McColo débranché

  • Résumé de l’histoire

McColo Corp est un hébergeur basé en Californie, surtout connu pour sa part importante dans tout ce qui touche à des activités “cyber criminelles”…
Depuis 4 mois, Security Fix récoltait (auprès de diverses sociétés de sécurité) un maximum d’informations sur McColo pour monter un dossier sur leurs activités.
Lundi, le rapport est envoyé aux 2 principaux providers de McColo…
Mardi, l’un des deux, Hurricane Electric, coupe tous les accès Internet de McColo.. Depuis, impossible de joindre toutes leurs machines…
Et, ce qui était prévu ce produit, une baisse de 2/3 des spams dans le monde.
(Bon, je doute, comme d’autres, que cela ai été aussi simple, mais on n’a pas plus d’infos actuellement).

  • Les chiffres

Ci dessous le graph de SpamCop qui était disponible à la date de ce post à cette adresse.

uggy15niv200_

Il résume assez bien tous les graphs que j’ai pu voir sur le sujet, et correspond exactement à ce que j’ai également contasté ( -75% de spams en moyenne jusqu’à ce jour)) sur les serveurs mails dont j’ai la gestion. (Des serveurs dont le nombre de spams quotidiens ce compte toujours en plusieurs millions).

  • Divers

Biensur, les spams n’étaient pas envoyés depuis les serveurs de McColo (çà aurait un peu trop simple à bloquer).
Par contre, les serveurs qui controlaient toutes les machines infectées dans le monde, elles, étaient chez McColo…
Depuis qu’elles ne peuvent plus joindre leur serveurs “maitres”, ces machines infectées n’envoient plus de spams… (pour l’instant)…

Il n’est qu’une question de temps avant que les activités ne reprennent par d’autres providers ou sur d’autres hébergeurs… Mais quand même ça fait drôle de voir à quel point couper un seul hébergeur peut faire chuter instantanément un nombre si important de spams… A quand le retour des spams à leur niveau précédent ?

  • Updates

20Nov2008- L’ISP suédois TeliaSonera a laisser passer du traffic vers McColo en Californie quelques heures. Ceci semble avoir permis à McColo de reconfigurer ses bots pour pointer vers une IP en Russie…

21Nov2008- Les botnets Asprox/Ozdok/Mega-D sont de retour… pas encore de signes de Srizbi/Rustock..

  • Références

WashingtonPost: Lien 1 Lien 2 Lien 3 Lien 4
F-Secure
Sophos
Un [rapport](http://hostexploit.com/downloads/Hostexploit Cyber Crime USA v 2.0 1108.pdf) de HostExploit sur McColo.
McColo up again, down again
Le botnet pointe vers la Russie
Le point par CBL