dimanche 7 avril 2013

Fun with logs - Pirates!

La lecture des "User Agents" dans le log a été répetitive mais instructive. Elle m'a aussi permis de remarquer d'autres traces plus intéressantes.





Par exemple, cette connexion:
X.X.X.X 88.166.82.62 - [30/Dec/2012:06:52:36 +0000] "GET /user/soapCaller.bs HTTP/1.1" 404 345 "-" "Morfeus Fucking Scanner"

Cette connexion est assez inhabituelle pour plusieurs raisons:
  • Elle essaye de se connecter à une page qui n'existe pas sur mon serveur. La page /user/soapCaller.bs serait une page d’administration du CMS Drupal.
  • Elle se connecte directement à l'adresse IP de mon serveur au lieu d'utiliser le nom DNS. C'est probablement un robot qui scanne des plages d'adresses entières plutôt que des attaques ciblées.
  • Le user agent utilisé "Morfeus Fucking Scanner" est celui d'un scanner de vulnérabilités.
D'autres connexions du même type essaient d’accéder à des séries de pages d'administration de PhpMyAdmin et d'autres outils:
X.X.X.X 88.166.82.62 - [05/Feb/2013:02:56:13 +0000] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 345 "-" "ZmEu"
X.X.X.X 88.166.82.62 - [05/Feb/2013:02:56:13 +0000] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 345 "-" "ZmEu"
X.X.X.X 88.166.82.62 - [05/Feb/2013:02:56:14 +0000] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 345 "-" "ZmEu"
Cette fois le user agent utilisé est "Zmeu" qui est aussi le nom d'un monstre de la mythologie roumaine. La première connexion semble laisser une signature de groupe "w00tw00t.at.blackhats.romanian.anti-sec".


Je retrouve aussi des traces laissées par un scanner de ports appelé "DFind":
X.X.X.X - - [05/Feb/2013:09:24:57 +0000] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 349 "-" "-"


Un autre scanner revient plusieurs fois, avec la signature "muieblackcat"  et recherche un très grand nombre de pages php dont voici un extrait.
X.X.X.X 88.166.82.62 - [11/Feb/2013:02:16:43 +0000] "GET /muieblackcat HTTP/1.1" 404 345 "-" "-"
X.X.X.X 88.166.82.62 - [11/Feb/2013:02:16:43 +0000] "GET //index.php HTTP/1.1" 418 1370 "-" "-"
X.X.X.X 88.166.82.62 - [11/Feb/2013:02:16:54 +0000] "GET //admin/index.php HTTP/1.1" 404 345 "-" "-"
X.X.X.X 88.166.82.62 - [11/Feb/2013:02:16:54 +0000] "GET //admin/pma/index.php HTTP/1.1" 404 345 "-" "-"


D'autres connexions sans User-Agent, ni signature:
X.X.X.X 88.166.82.62 - [29/Jan/2013:01:20:59 +0000] "GET / HTTP/1.1" 200 1371 "-" "-"
X.X.X.X 88.166.82.62 - [29/Jan/2013:01:21:00 +0000] "GET /phpldapadmin/ HTTP/1.1" 404 345 "-" "-"
X.X.X.X 88.166.82.62 - [29/Jan/2013:01:21:00 +0000] "GET /phpldapadmin/htdocs/ HTTP/1.1" 404 345 "-" "-"
X.X.X.X 88.166.82.62 - [29/Jan/2013:01:21:01 +0000] "GET /phpldap/ HTTP/1.1" 404 345 "-" "-"
X.X.X.X 88.166.82.62 - [29/Jan/2013:01:21:02 +0000] "GET /phpldap/htdocs/ HTTP/1.1" 404 345 "-" "-"
X.X.X.X 88.166.82.62 - [29/Jan/2013:01:21:02 +0000] "GET /admin/ HTTP/1.1" 404 345 "-" "-"


Et aussi quelques tentatives utilisant le DNS:
X.X.X.X www.htcpcp.net - [21/Jan/2013:17:55:53 +0000] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 345 "http://HTCPCP.NET/phpmyadmin/scripts/setup.php" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
X.X.X.X www.htcpcp.net - [21/Jan/2013:17:55:53 +0000] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 345 "http://HTCPCP.NET/phpmyadmin/scripts/setup.php" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"

Des attaques destinées aux serveurs IRC
X.X.X.X - - [13/Jan/2013:18:01:24 +0000] "CONNECT X.X.X.X:6667 HTTP/1.0" 501 357 "-" "-"
X.X.X.X X.X.X.X:6667 - [13/Jan/2013:18:01:24 +0000] "POST http://X.X.X.X:6667/ HTTP/1.0" 418 1358 "-" "-"
X.X.X.X - - [13/Jan/2013:18:01:24 +0000] "CONNECT X.X.X.X:6667 HTTP/1.0" 501 357 "-" "-"

X.X.X.X X.X.X.X:6667 - [13/Jan/2013:18:01:24 +0000] "POST http://X.X.X.X:6667/ HTTP/1.0" 418 1358 "-" "-"


Je constate qu'une bonne partie de mes logs correspond à des personnes curieuses ou mal intentionnées. On ne peut pas vraiment parler de pirates ou de hackers, mais plutôt de "script kiddies". En tout cas, il faudra un jour que je me penche sur la sécurité de ma théière. Peut-être renforcer mes règles iptables, mettre en place Fail2ban ou installer un IDS complet tel que Snort. Surtout que dans ce log, je ne vois que les connexions sur le port 80. Je suis sur que le trafic sur le port 22 (SSH) serait tout aussi intéressant à étudier.

crédit image: Oren neu dag (Own work) [CC-BY-SA-3.0], via Wikimedia Commons)

2 commentaires:

  1. " On ne peut pas vraiment parler de pirates ou de hackers, mais plutôt de "script kiddies". "

    C'est souvent le cas dont la plupart utilisent des scripts trouvés sur des forums et pensent qu'ils ont inventés internet...

    De toute façon pourquoi utiliser un scanner sur cette page étant donné la simplicité de celle ci il faudrait être fort pour y greffer une faille :-D (WTF ???)

    https://securecdn.disqus.com/uploads/mediaembed/images/466/340/original.jpg

    En tout cas j'apprécie beaucoup le travail que tu effectue sur ce blog

    Merci :-)

    RépondreSupprimer
    Réponses
    1. Merci pour ton message;-)

      Je te donnes un scoop: mon prochain post sera sur la mise en place d'UptimeRobot.

      Supprimer