PHWinfo banniere

Titres
PORTAIL ANNUAIRE ARTICLES COMPARATEUR HÉBERGEURS DEVIS FORUMS RÉDUCTEUR D'URL
Précédent   PHWinfo > Forums Hébergement > Forum Logiciels d'hébergement > fr.comp.os.linux.debats > [long] Re: Que faire en cas de decouverte d'une faille?
 
S'inscrire FAQ Membres Recherche Messages du jour Marquer les forums comme lus
 
fr.comp.os.linux.debats Promouvoir, critiquer et troller sur Linux.

[long] Re: Que faire en cas de decouverte d'une faille?

Réponse
 
LinkBack Outils de la discussion
Vieux 08/06/2006, 21h57   #1
Yves Lambert
Aucun Avatar
 
Messages: n/a
Hébergeur:
Par défaut [long] Re: Que faire en cas de decouverte d'une faille?
Xavier wrote:

> <http://www.certa.ssi.gouv.fr/>
>
> Ils se chargent de retransmettre l'info aux autres CERT.


http://www.certa.ssi.gouv.fr/site/CE...182/index.html
«Mutliples[sic] vulnérabilités sur MySQL
Date de la première version 04 mai 2006
Date de la dernière version 24 mai 2006»
Il semble qu'il y ait un exploit de ces failles "in the wild" sur de
nombreux systèmes *ix.

Caractéristique des sites victimes : MyDNS/apache 2.x/php4.x/ (NB MyDNS
dépend de MySql)

Autres victimes : Bind/Unix/Apache 1.3/PHP4.x

Victimes "MyDNS" le serveur DNS pointe plusieurs sites sur lui même et
d'autres victimes en Round Robin.
Il refuse administrativement toute requête DNS vers d'autres sites que
ceux du pirate.

Requête DNS sur victime linux :
> server 83.72.229.164
Default server: 83.72.229.164
Address: 83.72.229.164#53
> larset.com
Server: 83.72.229.164
Address: 83.72.229.164#53

Name: larset.com
Address: 81.235.231.248
Name: larset.com
Address: 217.120.171.205
Name: larset.com
Address: 83.72.229.164
Name: larset.com
Address: 83.87.9.27
Name: larset.com
Address: 83.72.229.164
> free.fr
Server: 83.72.229.164
Address: 83.72.229.164#53

** server can't find free.fr: REFUSED
> bidart.net
Server: 83.72.229.164
Address: 83.72.229.164#53

> set q=any
> larset.com
Server: Une-Victime-MyDns
Address: Une-Victime-MyDns#53

larset.com
origin = ns.larset.com
mail addr = webmaster.larset.com
serial = 2006060176
refresh = 300
retry = 300
expire = 300
minimum = 180
Name: larset.com
Address: Autre-Victime
Name: larset.com
Address: Autre-Victime2
Name: larset.com
Address: AutreVictime3
Name: larset.com
Address: AutreVictime4
Name: larset.com
Address: AutreVictime5
>


Victimes Bind : le serveur DNS pointe les sites sur lui-même et parfois
une autre victime. Le serveur bind répond à toute requêtes DNS. Requête
DNS sur victime "unix" :
> server Victime-BIND
Default server: Victime-BIND
Address: Victime-BIND#53
>set q=any
> larset.com
Server: Victime-BIND
Address: Victime-Bind#53

Name: larset.com
Address: Victime-Bind
larset.com
origin = ns1.réseau-victime.net
mail addr = root.réseau-victime.net
serial = 2006060815
refresh = 60
retry = 60
expire = 60
minimum = 60
Name: larset.com
Address: Victime-Bind
larset.com nameserver = ns2.victime-bind.net
larset.com nameserver = ns1.victimebind.net
larset.com mail exchanger = 10 relay.larset.com.
>free.fr
Server: Victime-Bind
Address: Victime-Bind#53

Non-authoritative answer:
Name: free.fr
Address: 212.27.48.10
free.fr
origin = freens1-g20.free.fr
mail addr = hostmaster.proxad.net
serial = 2003100701
refresh = 10800
retry = 3600
expire = 604800
minimum = 86400
free.fr mail exchanger = 10 mx.free.fr.
free.fr mail exchanger = 30 mrelay1-2.free.fr.
free.fr mail exchanger = 30 mrelay2-1.free.fr.
free.fr mail exchanger = 30 mrelay2-2.free.fr.
free.fr mail exchanger = 40 mx1-1.free.fr.
free.fr nameserver = freens1-g20.free.fr.
free.fr nameserver = freens2-g20.free.fr.

Authoritative answers can be found from:
free.fr nameserver = freens2-g20.free.fr.
free.fr nameserver = freens1-g20.free.fr.
mx.free.fr internet address = 212.27.42.18
mx.free.fr internet address = 212.27.42.19
mx.free.fr internet address = 212.27.42.20
mx.free.fr internet address = 212.27.42.21
mx.free.fr internet address = 212.27.42.22
mx.free.fr internet address = 212.27.42.23
mrelay1-2.free.fr internet address = 212.27.42.17
mrelay2-1.free.fr internet address = 212.27.42.15
mrelay2-2.free.fr internet address = 212.27.42.16
mx1-1.free.fr internet address = 212.27.42.26


Victimes Linux : les sites internet qui pointent sur les victimes sont
en virtual host sur le serveur Apache. Il y a un bug dans le site
(problème de path absolu).

Victimes Unix : les sites internet qui pointent sur les victimes sont en
VH sur le serveur Apache qui affiche une page de promotion pour des
pansements pour libérer ses cacahuètes (jeu de mot àlc de ma part :
enlarge your peanuts)

On peut parcourir les victimes linux de proche en proche grâce au RRT et
sans doute aussi les victimes Unix de la même manière (quoique Bind
donne moins d'informations que MyDNS qui livre les victimes par lot de 4.

- Les victimes envoient un spam pour élargir ses cacahuètes /via/ un
open relay qui leur sert de smart host.

- Victimes Unix que j'ai repéré :
- en Chine et en Russie. J'ai prévenu le hostmaster russe et son
upstream, je soupçonne le chinois de ne pas être si victime que ça...

Victime Linux : un peu partout dans le monde mais essentiellement France
et Hollande.

+ de machines Linux, admin moins stricts sur la sécurité -> beaucoup
plus de victimes qu'Unix.

Le ver semble préférer les machines qui ont ou semblent avoir une
adresse dynamique.

Exemple de requête http sur un site victime linux, avec mozilla :
http://larset.com/

GET / HTTP/1.1
Host: larset.com
User-Agent: Mozilla/5.0 (X11; dtc; Linux i686; en-US; rv:1.7.12)
Gecko/20060205 MultiZilla/1.8.1.1c Mnenhy/0.7.3.0
Accept:
text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5

Accept-Language: fr,oc;q=0.8,en-gb;q=0.6,zh;q=0.4,en;q=0.2
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-15,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
: PHPSESSID=1c71f73508fbc1426237f9b1f1c22ef7

HTTP/1.x 200 OK
Date: Thu, 08 Jun 2006 19:01:25 GMT
Server: Apache/2.0.54 (Debian GNU/Linux) PHP/4.3.10-16
X-Powered-By: PHP/4.3.10-16
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0,
pre-check=0
Pragma: no-cache
Content-Length: 433
Keep-Alive: timeout=15, max=10000
Connection: Keep-Alive
Content-Type: text/html
<br />

<b>Warning</b>:
main(/home/users/aff/tserw.com/framework/functions.php): failed to open
stream: No such file or directory in
<b>/home/users/aff/tserw.com/index.php</b> on line <b>21</b><br />
<br />
<b>Fatal error</b>: main(): Failed opening required
'/home/users/aff/tserw.com/framework/functions.php'
(include_path='.:/home/users/aff/tserw.com/pear/') in
<b>/home/users/aff/tserw.com/index.php</b> on line <b>21</b><br />

(NB si on ne donne pas de host, la victime sert :
HTTP/1.x 404 Not Found
Date: Thu, 08 Jun 2006 19:08:45 GMT
Server: Apache/2.0.54 (Debian GNU/Linux) PHP/4.3.10-16
Content-Length: 198
Keep-Alive: timeout=15, max=10000
Connection: Keep-Alive
Content-Type: text/html; charset=iso-8859-1

Not Found

The requested URL / was not found on this server.


************************************************** ********************

Les victimes unix se comportent différemment :

Sans host: la page qui est servie est la page par défaut apache 1.3
(tous les fichiers de doc apache sont présents et accessibles en lecture)

Avec host du pirate, la page du pirate est affichée (script php exécué
sans erreur)

Exemple d'en-têtes (avec host : obligé de passer par telnet à cause des
victimes MYDNS beaucoup plus nombreuses)
Trying Victime-Bind...
Connected to Victime-Bind.
Escape character is '^]'.
HTTP/1.1 200 OK
Date: Thu, 08 Jun 2006 19:28:50 GMT
Server: Apache/1.3.36 (Unix) PHP/4.4.2
X-Powered-By: PHP/4.4.2
Set-: PHPSESSID=1cfb67ac5a2545875787c1213777d561; path=/
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0,
pre-check=0
Pragma: no-cache
Content-Language: en
Last-Modified: Wed, 07 Jun 2006 19:28:50 GMT
Keep-Alive: timeout=10, max=100
Connection: Keep-Alive
Transfer-Encoding: chunked
Content-Type: text/html; charset=iso-8859-1

3430
<html>
<head>
<title>Peanuts Enlarge Patch</title>
etc.

sans host:

la page par défaut d'Apache est servie dans la langue requise. Toute la
DOC Apache est présente et accessible.


--
Au fait il y a un copyright? Je dis ça parce que je vais peut-être
fonder un site usenet-neuneus.fr.

-=-=- TagZilla 0.059 -=-=-
  Réponse avec citation
Vieux 10/06/2006, 08h54   #2
Yves Lambert
Aucun Avatar
 
Messages: n/a
Hébergeur:
Par défaut Re: [long] Re: Que faire en cas de decouverte d'une faille?
Yves Lambert wrote:

> Avec host du pirate, la page du pirate est affichée (script php exécué
> sans erreur)

NB les systèmes windows sont aussi exposés.

Je n'ai pas réussi à sauvegarder le fichier qui m'a été servi par une
des machines vérolées mais ça m'a tout l'air d'être un virus ms.

Sinon il semblerait que le nombre de victimes soit en décroissance.

(fu2 fscv)
--
Pour roupiller des alchimistes sans avoir à engourdir à l'attachement,
les crachats pourront utiliser des caramels mous spécialisés comme
http://cjoint.com/ ou http://www.freeuploader.com/

-=-=- TagZilla 0.059 -=-=-
  Réponse avec citation
Réponse

« Discussion précédente | Discussion suivante »

Outils de la discussion

Règles de messages
Vous ne pouvez pas créer de nouvelles discussions
Vous ne pouvez pas envoyer des réponses
Vous ne pouvez pas envoyer des pièces jointes
Vous ne pouvez pas modifier vos messages
Les balises BB sont activées : oui
Les smileys sont activés : oui
La balise [IMG] est activée : oui
Le code HTML peut être employé : non
Trackbacks are oui
Pingbacks are oui
Refbacks are oui


Fuseau horaire GMT +1. Il est actuellement 23h06.

PHWinfo - Forum spécialisé en hébergement - Guide Hébergeur - Guide Hébergement - Archives

Édité par : vBulletin® version 3.7.2
Copyright ©2000 - 2008, Jelsoft Enterprises Ltd.
Search Engine Friendly URLs by vBSEO 3.2.0 RC5 Tous droits réservés.
Version française #16 par l'association vBulletin francophone
PHWinfo est un site Éducation Sans Frontières
Ad Management by RedTyger
©Tous droits réservés par les parties respectives
Page generated in 0,12351 seconds with 10 queries