Afin de faciliter la compréhension des bulletins de statistiques hebdomadaires du CERT Renater, voici les définitions que nous donnons aux différentes rubriques :

Ordinateur piraté ou infecté par un code malveillant et sur lequel a été introduit un programme permettant sa prise de contrôle à distance. On les appelle aussi agents ou zombis.

Personne qui contrôle un botnet

Réseau de bots ou d'ordinateurs zombis. L'architecture la plus courante de ce type de réseau consiste à utiliser un ou plusieurs serveurs IRC comme canal de commande et contrôle (C&C). Cela permet d'en centraliser la gestion. Dans ce modèle, après leur infection, les machines clientes du “botnet”, les bots ou zombies se connectent au serveur maître sur un canal IRC privé afin de signaler leur existence, obtenir des mises à jour ou des instructions. Le “botherder” pourra les contrôler en se connectant sur un des serveurs maîtres pour envoyer ses ordres. Le point faible de ce modèle d’organisation est sa sensibilité à la détection. En effet, une fois les serveurs IRC maîtres identifiés, il suffit de surveiller et filtrer ceux-ci pour démanteler le “botnet” ou le rendre inopérant sur un segment de réseau.

Machine dont l'administrateur à vérifié l'action d'un pirate sur la machine ou qui a été signalé par une source indirecte. Ceci inclus les défacements annoncé sur internet.

Rentre sous cette rubrique les machines sur lesquelles a été trouvé un serveur FTP employé pour l'échange de fichiers piratés.

Cette liste reprend l'ensemble des remontées automatiques des accès refusés qui nous sont fournit par des sites connectés au réseau Renater. Cette liste ne comprend que les quarante premiers ports ciblés.

Il s'agit de machines dont le comportement a été regardé comme suspect dans les listes de scans. La plus grande partie d'entre-elles ont été infecte par un ver qui a cherché à se propager.