Bulletin hebdomadaire du CERT Renater

Durant la semaine du 05/01/07 au 11/01/07, 6 cas de compromissions ont été portés à notre attention.
Au total, 1959172 adresses IP ont été scannées par 14869 sources distinctes.

Compromissions de la semaine
————————–

Cette semaine, nous avons observé un cas de modification de site web. Ce cas est toujours en cours d’analyse.

Nous avons observé trois cas d’attaque via des attaques SSH dont les contrôles d’accès (mot de passe et nom d’utilisateur) ont été découverts. Deux de ces machines sont toujours en cours d’analyse.
Sur la troisième, on a retrouvé un outil destiné à rechercher d’autres comptes SSH vulnérables, un client IRC, un cheval de troie de type connect back en écoute sur le port 8080 et des exploits utilisées pour attaquer des serveurs DNS.

Deux sites webs destinés à des escroqueries de type hammeçonnage (pishing) ont été découverts. Une des failles exploitée semble etre la faille « includePath » de la page « import.lib.php » de claroline signalée en octobre 2006.
Référence : http://secunia.com/advisories/22364/

Origine de l’article :
http://www.up.univ-mrs.fr/wcri/d_serv/d_reseau/d_cert/2007/certmsgSTAT002