From a419c4d3e39a613702df06ffdc46f3d9f14a6c11 Mon Sep 17 00:00:00 2001
From: Michel Blockelet <Michel.Blockelet@crans.org>
Date: Tue, 24 Mar 2009 22:57:00 +0100
Subject: [PATCH] [conficker.sh] Ajout commentaires pour diffusion

A Chatenay-Malabry, au pays des windowsiens, ils sont infectes ...

darcs-hash:20090324215700-ddb99-4d0e76f549c97c8d81b5add9c627c6dbebf009b7.gz
---
 surveillance/conficker.sh | 26 ++++++++++++++++++++++++++
 1 file changed, 26 insertions(+)

diff --git a/surveillance/conficker.sh b/surveillance/conficker.sh
index 29b4c8a5..552dfb76 100644
--- a/surveillance/conficker.sh
+++ b/surveillance/conficker.sh
@@ -18,6 +18,31 @@
 # Foundation, Inc., 59 Temple Place - Suite 330, Boston, MA  02111, USA.
 
 
+#####
+# Ce script est fait pour détecter les machines infectées par Conficker.
+# Il fonctionne un peu à la "devinette", il est donc conseillé de vérifier
+# sa sortie (il enregistre chaque étape dans un fichier indiqué par
+# [> fichier]).
+#####
+# Fonctionnement :
+# -Il analyse les logs de Squid à la recherche des requêtes du type :
+#   GET http://[une ip quelconque]/search?
+#  qui sont du format de requête typique de Conficker.
+# -Il récupère les couples [IP ayant émis la requête] [IP dans la requête]
+# -Il retrie ces couples et compte le nombre d'occurences
+# -Il regarde le reverse DNS de chaque IP se trouvant dans des requêtes
+#   suspectes
+# -Il ne garde que les IPs n'ayant pas de reverse DNS (ce qui peut être
+#   trop restrictif, mais il s'agit d'éviter de compter les vraies
+#   requêtes (émises par exemple vers Google), puis regarde quelles
+#   IPs source ont émis des requêtes vers ces IP
+# -Il finit par afficher ces IPs sources (machines très probablement
+#   infectées), et les statistiques de communication entre ces IPs sources
+#   et les IPs destination suspectes
+#####
+
+
+# A changer bien sûr selon les cas  ...
 if [ "`hostname`" != "sable" ]
 then
   echo "Vous devez exécuter ce script sur sable !"
@@ -34,6 +59,7 @@ touch $FILES
 chmod go-rwx $FILES
 
 # On regarde les lignes de la forme "...GET http://[une ip]/search?..."
+# (requêtes typiques de Conficker)
 echo -n " * Recherche des lignes de logs correspondantes ... [> base] Lignes : "
 sudo egrep "GET http://([[:digit:]]{1,3}\.){3}[[:digit:]]{1,3}/search\?" /var/log/squid/access.log | tee base | wc -l