{"id":97,"date":"2018-06-17T23:12:46","date_gmt":"2018-06-17T21:12:46","guid":{"rendered":"https:\/\/blog.scani.fr\/?p=97"},"modified":"2018-06-17T23:39:16","modified_gmt":"2018-06-17T21:39:16","slug":"ralentissements-zone-collectees-par-taingy","status":"publish","type":"post","link":"https:\/\/blog.scani.fr\/index.php\/2018\/06\/17\/ralentissements-zone-collectees-par-taingy\/","title":{"rendered":"Ralentissements zone collect\u00e9es par Taingy"},"content":{"rendered":"<p>Dans la nuit de vendredi \u00e0 samedi, un probl\u00e8me de transport s&rsquo;est d\u00e9clench\u00e9 sur la zone de Taingy. La supervision n&rsquo;a rien vu mais impossible d&rsquo;acc\u00e9der \u00e0 internet depuis Taingy, Andryes et Grandchamp.<\/p>\n<p>Samedi matin, une route de contournement a \u00e9t\u00e9 mise en route afin d&rsquo;\u00e9viter de mobiliser du temps dans le weekend. Les membres de ces secteurs ont pu ressentir un ralentissement entre samedi matin et dimanche soir.<!--more--><\/p>\n<p>Apr\u00e8s investigation, il semble que le routeur L2TP de Taingy ait \u00e9t\u00e9 pirat\u00e9 vers 3h samedi matin. Le \u00ab\u00a0pirate\u00a0\u00bb, probablement mal r\u00e9veill\u00e9, a mis partiellement hors service le routeur. Nous avons collect\u00e9 l&rsquo;ensemble des informations possibles, avons trouv\u00e9 des traces de tentatives sur un autre routeur du r\u00e9seau. Apr\u00e8s v\u00e9rification de l&rsquo;ensemble, cette tentative semble avoir cibl\u00e9 un mod\u00e8le bien particulier de routeur (il n&rsquo;y en a que 4 sur le r\u00e9seau de SCANI de ce mod\u00e8le). Ils ont tous \u00e9t\u00e9 v\u00e9rifi\u00e9s, et, par pr\u00e9caution, l&rsquo;ensemble des mots de passe d&rsquo;acc\u00e8s \u00e0 l&rsquo;ensemble des routeurs ont \u00e9t\u00e9 chang\u00e9s.<\/p>\n<p>L&rsquo;attaque semble avoir eu pour objectif d\u2019enr\u00f4ler les routeurs dans un \u00ab\u00a0botnet\u00a0\u00bb afin de mener, plus tard, des actions de saturation ailleurs sur internet. Aucun dispositif logiciel d&rsquo;\u00e9coute ou de renvoi du trafic n&rsquo;a \u00e9t\u00e9 trouv\u00e9.<\/p>\n<p>Pour les technophiles curieux, voici le forensic un peu plus complet :<\/p>\n<ul>\n<li>Les deux routeurs concern\u00e9s sont les premiers Mikrotik \u00e0 avoir \u00e9t\u00e9s install\u00e9s sur le r\u00e9seau de SCANI<\/li>\n<li>Il \u00e9tait question qu&rsquo;ils servent de test pendant quelques jours et nous n&rsquo;avions, alors, pas pris la peine de les mettre \u00e0 jour<\/li>\n<li>Ils ont \u00e9t\u00e9, fin mars, victimes du botnet Hajime (plus d&rsquo;infos <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/hajime-botnet-makes-a-comeback-with-massive-scan-for-mikrotik-routers\/\" target=\"_blank\" rel=\"noopener\">par ici<\/a>) de fa\u00e7on dormante<\/li>\n<li>Le 24 mai, les propri\u00e9taires du botnet ont d\u00e9clench\u00e9 une seconde phase d&rsquo;infection<\/li>\n<li>Samedi matin, ils ont manifestement apport\u00e9 des corrections \u00e0 leurs outils, entra\u00eenant l&rsquo;indisponibilit\u00e9 du routeur de Taingy<\/li>\n<li>Dimanche soir, nous avons contr\u00f4l\u00e9 l&rsquo;ensemble des historiques de modifications qui ont eu lieu sur les routeurs pour constater qu&rsquo;il n&rsquo;y avait que ces deux l\u00e0 qui \u00e9taient concern\u00e9s<\/li>\n<li>Les outils d\u00e9ploy\u00e9s lors de ces infections avaient la possibilit\u00e9 de transmettre les mots de passes utilis\u00e9s pour se connecter aux routeurs, ils ont donc \u00e9t\u00e9 chang\u00e9s sur les deux infect\u00e9s et pr\u00e9ventivement sur l&rsquo;ensemble du r\u00e9seau<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Dans la nuit de vendredi \u00e0 samedi, un probl\u00e8me de transport s&rsquo;est d\u00e9clench\u00e9 sur la zone de Taingy. La supervision n&rsquo;a rien vu mais impossible d&rsquo;acc\u00e9der \u00e0 internet depuis Taingy, Andryes et Grandchamp. Samedi matin, une route de contournement a \u00e9t\u00e9 mise en route afin d&rsquo;\u00e9viter de mobiliser du temps dans le weekend. Les membres [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":99,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[],"class_list":["post-97","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-reseau"],"_links":{"self":[{"href":"https:\/\/blog.scani.fr\/index.php\/wp-json\/wp\/v2\/posts\/97","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.scani.fr\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.scani.fr\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.scani.fr\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.scani.fr\/index.php\/wp-json\/wp\/v2\/comments?post=97"}],"version-history":[{"count":4,"href":"https:\/\/blog.scani.fr\/index.php\/wp-json\/wp\/v2\/posts\/97\/revisions"}],"predecessor-version":[{"id":102,"href":"https:\/\/blog.scani.fr\/index.php\/wp-json\/wp\/v2\/posts\/97\/revisions\/102"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blog.scani.fr\/index.php\/wp-json\/wp\/v2\/media\/99"}],"wp:attachment":[{"href":"https:\/\/blog.scani.fr\/index.php\/wp-json\/wp\/v2\/media?parent=97"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.scani.fr\/index.php\/wp-json\/wp\/v2\/categories?post=97"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.scani.fr\/index.php\/wp-json\/wp\/v2\/tags?post=97"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}