Olivier El Mekki

Blog.

• • Accueil
  • Connexion
  • RSS
• • blog (4)
  • design (1)
  • éditoral (1)
  • entreprise (2)
  • HTML (1)
  • javascript (4)
  • jquery (7)
  • Non classé (2)
  • PHP (1)
  • Ruby on Rails (6)
  • sysadmin (7)
  • typolight (6)

• Critère :

• • Accès principal
  • Contact

• Méta
• Catégories
• Recherche
• Site principal

Un apprenti cracker vous ennuie? Dites-le lui!

Si vous avez un serveur dédié et que vous consultez vos logs, vous voyez inévitablement apparaître des attaques. Il y en a tous les jours, et ce n’est pas bien grave tant qu’on maintient son système à jour, mais c’est toujours agaçant. Ce que je vous propose aujourd’hui, c’est une manière de répliquer. Cela ne fonctionne pas toujours, mais c’est toujours une grande satisfaction d’imaginer la réaction de celui qui croyait attaquer en tout anonymat lorsque cela fonctionne.

Comme la plupart d’entre vous, j’utilise google pour faire la majorité de mes recherches. Je me dis souvent que je devrais varier un peu, utiliser un peu plus yahoo et ask, je n’y pense jamais. Il y en a pourtant un que j’utilise de plus en plus :live search.

L’outil

Live search? Pourquoi donc? À cause d’un article publié le mois dernier. J’ai un peu hésité avant de parler de ça ici, mais bon, ça se saura d’une manière ou d’une autre : live search inclue une fonction de recherche par IP.

En apprenant ça, j’ai d’abord pesté contre Microsoft pour les risques de sécurité que cela induit (principalement contre les hébergements mutualisés, comme l’explique ha.ckers.org) et aussi pour le coup contre la vie privée. Vous hébergez sur le même serveur votre site ultra-sérieux de services aux plus grandes multinationales et votre blog de photos sur vos folles soirées nocturnes? Tout le monde peut désormais faire le lien.

Pour cela, il suffit de trouver votre IP (par exemple en utilisant dig, sur les systèmes à base unix) et de faire une recherche. Si, par exemple, l’IP de votre serveur est 192.168.1.1, une requête ip:192.168.1.1 livrera toutes les pages référencées provenant de cette IP.

Et mon cracker, alors?

C’est là que ça devient drôle. La plupart des attaques sont le fait d’adolescents plein d’ambitions qui téléchargent des logiciels executant des attaques automatiques. La plupart du temps, ils ne savent même pas qui ils ont attaqué. Mais les attaques (un peu) plus sérieuses proviennent directement de serveurs.

Ces personnes, jusqu’à maintenant, croient leur anonymat préservé pour peu qu’ils utilisent des hôtes virtuels sur leur serveur HTTP et interdissent l’accès direct par http://IP. Avec la technique de la recherche par IP de live search, il devient très facile de trouver les sites hébergés sur leur serveur, qui ne manqueront pas de fournir un lien de contact.

Vous pouvez alors tranquillement leur envoyer un mail pour leur dire d’arrêter de tester toutes les adresses possible de phpmyadmin sur votre serveur, et que de toutes façons, phpmyadmin, sasux. Effet garanti.

• Cet article a été publié le Mardi 9 septembre, 2008 à 20:57 dans la catégorie sysadmin.
• Vous pouvez suivre les commentaires par RSS 2.0.
• Vous pouvez laisser une réponse, ou un trackback depuis votre propre site.

Laisser un commentaire

Nom (requis)

Email ( ne sera pas publié ) (requis)

Site web

Me prévenir des nouveaux commentaires par e-mail