tux-secuVoici quelques jours que le honeypot est en place est j'ai déja quelques résultats. Tout d'abord le survival time *roulement de tambour* : 1 min! Et oui seulement une minute après son branchement sur le réseau, la machine recevait une attaque.

Ce temps ne signifie rien en lui même, mais on voit tout de même que les outils de protection ne sont pas là pour la décoration.

Nepenthes émule des services avec des failles connues et à chaque attaque capture la tentative dans un hexdump ou le binaire lui même. Première découverte, les binaires sont essentiellement des troyens transformant la machine en bot. Pas de virus "old school" qui font juste du mal à la machine.

J'ai ensuite voulu en savoir plus sur les attaques, notre machine possède une adresse IP en 193.x.x.x.x et les attaques proviennent de se réseau. Il se trouve que sur les 3 recherches que j'ai effectué, toutes les attaques provenaient de russie. Cela ne veut pas dire grand chose, puisque cela dépend des plages d'adresses allouées aux FAI. D'ailleurs on note que les troyens scannent, à la recherche de nouvelles cibles, la plage d'adresse de la machine infectée.

Tous les virus que j'ai reçus, tentent d'entrer en contact avec un serveur IRC. Sur les trois recherches que j'ai effectué, ce serveur se situait à chaque fois au canada, chez le même fournisseur de hosting (et je n'en suis pas sûr à la même adresse IP)

Au terme de ces quelques jour on peut donc voir que l'activité malware est fortement présente sur le net et nous avons pu découvrir un botnet en activité. Pas plus d'informations sur ce botnet, je vous invite à visiter le forum, pour plus précisions.