Re: [FRnOG] Pb de flood dns ?
On Mon, 15 Oct 2007 16:07:58 +0200, Pierre Col | UbicMedia [EMAIL PROTECTED] wrote: Guénolé Saurel a écrit : Le seul client mail que je connaisse qui envoi du HTML seul sans texte brut, c'est le client de mozilla. Même les clients mail microsoft savent envoyer du texte brut en plus du html. Bon, pour cette liste, je coche texte et HTML dans mon Thunderbird :-) Désolé pour l'erreur tout à l'heure. Texte tout seul alors plutôt :) Je ne pense pas m'avancer trop en disant que ça n'intéresse personne de recevoir des mails en HTML... :) Pierre Col - Directeur Marketing et Business Développement [EMAIL PROTECTED] mailto:[EMAIL PROTECTED] - 04 78 54 29 08 - 06 11 78 29 01 *UbicMedia* - 9 rue des Tuiliers - 69003 LYON - www.ubicmedia.com http://www.ubicmedia.com/fr/ - www.pumit.com http://www.pumit.com/?locale=fr http://exemple.pumit.com/?locale=fr -- Steven Le Roux GIE Groupement Informatique du Credit Mutuel Réseau Infrastructure [EMAIL PROTECTED] perso : [EMAIL PROTECTED] xmpp:[EMAIL PROTECTED] --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Pb de flood dns ?
Le nombre de spams en russe que je reois sur toutes mes adresses e-mail explose depuis ce week-end; Un rapport ? Pierre Col - Directeur Marketing et Business Dveloppement [EMAIL PROTECTED] - 04 78 54 29 08 - 06 11 78 29 01 UbicMedia - 9 rue des Tuiliers - 69003 LYON - www.ubicmedia.com - www.pumit.com
Re: [FRnOG] Pb de flood dns ?
Je pense helas que la minorité que nous représentons devra un jour plier au joug microsoft et ne plus utiliser son mailer préféré ( VM sous xemacs pour ma part) car il deviendra impossible d'utiliser un client texte :( Frédéric Gander writes: On Mon, Oct 15, 2007 at 02:15:26PM +0200, Pierre Col | UbicMedia wrote: !DOCTYPE html PUBLIC -//W3C//DTD HTML 4.01 Transitional//EN html head meta content=text/html;charset=ISO-8859-1 http-equiv=Content-Type title/title /head body bgcolor=#ff text=#00 smallfont face=Trebuchet MSLe nombre de spams en russe que je reccedil;ois sur toutes mes adresses e-mail explose depuis ce week-end; Un rapport ?br /font/smallbr div class=moz-signaturebr table cellpadding=0 cellspacing=0 tbody tr td font size=2font color=black face=Trebuchet MSPierre Col - Directeur Marketing et Business Deacute;veloppementbr a href=mailto:[EMAIL PROTECTED][EMAIL PROTECTED]/a - 04 78 54 29 08 - 06 11 78 29 01br /fontfont color=#0096ff face=Trebuchet MSbUbicMedia/b/fontfont color=#00 face=Trebuchet MS - 9 rue des Tuiliers - 69003 LYON - a href=http://www.ubicmedia.com/fr/;www.ubicmedia.com/a - a href=http://www.pumit.com/?locale=fr;www.pumit.com/a/font /font/td tdnbsp; nbsp;a href=http://exemple.pumit.com/?locale=fr; target=_blankimg src=cid:part1.00030902.08040107@ubicmedia.com border=0/a /td /tr /tbody /table /div br /body /html à mort les mails uniquement en HTML -- GANDER Frédéric [EMAIL PROTECTED] - http://www.free.fr --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Pb de flood dns ?
On Mon, Oct 15, 2007 at 02:52:01PM +0200, Damien Wetzel wrote: Je pense helas que la minorité que nous représentons devra un jour plier au joug microsoft et ne plus utiliser son mailer préféré ( VM sous xemacs pour ma part) car il deviendra impossible d'utiliser un client texte :( les outils de microsoft ne sont pas tres utilisable quand on est en salle et qu'on est en ssh depuis un routeur vers sa station... ou alors, il faudra m'expliquer comment faire un affichage windows déporté sur la console d'un 6500. -- Romain --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Pb de flood dns ?
Le Mon, Oct 15, 2007 at 02:52:01PM +0200, Damien Wetzel racontait : Je pense helas que la minorité que nous représentons devra un jour plier au joug microsoft et ne plus utiliser son mailer préféré ( VM sous xemacs pour ma part) car il deviendra impossible d'utiliser un client texte :( Le seul client mail que je connaisse qui envoi du HTML seul sans texte brut, c'est le client de mozilla. Même les clients mail microsoft savent envoyer du texte brut en plus du html. -- CHANDAIL : Vêtement que doit porter un enfant lorsque sa mère a froid. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Pb de flood dns ?
Gunol Saurel a crit: Le seul client mail que je connaisse qui envoi du HTML seul sans texte brut, c'est le client de mozilla. Mme les clients mail microsoft savent envoyer du texte brut en plus du html. Bon, pour cette liste, je coche "texte et HTML" dans mon Thunderbird :-) Dsol pour l'erreur tout l'heure. Pierre Col - Directeur Marketing et Business Dveloppement [EMAIL PROTECTED] - 04 78 54 29 08 - 06 11 78 29 01 UbicMedia - 9 rue des Tuiliers - 69003 LYON - www.ubicmedia.com - www.pumit.com
RE: [FRnOG] Pb de flood dns ?
;-) Un chouette cas de hoax à étudier... http://sunbeltblog.blogspot.com/2007/10/alexey-tolstokozhev-spammer-dead.html ou http://versetvirus.typepad.com/versetvirus/2007/10/le-roi-du-spam-.html si vous préférez en français... -Message d'origine- De : [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] De la part de [EMAIL PROTECTED] Envoyé : vendredi 12 octobre 2007 17:25 À : Wlodek Stankiewicz Cc : frnog@frnog.org Objet : RE: [FRnOG] Pb de flood dns ? Justement un botnet vient de perdre la tête. http://www.rlslog.net/real-punishment-russian-viagra-spammer-murdered/ S. Quoting Wlodek Stankiewicz [EMAIL PROTECTED]: Oui, mais... Il me semble plutôt que c'est un botnet qui a 'perdu la tète', et les clients cherchent a établir connexion avec leur papa. Il faut trouver en IP client en France, chez vos clients chères FAI, et analyser le code du bot client. A+ wlodek -Original Message- From: Frédéric Gander [mailto:[EMAIL PROTECTED] Sent: Thursday, October 11, 2007 4:49 PM To: Wlodek Stankiewicz Cc: frnog@frnog.org Subject: Re: [FRnOG] Pb de flood dns ? On Thu, Oct 11, 2007 at 04:37:21PM +0200, Wlodek Stankiewicz wrote: Bonjour, Oui, c'est la source ! The DNS request is very strange, is it really for name Y0dQV858AYIM6GaSOTYbUdo2Tv ? It looks like an encrypted string. So the target of the communication could be the authoritative (and possibly compromised) DNS server of the domain ultra-online.ru , maybe used control a botnet. et donc comme le domaine ultra-online.ru et ultracom.ru on été blacklister les botnet n'arrivent plus a communiquer et font donc des requettes en boucle je suis pas dans la merde super -- Wlodek -Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Gérald Glaise Sent: Thursday, October 11, 2007 4:30 PM To: frnog@frnog.org Subject: Re: [FRnOG] Pb de flood dns ? A moins d'une traduction sérieuse et étayée par des allégations précises, je pense que le message précédent est un troll. Dont acte. Ou un extrait de http://forum.ixbt.com/topic.cgi?id=42:3789-140 -- OK. Cela donne des éléments pour avancer dans la compréhension du problème? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- GANDER Frédéric [EMAIL PROTECTED] - http://www.free.fr --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Pb de flood dns ?
Justement un botnet vient de perdre la tête. http://www.rlslog.net/real-punishment-russian-viagra-spammer-murdered/ S. Quoting Wlodek Stankiewicz [EMAIL PROTECTED]: Oui, mais... Il me semble plutôt que c'est un botnet qui a 'perdu la tète', et les clients cherchent a établir connexion avec leur papa. Il faut trouver en IP client en France, chez vos clients chères FAI, et analyser le code du bot client. A+ wlodek -Original Message- From: Frédéric Gander [mailto:[EMAIL PROTECTED] Sent: Thursday, October 11, 2007 4:49 PM To: Wlodek Stankiewicz Cc: frnog@frnog.org Subject: Re: [FRnOG] Pb de flood dns ? On Thu, Oct 11, 2007 at 04:37:21PM +0200, Wlodek Stankiewicz wrote: Bonjour, Oui, c'est la source ! The DNS request is very strange, is it really for name Y0dQV858AYIM6GaSOTYbUdo2Tv ? It looks like an encrypted string. So the target of the communication could be the authoritative (and possibly compromised) DNS server of the domain ultra-online.ru , maybe used control a botnet. et donc comme le domaine ultra-online.ru et ultracom.ru on été blacklister les botnet n'arrivent plus a communiquer et font donc des requettes en boucle je suis pas dans la merde super -- Wlodek -Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Gérald Glaise Sent: Thursday, October 11, 2007 4:30 PM To: frnog@frnog.org Subject: Re: [FRnOG] Pb de flood dns ? A moins d'une traduction sérieuse et étayée par des allégations précises, je pense que le message précédent est un troll. Dont acte. Ou un extrait de http://forum.ixbt.com/topic.cgi?id=42:3789-140 -- OK. Cela donne des éléments pour avancer dans la compréhension du problème? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- GANDER Frédéric [EMAIL PROTECTED] - http://www.free.fr --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Pb de flood dns ?
pan sur les doigts :-) Tant pis, il faudra trouver une solution technique. Quoting HINDERER Vincent [EMAIL PROTECTED]: ;-) Un chouette cas de hoax à étudier... http://sunbeltblog.blogspot.com/2007/10/alexey-tolstokozhev-spammer-dead.html ou http://versetvirus.typepad.com/versetvirus/2007/10/le-roi-du-spam-.html si vous préférez en français... -Message d'origine- De : [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] De la part de [EMAIL PROTECTED] Envoyé : vendredi 12 octobre 2007 17:25 À : Wlodek Stankiewicz Cc : frnog@frnog.org Objet : RE: [FRnOG] Pb de flood dns ? Justement un botnet vient de perdre la tête. http://www.rlslog.net/real-punishment-russian-viagra-spammer-murdered/ S. Quoting Wlodek Stankiewicz [EMAIL PROTECTED]: Oui, mais... Il me semble plutôt que c'est un botnet qui a 'perdu la tète', et les clients cherchent a établir connexion avec leur papa. Il faut trouver en IP client en France, chez vos clients chères FAI, et analyser le code du bot client. A+ wlodek -Original Message- From: Frédéric Gander [mailto:[EMAIL PROTECTED] Sent: Thursday, October 11, 2007 4:49 PM To: Wlodek Stankiewicz Cc: frnog@frnog.org Subject: Re: [FRnOG] Pb de flood dns ? On Thu, Oct 11, 2007 at 04:37:21PM +0200, Wlodek Stankiewicz wrote: Bonjour, Oui, c'est la source ! The DNS request is very strange, is it really for name Y0dQV858AYIM6GaSOTYbUdo2Tv ? It looks like an encrypted string. So the target of the communication could be the authoritative (and possibly compromised) DNS server of the domain ultra-online.ru , maybe used control a botnet. et donc comme le domaine ultra-online.ru et ultracom.ru on été blacklister les botnet n'arrivent plus a communiquer et font donc des requettes en boucle je suis pas dans la merde super -- Wlodek -Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Gérald Glaise Sent: Thursday, October 11, 2007 4:30 PM To: frnog@frnog.org Subject: Re: [FRnOG] Pb de flood dns ? A moins d'une traduction sérieuse et étayée par des allégations précises, je pense que le message précédent est un troll. Dont acte. Ou un extrait de http://forum.ixbt.com/topic.cgi?id=42:3789-140 -- OK. Cela donne des éléments pour avancer dans la compréhension du problème? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- GANDER Frédéric [EMAIL PROTECTED] - http://www.free.fr --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Pb de flood dns ?
Bonjour/soir, On Fri, 12 Oct 2007, HINDERER Vincent wrote: ;-) Un chouette cas de hoax à étudier... http://sunbeltblog.blogspot.com/2007/10/alexey-tolstokozhev-spammer-dead.html ou http://versetvirus.typepad.com/versetvirus/2007/10/le-roi-du-spam-.html si vous préférez en français... haha je m'en doutais, mais pas par les mêmes moyens :) alors : 1 - on est vendredi :) 2 - up to 30% percent of all viagra and penis enlargement related spam c'est énorme 3 - famous spammer alors qu'il n'est même pas cité sur http://www.spamhaus.org/statistics/spammers.lasso 4 - google sur Tolstokozhev ne fournit que des liens qui ont moins de 48h et qui mentionnent cette news, et rien d'autre. Je m'attendais à avoir la confirmation du hoax mais pas si vite :) Bon WE! -- Raphaël Marichez pgpJLMvSqAWr3.pgp Description: PGP signature
Re: [FRnOG] Pb de flood dns ?
Le Thu, 11 Oct 2007 15:16:18 +0200 Frédéric Gander [EMAIL PROTECTED] écrit: depuis mardi on a plein de requettes dns vers 2 domaines russe et le nombre de requettes augmente de jour en jour. les domaines sont ultra-online.ru et ultracomp.ru les requettes ressemblent à : A? LWIRKW6aY8QGcNxkdA1y1at1I2KSFP82A4.ultra-online.ru A? f0O6A3147B27S0RK4172Ce1s4JRwh7J3.ultra-online.ru A? Y0dQV858AYIM6GaSOTYbUdo2Tv.ultra-online.ru A? 1I65SO1O6KpFbeEQ66RPhO4ehP28YD07O2cgB.ultracomp.ru Bonjour, je confirme le phénomène sur les DNS que je gère pour Numéricable. Il semble que chez 9cegetel, le phénomène soit le même, j'ai vu passé un message à ce propos sur une autre mailing liste. Pour l'instant, je n'ai pas plus de détail sur l'origine de l'attaque, mais je suis intéressé si quelqu'un à plus d'information. Bonne journée. -- Laurent Papier - 03 88 75 80 50 Admin. système - SdV Plurimedia - http://www.sdv.fr/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Pb de flood dns ?
On Thu, Oct 11, 2007 at 03:28:02PM +0200, Laurent Papier wrote: Le Thu, 11 Oct 2007 15:16:18 +0200 Frédéric Gander [EMAIL PROTECTED] écrit: depuis mardi on a plein de requettes dns vers 2 domaines russe et le nombre de requettes augmente de jour en jour. les domaines sont ultra-online.ru et ultracomp.ru les requettes ressemblent à : A? LWIRKW6aY8QGcNxkdA1y1at1I2KSFP82A4.ultra-online.ru A? f0O6A3147B27S0RK4172Ce1s4JRwh7J3.ultra-online.ru A? Y0dQV858AYIM6GaSOTYbUdo2Tv.ultra-online.ru A? 1I65SO1O6KpFbeEQ66RPhO4ehP28YD07O2cgB.ultracomp.ru Bonjour, je confirme le phénomène sur les DNS que je gère pour Numéricable. Il semble que chez 9cegetel, le phénomène soit le même, j'ai vu passé un message à ce propos sur une autre mailing liste. Pour l'instant, je n'ai pas plus de détail sur l'origine de l'attaque, mais je suis intéressé si quelqu'un à plus d'information. le problème c'est que la zone en face ne repond plus et que les virus font ca en boucle ... d'ou le fait qu'on drop les requettes (sinon ca bouffe des slots recursif et le cache se met à expirer car le serveur n'arrive plus a faire les requettes récursives légitime) mais après la question c'est : est ce que c'est le fait de les bloquer fait qui redemandent en boucle ? Bonne journée. -- Laurent Papier - 03 88 75 80 50 Admin. système - SdV Plurimedia - http://www.sdv.fr/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- GANDER Frédéric [EMAIL PROTECTED] - http://www.free.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Pb de flood dns ?
On Thu, Oct 11, 2007 at 03:54:31PM +0200, Spyou wrote: At 15:53 11/10/2007, you wrote: On Thu, Oct 11, 2007 at 03:28:02PM +0200, Laurent Papier wrote: Le Thu, 11 Oct 2007 15:16:18 +0200 Frédéric Gander [EMAIL PROTECTED] écrit: depuis mardi on a plein de requettes dns vers 2 domaines russe et le nombre de requettes augmente de jour en jour. les domaines sont ultra-online.ru et ultracomp.ru les requettes ressemblent à : A? LWIRKW6aY8QGcNxkdA1y1at1I2KSFP82A4.ultra-online.ru A? f0O6A3147B27S0RK4172Ce1s4JRwh7J3.ultra-online.ru A? Y0dQV858AYIM6GaSOTYbUdo2Tv.ultra-online.ru A? 1I65SO1O6KpFbeEQ66RPhO4ehP28YD07O2cgB.ultracomp.ru Bonjour, je confirme le phénomène sur les DNS que je gère pour Numéricable. Il semble que chez 9cegetel, le phénomène soit le même, j'ai vu passé un message à ce propos sur une autre mailing liste. Pour l'instant, je n'ai pas plus de détail sur l'origine de l'attaque, mais je suis intéressé si quelqu'un à plus d'information. le problème c'est que la zone en face ne repond plus et que les virus font ca en boucle ... d'ou le fait qu'on drop les requettes (sinon ca bouffe des slots recursif et le cache se met à expirer car le serveur n'arrive plus a faire les requettes récursives légitime) mais après la question c'est : est ce que c'est le fait de les bloquer fait qui redemandent en boucle ? Met un wilcard sur localhost et pouf :) deja fait en repondant 127.0.0.1 ca continue quand meme et ca charge bien le dns de repondre au lieu de dropper ... -- GANDER Frédéric [EMAIL PROTECTED] - http://www.free.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Pb de flood dns ?
Frédéric Gander wrote: les domaines sont ultra-online.ru et ultracomp.ru on en est à plusieurs 10ène de milliers de requettes par secondes et ca augmente (de plus en plus de nouveaux hosts qui se mettent a en faire). Quelqu'un a t'il entendu parlé d'un nouveau virus / botnet qui fait du ddos sur dns ou utilise le dns pour communiquer ? A priori ce sont des variantes de Sality qui communiquent via TCP/80 (HTTP GET) avec leur maitre, infection locale standard (mutex+fichiers), lookup DNS pour verifier l'acces Internet, detection de son IP locale et verification de sa presence dans differentes RBLs. A priori les postes infectes envoient du SPAM directement dans la foulee. Nico. -- Nicolas FISCHBACH Senior Manager - Network Engineering/Security - COLT Telecom e:([EMAIL PROTECTED]) w:http://www.securite.org/nico/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Pb de flood dns ?
..debut d' explication ? Конкуренты убили запись в DNS... Может им ещ е подсказать постоянно резервировать вес ь ассортимент товаров (если они еще этого не делают), чтобы купить ничего нельзя был о .--))) -Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Fré déric Gander Sent: Thursday, October 11, 2007 4:04 PM To: Spyou Cc: frnog@frnog.org Subject: Re: [FRnOG] Pb de flood dns ? On Thu, Oct 11, 2007 at 03:54:31PM +0200, Spyou wrote: At 15:53 11/10/2007, you wrote: On Thu, Oct 11, 2007 at 03:28:02PM +0200, Laurent Papier wrote: Le Thu, 11 Oct 2007 15:16:18 +0200 Frédéric Gander [EMAIL PROTECTED] écrit: depuis mardi on a plein de requettes dns vers 2 domaines russe et le nombre de requettes augmente de jour en jour. les domaines sont ultra-online.ru et ultracomp.ru les requettes ressemblent à : A? LWIRKW6aY8QGcNxkdA1y1at1I2KSFP82A4.ultra-online.ru A? f0O6A3147B27S0RK4172Ce1s4JRwh7J3.ultra-online.ru A? Y0dQV858AYIM6GaSOTYbUdo2Tv.ultra-online.ru A? 1I65SO1O6KpFbeEQ66RPhO4ehP28YD07O2cgB.ultracomp.ru Bonjour, je confirme le phénomène sur les DNS que je gère pour Numéricable. Il semble que chez 9cegetel, le phénomène soit le même, j'ai vu passé un message à ce propos sur une autre mailing liste. Pour l'instant, je n'ai pas plus de détail sur l'origine de l'attaque, mais je suis intéressé si quelqu'un à plus d'information. le problème c'est que la zone en face ne repond plus et que les virus font ca en boucle ... d'ou le fait qu'on drop les requettes (sinon ca bouffe des slots recursif et le cache se met à expirer car le serveur n'arrive plus a faire les requettes récursives légitime) mais après la question c'est : est ce que c'est le fait de les bloquer fait qui redemandent en boucle ? Met un wilcard sur localhost et pouf :) deja fait en repondant 127.0.0.1 ca continue quand meme et ca charge bien le dns de repondre au lieu de dropper ... -- GANDER Frédéric [EMAIL PROTECTED] - http://www.free.fr --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Pb de flood dns ?
Bonjour à tous: Traduction:(grossière par une non informaticienne..) Les concurrents ont tué l'enregistrement DNS ... Peu être il veulent qu'on leurs disent de réserver en permanence tous un assortiments de marchandises (ou peu être il font déjà ca), dans le but que personne ne puissent le faire... =+ a mettre en forme en 'langage informatique'.. Ca parle a priori de réservation d'enregistrement de DNS dans un but de faire du Dos -- - Marc ALONSO Informatique - Réseau LE FIGARO - -Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Wlodek Stankiewicz Sent: Thursday, October 11, 2007 4:10 PM Cc: frnog@frnog.org Subject: RE: [FRnOG] Pb de flood dns ? ..debut d' explication ? Конкуренты убили запись в DNS... Может им ещ е подсказать постоянно резервировать вес ь ассортимент товаров (если они еще этого не делают), чтобы купить ничего нельзя был о .--))) -Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Fré déric Gander Sent: Thursday, October 11, 2007 4:04 PM To: Spyou Cc: frnog@frnog.org Subject: Re: [FRnOG] Pb de flood dns ? On Thu, Oct 11, 2007 at 03:54:31PM +0200, Spyou wrote: At 15:53 11/10/2007, you wrote: On Thu, Oct 11, 2007 at 03:28:02PM +0200, Laurent Papier wrote: Le Thu, 11 Oct 2007 15:16:18 +0200 Frédéric Gander [EMAIL PROTECTED] écrit: depuis mardi on a plein de requettes dns vers 2 domaines russe et le nombre de requettes augmente de jour en jour. les domaines sont ultra-online.ru et ultracomp.ru les requettes ressemblent à : A? LWIRKW6aY8QGcNxkdA1y1at1I2KSFP82A4.ultra-online.ru A? f0O6A3147B27S0RK4172Ce1s4JRwh7J3.ultra-online.ru A? Y0dQV858AYIM6GaSOTYbUdo2Tv.ultra-online.ru A? 1I65SO1O6KpFbeEQ66RPhO4ehP28YD07O2cgB.ultracomp.ru Bonjour, je confirme le phénomène sur les DNS que je gère pour Numéricable. Il semble que chez 9cegetel, le phénomène soit le même, j'ai vu passé un message à ce propos sur une autre mailing liste. Pour l'instant, je n'ai pas plus de détail sur l'origine de l'attaque, mais je suis intéressé si quelqu'un à plus d'information. le problème c'est que la zone en face ne repond plus et que les virus font ca en boucle ... d'ou le fait qu'on drop les requettes (sinon ca bouffe des slots recursif et le cache se met à expirer car le serveur n'arrive plus a faire les requettes récursives légitime) mais après la question c'est : est ce que c'est le fait de les bloquer fait qui redemandent en boucle ? Met un wilcard sur localhost et pouf :) deja fait en repondant 127.0.0.1 ca continue quand meme et ca charge bien le dns de repondre au lieu de dropper ... -- GANDER Frédéric [EMAIL PROTECTED] - http://www.free.fr --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Pb de flood dns ?
Ce qui donne en anglais (traduction libre...): Competitors killed in the DNS record ... Could it back e suggest to reserve weight ü range of products (if they have this do not), not to buy anything was on A moins d'une traduction sérieuse et étayée par des allégations précises, je pense que le message précédent est un troll. Dont acte. Le 11 oct. 07 à 16:10, Wlodek Stankiewicz a écrit : Конкуренты убили запись в DNS... Может им ещ е подсказать постоянно резервировать вес ь ассортимент товаров (если они еще этого не делают), чтобы купить ничего нельзя был о --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Pb de flood dns ?
A moins d'une traduction sérieuse et étayée par des allégations précises, je pense que le message précédent est un troll. Dont acte. Ou un extrait de http://forum.ixbt.com/topic.cgi?id=42:3789-140 -- Nicolas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Pb de flood dns ?
A moins d'une traduction sérieuse et étayée par des allégations précises, je pense que le message précédent est un troll. Dont acte. Ou un extrait de http://forum.ixbt.com/topic.cgi?id=42:3789-140 -- OK. Cela donne des éléments pour avancer dans la compréhension du problème? --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Pb de flood dns ?
Bonjour, Oui, c'est la source ! The DNS request is very strange, is it really for name Y0dQV858AYIM6GaSOTYbUdo2Tv ? It looks like an encrypted string. So the target of the communication could be the authoritative (and possibly compromised) DNS server of the domain ultra-online.ru , maybe used control a botnet. -- Wlodek -Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Gérald Glaise Sent: Thursday, October 11, 2007 4:30 PM To: frnog@frnog.org Subject: Re: [FRnOG] Pb de flood dns ? A moins d'une traduction sérieuse et étayée par des allégations précises, je pense que le message précédent est un troll. Dont acte. Ou un extrait de http://forum.ixbt.com/topic.cgi?id=42:3789-140 -- OK. Cela donne des éléments pour avancer dans la compréhension du problème? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Pb de flood dns ?
Wlodek Stankiewicz a écrit : ..debut d' explication ? Конкуренты убили запись в DNS... Может им ещ е подсказать постоянно резервировать вес ь ассортимент товаров (если они еще этого не делают), чтобы купить ничего нельзя был о .--))) avec les sous-titres ? --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Pb de flood dns ?
Oui, mais... Il me semble plutôt que c'est un botnet qui a 'perdu la tète', et les clients cherchent a établir connexion avec leur papa. Il faut trouver en IP client en France, chez vos clients chères FAI, et analyser le code du bot client. A+ wlodek -Original Message- From: Frédéric Gander [mailto:[EMAIL PROTECTED] Sent: Thursday, October 11, 2007 4:49 PM To: Wlodek Stankiewicz Cc: frnog@frnog.org Subject: Re: [FRnOG] Pb de flood dns ? On Thu, Oct 11, 2007 at 04:37:21PM +0200, Wlodek Stankiewicz wrote: Bonjour, Oui, c'est la source ! The DNS request is very strange, is it really for name Y0dQV858AYIM6GaSOTYbUdo2Tv ? It looks like an encrypted string. So the target of the communication could be the authoritative (and possibly compromised) DNS server of the domain ultra-online.ru , maybe used control a botnet. et donc comme le domaine ultra-online.ru et ultracom.ru on été blacklister les botnet n'arrivent plus a communiquer et font donc des requettes en boucle je suis pas dans la merde super -- Wlodek -Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Gérald Glaise Sent: Thursday, October 11, 2007 4:30 PM To: frnog@frnog.org Subject: Re: [FRnOG] Pb de flood dns ? A moins d'une traduction sérieuse et étayée par des allégations précises, je pense que le message précédent est un troll. Dont acte. Ou un extrait de http://forum.ixbt.com/topic.cgi?id=42:3789-140 -- OK. Cela donne des éléments pour avancer dans la compréhension du problème? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- GANDER Frédéric [EMAIL PROTECTED] - http://www.free.fr --- Liste de diffusion du FRnOG http://www.frnog.org/