectés ?
On Thu, 21 Nov 2013 20:25:28 +0100 Benjamin BILLON bbil...@splio.fr wrote: | Hum, IMHO, pas forcement besoin de délistage quand la détection est fiable | et | si on a un délai d'expiration assez court... | | | Y a-t-il une récurrence dans les listings ? C'est à dire, est-ce qu'une IP | délistée après une semaine a une chance de revenir, et si oui à quelle | vitesse ? Difficile a dire pour une semaine. D'apres ce que j'ai compris, le trojan se servirait de notre IP (entre autres) pour des tests de blocage ou pas du port 25. Donc une machine qui reste infectée, avec la même ip de sortie continuera à balancer son traffic. Cela dit sur une semaine son IP, si c'est du residentiel, aura probablement changé. Et si beaucoup d'opérateurs null-routent ces IPs, le proprio du pc aura peut-être supprimé le virus ou réinstaller son os. Manuel -- __ Manuel Guesdon - OXYMIUM --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Que faire d'une liste de PCs infectés ?
On Tue, 19 Nov 2013 16:36:34 +0100 Manuel Guesdon ml+fr...@oxymium.net wrote: | On Tue, 19 Nov 2013 14:12:15 +0100 | Manuel Guesdon ml+fr...@oxymium.net wrote: | | Bonjour, | | | | Une de nos IPs est codé dans Trojan-PSW.Win32.Tepfer.sm. | | Du coup on collecte des 10aines de milliers d'IPs correspondants à des | | connections de PCs infectés aux 4 coins de la planete. | | Question: qu'en faire ? | | Spamhaus XBL par exemple n'autorise pas la soumission d'IPs: | | http://www.spamhaus.org/faq/section/Spamhaus%20XBL#96 | | Comme cela semble intéresser, la liste des IPs de la journée passée sera dispo | ici vers 1h: | http://webadmin.oxymium.net/Trojan-PSW.Win32.Tepfer.sm/-MM-DD | exemple: | http://webadmin.oxymium.net/Trojan-PSW.Win32.Tepfer.sm/2013-11-18 | pour les IPs d'hier. | | De façon plus précise, c'est la liste des IPs blacklistées pour cause d'envoi | de données à un serveur SMTP avant que celui-ci n'envoit sa bannière. Dit | autrement: les IPs qui essaient de bourriner le smtpd en se f* du résultat. | Ces IPs seront uniques sur 7 jours a partir d'après-demain. Vu le nombre de téléchargements ca intéresse :-) En plus des fichiers journaliers d'IPs, on génére maintenant vers 10 de chaque heure un fichier des IPs de l'heure précédente avec la date (UTC): http://webadmin.oxymium.net/Trojan-PSW.Win32.Tepfer.sm/-MM-DD_HH.timestamped par example: http://webadmin.oxymium.net/Trojan-PSW.Win32.Tepfer.sm/2013-11-20_15.timestamped contient les données du 20/11 de 15h to 15:59 (UTC) sous la forme: Date[TAB]IP Manuel -- __ Manuel Guesdon - OXYMIUM --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Que faire d'une liste de PCs infectés ?
Manuel Guesdon a écrit: Vu le nombre de téléchargements ca intéresse :-) Ce qui serait sympa ca serait un feed BGP du genre fullbogons, qui annonce ces adresses et qu'on pourrait blackholer directement sur certains routeurs. En d'autre termes, un route-server de PC infectés. Quelque chose comme http://www.spamhaus.org/bgpf/, mais gratuit :P Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Que faire d'une liste de PCs infectés ?
Ce qui serait sympa ca serait un feed BGP du genre fullbogons, qui annonce ces adresses et qu'on pourrait blackholer directement sur certains routeurs. En d'autre termes, un route-server de PC infectés. Questions en rapport indirect avec le sujet initial : - lorsqu'on blacklist une IP derrière laquelle se trouve une machine réputée infectée, combien de temps garde-t-on le flag vérolé ? la machine peut finir par être être remplacée ou le windows réinstallé par le neveu-qui-s-y-connait-bien-en- informatique. - quelles sont les pratiques en cours actuellement concernant IPv6 ? on bloque tout un range, au risque d'impacter des machines saines derrière le même routeur, ou c'est individuel ? (ou bin ça dépends) Le 20 novembre 2013 21:31, Michel Py mic...@arneill-py.sacramento.ca.us a écrit : Manuel Guesdon a écrit: Vu le nombre de téléchargements ca intéresse :-) Ce qui serait sympa ca serait un feed BGP du genre fullbogons, qui annonce ces adresses et qu'on pourrait blackholer directement sur certains routeurs. En d'autre termes, un route-server de PC infectés. Quelque chose comme http://www.spamhaus.org/bgpf/, mais gratuit :P Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Manu Bourguin / Thy --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Que faire d'une liste de PCs infectés ?
Michel, Avec ExaBGP, il est possible d'écrire ce logiciel très rapidement. Une interface web, avec une API REST, une base de donnée, et un petit script pour ExaBGP pour annoncer les mises a jours. Si il y a des gens qui sont partant pour le projet, je suis prêt a aider avec l'integration d'ExaBGP (et herberger le service si ca aide). Thomas On 20 Nov 2013, at 20:31, Michel Py mic...@arneill-py.sacramento.ca.us wrote: Manuel Guesdon a écrit: Vu le nombre de téléchargements ca intéresse :-) Ce qui serait sympa ca serait un feed BGP du genre fullbogons, qui annonce ces adresses et qu'on pourrait blackholer directement sur certains routeurs. En d'autre termes, un route-server de PC infectés. Quelque chose comme http://www.spamhaus.org/bgpf/, mais gratuit :P Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ signature.asc Description: Message signed with OpenPGP using GPGMail
RE: [FRnOG] [TECH] Que faire d'une liste de PCs infectés ?
Thomas Mangin a écrit: Avec ExaBGP, il est possible d'écrire ce logiciel très rapidement. Une interface web, avec une API REST, une base de donnée, et un petit script pour ExaBGP pour annoncer les mises a jours. Si il y a des gens qui sont partant pour le projet, je suis prêt a aider avec l'integration d'ExaBGP (et herberger le service si ca aide). Plus on est de fous plus il y a de riz. Je peux beta-tester la config client avec du Cisco et possiblement Juniper (dangereux de me laisser y toucher), et aider pour la config du route-server. Faut avoir un AS ou convenir d'un AS privé et une communauté (des suggestions?) (*) Ca serait une bonne occasion de passer aux AS 32 bits, aussi. Manuel, combien de PCs dans ta liste? Michel. (*) pas 65532, c'est le mien :P 4242424242 il est à moi aussi, na. éviter 65333 et 65332 aussi, Team Cymru s'en sert. 65432 je connais des gens qui s'en servent. Faudrait un registre des AS privés Pour la communauté, on pourrait prendre AS:666 :-D --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Que faire d'une liste de PCs infectés ?
Bonjour, Une de nos IPs est codé dans Trojan-PSW.Win32.Tepfer.sm. Du coup on collecte des 10aines de milliers d'IPs correspondants à des connections de PCs infectés aux 4 coins de la planete. Question: qu'en faire ? Spamhaus XBL par exemple n'autorise pas la soumission d'IPs: http://www.spamhaus.org/faq/section/Spamhaus%20XBL#96 Manuel -- __ Manuel Guesdon - OXYMIUM --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Que faire d'une liste de PCs infectés ?
Le 19 nov. 2013 à 14:12, Manuel Guesdon ml+fr...@oxymium.net a écrit : Une de nos IPs est codé dans Trojan-PSW.Win32.Tepfer.sm. Du coup on collecte des 10aines de milliers d'IPs correspondants à des connections de PCs infectés aux 4 coins de la planete. La publier sur Internet et les sites d’actu sécu pour que chacun puisse voir s’il est dedans ? Également la transmettre aux société d’antivirus ? smime.p7s Description: S/MIME cryptographic signature
Re: [FRnOG] [TECH] Que faire d'une liste de PCs infectés ?
On Tue, 19 Nov 2013 14:12:15 +0100 Manuel Guesdon ml+fr...@oxymium.net wrote: | Bonjour, | | Une de nos IPs est codé dans Trojan-PSW.Win32.Tepfer.sm. | Du coup on collecte des 10aines de milliers d'IPs correspondants à des | connections de PCs infectés aux 4 coins de la planete. | Question: qu'en faire ? | Spamhaus XBL par exemple n'autorise pas la soumission d'IPs: | http://www.spamhaus.org/faq/section/Spamhaus%20XBL#96 Comme cela semble intéresser, la liste des IPs de la journée passée sera dispo ici vers 1h: http://webadmin.oxymium.net/Trojan-PSW.Win32.Tepfer.sm/-MM-DD exemple: http://webadmin.oxymium.net/Trojan-PSW.Win32.Tepfer.sm/2013-11-18 pour les IPs d'hier. De façon plus précise, c'est la liste des IPs blacklistées pour cause d'envoi de données à un serveur SMTP avant que celui-ci n'envoit sa bannière. Dit autrement: les IPs qui essaient de bourriner le smtpd en se f* du résultat. Ces IPs seront uniques sur 7 jours a partir d'après-demain. Manuel -- __ Manuel Guesdon - OXYMIUM --- Liste de diffusion du FRnOG http://www.frnog.org/
