Journal Frimouvy piraté

Posté par  (site web personnel) .
Étiquettes : aucune
0
11
fév.
2005
Je feuilletais mes bookmarks et en allant sur http://frimouvy.udev.org/gnome26/(...) j'ai vu que des petits comiques qui se font appeler simiens étaient passés par la pour "défigurer" le site.

Chose confirmée par le message d'accueil de http://frimouvy.udev.org/,(...) laissant un petit message :

Enquanto Houver Fome Guerra Morte simiens existira
Tant qu'il y aura la Faim la Guerre la Mort simiens existera


Super ! J'avais oublié qu'un site d'information ouvert et qui cause de linux tue des petits n'enfants. Linux en plus, c'est communiste et ça sert la guerre, c'est bien connu. Et les CD de distro, quand t'as que ça à bouffer, ça peut t'affamer !

Ploum doit avoir envie de les bouffer... En v'là un qui mourra pas de faim
  • # 2005 pourri pour ploum

    Posté par  . Évalué à 5.

    L'année commence mal, pour ploum, il me semble.
    Il y avait déja https://linuxfr.org/~ploum/16945.html(...) , et maintenant ça. Pour ce cas particulier, vraiment, les gens sont parfais des vrais boulets.
    J'espere que ça s'améliorera, bonne chance !
  • # Ce n'est sans doute pas une attaque personnelle...

    Posté par  (site web personnel) . Évalué à 3.

    Je pense que ces gens là ont programmé un truc qui tente de hacker le plus de site possible, et qu'ils ne consultent pas les sites qu'ils ont hacké.
  • # Scripts kiddies

    Posté par  (site web personnel) . Évalué à 10.

    Super ! J'avais oublié qu'un site d'information ouvert et qui cause de linux tue des petits n'enfants.


    Il ne faut pas y voir un message politique...
    Si on regarde du côté des specials défacements[1], qui il me semble s'attaquent aux gros serveurs ou aux sites ayant une bonne affluence, alors ont y voit simiens avec un "0% of politically motivated attacks". Pas la peine de chercher plus loin. (La page de défacage est souvent la même pour toutes les attaques).

    D'ailleurs, sur leurs stats[2], je ne serais pas étonné de voir un "just for fun" pour raison de l'attaque. Le site n'y est pas encore, mais en général, ça met quelques jours avant d'être validé.

    De plus, ils procèdent souvent au hasard en cherchant des mots clés dans google trahissant un site potentiellement vulnérable (erreurs mysql, pages phpBB). Ça leur permet d'automatiser leurs attaques. Ils sont en challenge, pas le temps de regarder où ils passent.

    Comme beaucoup de teams, celle là semble venir du Brésil ou les pirates sont tranquilles. D'ailleurs, ils ne se gênent pas pour donner un chan pour les rejoindre et pour discuter. Ils ne sont pas hors la loi.
    Ce genre de message vient peut être du fait qu'ils ne doivent de toutes manière pas avoir un niveau de vie très élevé.


    En général, c'est des scripts kiddies. Leurs seul but, c'est de gonfler leurs stats et de jouer à qui a la plus grosse[3]. D'ailleurs à ce propos, c'est des petits joueurs les simiens. Ils ne sont que dixième. J'aurais honte à leur place.


    Si ils ont procédé de la même manière que les nôtres (nous c'était les 17ièmes. Des encore plus nuls donc), j'espère que Ploum a viré les rootkits (qui étaient dans le /tmp et qui portaient le nom de zap, bindz et r0nin[4]) et descendu les backdoors.


    En tout cas, bon courage pour la suite Ploum. Dis toi que les choses ne peuvent que s'amméliorer (mais si mais si).
    On est derrière toi (même si ça répare pas tes serveurs -_-;)

    [1] http://zone-h.com/en/hallofshame/special(...)
    [2] http://zone-h.com/en/defacements/filter/filter_defacer=simiens/(...)
    [3] http://zone-h.com/en/hallofshame(...)
    [4] S'il y a des pros du désassemblage : http://www.red.not.br/xx/r0nin(...) && http://cracktech.free.fr/bindz(...)
    • [^] # Sondages intéressants

      Posté par  . Évalué à 3.

      Intéressant ce site http://zone-h.com.(...) Il y a une catégorie sondages qui nous permet de mieux les cerner. Les résultats intéressants tombent en rafales :

      - Linux est de loin l'OS le plus vulnérable avec 70% des attaques réeussies (!!!) contre 1% à peine pour MacOSX
      - Mozilla Firefox est le navigateur préféré des pirates avec 70% des suffrages. Ce genre des scores dépasse de très très loin la moyenne, dépasse même peut-être le score de linuxfr.
      - Les script kiddies se recrutent parmi les opposants à la guerre en Irak[1]. On ne trouvera pas de tels scores dans l'électorat de FoxNews.
      - Ce sont égalements des opposants farouches à Microsoft et Palladium[2]
      - Ce sont des gens très attaché au respect de la vie privée sur Internet[3]

      Bref, on a la preuve que Steve Ballmer n'a pas tort quand il dit que Linux est un OS où la sécurité ne peut être assuré (Il manque l'assise d'une très grosse boite qui en assure la responsabilité), que ceux qui réclament un PC sans windows se prétextant linuxiens sont en fait des pirates, et que bref il faut se méfier des opposants à Bush ou à Palladium et des gens arc-boutés contre la ringarde Loi Informatique et libertés ou ceux qui se lamentent contre le nouveau service de MSN en Belgique basé sur la carte d'identité.

      [1] http://zone-h.com/en/quickpoll/id=14/(...)
      [2] http://zone-h.com/en/quickpoll/id=35/(...)
      [3] http://zone-h.com/en/quickpoll/id=3/(...)
      • [^] # Re: Sondages intéressants

        Posté par  (site web personnel) . Évalué à 4.

        en l'occurance il n'y a pas de précisions sur ce que veux dire "reussit".

        Si c'est un script php bidon pas mis a jour depuis v'la le tps, on ne peut rien y faire.
      • [^] # virus,worms,spywares et SELinux , L4 Linux , openBSD

        Posté par  . Évalué à 5.

        Plutot que de généraliser des informations qui n'ont rien de scientifique...
        Autant donner mon propre avis avec des arguments:
        Pour la plupart des gens le pricipal problème de sécurité, de très loin, aujourd'hui c'est les virus/worms/spywares. Du fait de leur nature automatique et de leur facilité à passer les firewalls (http/mail).

        Le simple fait d'utiliser Linux évite la grande majorité de ces logiciels qui exploitent des failles spécifiques à win; notamment la facilité avec laquelle un user peut exécuter (sans même le savoir dans le cas des worms ou spywares) un programme qui modifie les fichiers du système.

        Pour les paranos il existe SELinux, systrace.org, openbsd, Linux pour L4, grsecurity, et bien d'autres ...
        (voir la discussion sur l'intéret de L4 pour la sécurité:
        https://linuxfr.org/2005/02/05/18247.html(...) )
      • [^] # Re: Sondages intéressants

        Posté par  (site web personnel) . Évalué à 5.

        Je me permets de supposer que l'OS n'a rien à voir dans la réussite de défaçage. J'imagine que le problème vient plutôt de scripts foireux (php, perl, etc.).

        Maintenant, où peut-on trouver des infos sur ce type d'attaques pour savoir comment ça se pratique, comment ça s'évite, etc. ?
        • [^] # Re: Sondages intéressants

          Posté par  (site web personnel) . Évalué à 8.

          L'OS a quand même une importance. Si tu regardes les statistiques des teams tu verra qu'il y a des teams spécialisées pour Linux, des teams spécialisés pour windows, des teams polygames.

          C'est bien beau de passer un argument un paramètre dans une variable php, mais c'est léger pour attaquer un serveur.
          Dans notre cas, ils ont passé un shell code qui a permis de récupérer sur le net des binaires qui créent des backdoors qui permettent de se logger en apache (www-data dans notre cas).

          Pour ça, il faut trouver la faille (comme je le disais plus haut, il laissent tourner des scripts qui les repèrent pour eux), ensuite, il faut savoir si on peut faire des appels systèmes, où on peut écrire, est ce qu'on peut exécuter des binaires sur une partition donnée, etc...


          Au passage, je m'aperçois que j'ai oublié une partie de mon post précédent.
          Je parlais de virer les rootkits et les backdoors. J'ai oublié de préciser pourquoi.
          La plupart des défaceurs se contentent de sauver la page principale (index.php -> index.php.back) et de mettre une page personnalisée pour être comptabilisés. Ce n'est pas bien méchant, sans en faire des white hats, ça reste gentil. Par contre, il partent en laissant tout en bordel. Là il y a un risque d'avoir une deuxième vague.
          Les vrai lamerz qui ne savent rien faire et qui cherchent à nuire n'ont qu'à chercher dans google ou sur zone-h le texte affiché par une team quelconque. Ils leur suffit ensuite de scanner la machine et de voir si elle est toujours ouverte.

          Ça paraît bête, et pourtant ça nous est arrivé. On se fait défacer le soir. On se dit c'est pas grave, rien de cassé, on remet la page (interruption de 10 minutes max), on réinstalle un truc béton sur une machine à côté. Vers 4h du mat au moment on veux migrer les données. On commence un tar... qui ne finira jamais. On perd alors toutes les données en www-data (à peine quelques dizaines de giga).

          Donc mieux vaut prévenir que guérir. Virer tous les proces louches, virer la page d'accueil avant qu'elle ne soit référencée dans le doute descendre apache le temps de tout régler. (si mon expérience pouvait servir à quelqu'un, ce ne serait pas mal. Enfin, je préfère que personne n'ai besoin de s'en servir).


          Deuxième chose : Les URL ne semblent plus valides. J'aurais du m'en douter, ça ne peut pas rester bien longtemps au même endroit. Je ne les avais pas testées. Ils ont du foutre leurs binaires ailleurs. Si quelqu'un veut les étudier, j'en ai une copie chez moi, il suffit de me contacter via dlfp.



          Maintenant, où peut-on trouver des infos sur ce type d'attaques pour savoir comment ça se pratique, comment ça s'évite, etc. ?

          Sur zone-h, il y a des bulletins de sécurité régulièrement. Il leur faut quand même une vitrine pour dire que c'est un site sur la sécurité, ça passe mieux que de dire c'est une site de crakers en compétition...

          Sinon, dans mes bookmarks, j'ai ça :
          http://www.secuobs.com/(...)
          http://assiste.free.fr/p/frameset/06.php(...)
          http://www.phrack.org/(...)
      • [^] # Re: Sondages intéressants

        Posté par  . Évalué à 3.

        « Bref, on a la preuve que Steve Ballmer n'a pas tort quand il dit que Linux est un OS où la sécurité ne peut être assuré [...] »

        Alors le systeme le plus sécurisé est (et de loin) MS-DOS:
        http://www.zone-h.org/en/defacements/filter/filter_system=MS+DOS(...)
  • # Mission impossible

    Posté par  . Évalué à 4.

    Je me permets de soulever un paradoxe plutôt intéressant : selon la traduction que tu donnes, les « petits comiques » en question ne s'arrêteront que lorsque la Mort cessera d'exister. Pour cela, il me semble qu'il n'existe que deux possibilités :
    1. la vie devient éternelle. Auquel cas, problèmes démographiques obligent, la Faim et la Guerre se développeront à un rythme très soutenu. A moins qu'on devienne tous homosexuels et qu'on ne pallie pas par la procréation artificielle ;
    2. la vie n'existe plus. La Mort, à ce moment là, n'existera plus non plus.

    Grosso modo, ces gens prônent donc la fin de la vie.
    Ouais ouais, je sais, ils n'ont pas réfléchi aussi loin, je m'en doute.
  • # Et alors ?

    Posté par  (site web personnel) . Évalué à 3.

    Se faire pirater ca fait partie des riques lorsqu'on a un serveur sur Internet. Et puis le webmaster devait bien avoir des backups non ? Donc finalement, c'est pas si grave que ca non ?

    Cette semaine on m'a volé ma voiture, personne n'a laissé son nickname, et bien sur j'avais pas fait de backup. Comme c'etait une vieille voiture (donc meme plus cotée a l'Argus), je ne l'avais pas assurée contre le vol. Le plus drole c'est qu'on m'avait deja volé ma precedente caisse ya 3 mois. Ca l'avait tuée, et j'avais du en racheter une nouvelle, celle qui vient de se faire voler.

    Au prochain vol de ma caisse, je fais un journal en premiere page !
    • [^] # Bon courage ploum

      Posté par  . Évalué à 4.

      Je sais ça veut rien dire mais des scripts kiddies débiles ça vaut mieux que de puissants hackers qui utilisent tes serveurs sans que tu t'en rendes compte pour commettre leur méfait avec ton IP
      Essayons de positiver :)
    • [^] # Re: Et alors ?

      Posté par  . Évalué à 5.

      Essaie de piéger la prochaine.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.