Journal Attaque sur les serveurs d'hébergement

13
25
mai
2013

En début de semaine, un serveur au Luxembourg (94.242.237.122) a essayé à 3 reprises de casser le mot de passe administrateur du site Wordpress de l'association GOALL. je l'ai signalé à l'hébergeur du serveur (root.lu) qui a étrangement fermé le ticket sans répondre. Sur WOT, cet hébergeur est mal noté car il met ses serveurs à disposition de spammeurs russes et il distribue des malwares (voir https://www.mywot.com/en/scorecard/root.lu). Je doute donc qu'il fasse quoi que ce soit.
Cerise sur le gâteau, depuis hier soir, notre site et nos listes de discussion sont down, le serveur que nous louons chez PlanetHoster est victime d'une attaque DDOS :

Bonjour Cher(ère) client(e),

Une attaque DDOS est actuellement en cours sur l'infrastucture JAKA. Nous mettrons à jour cet article dès que possible.

Mises à jour:


UPDATE 19h19 (heure FR) : Une intervention est actuellement en cours sur l'infrastucture JAKA
UPDATE 01h08 (heure FR) : Le souci a été réglé définitivement.
UPDATE 08h36 (heure FR) : Le problème s'est reproduit mais d'une plus grande envergure. L'attaque sur l'infrastructure Jaka est d'environ 5.6gbps. Nous faisons le nécessaire le plus rapidement possible.


Cordialement,
Équipe de PlanetHoster

C'est la deuxième fois que cela nous arrive chez PlanetHoster cette année et à la fin d'une attaque, on n'a aucune information technique (qui a attaqué et comment). Apparemment, les hébergeurs portent rarement plainte, ils se contentent d'attendre la fin en déviant les flux. Dommage car seule la justice pourrait arrêter ces nuisibles.
Pourtant, il y a des interlocuteurs mais prennent-ils vraiment en compte nos petits soucis? Un colonel de gendarmerie m'a expliqué l'année dernière qu'ils s'occupaient surtout des attaques qui portaient atteinte au droit d'auteur (copie illicites de logiciels et tout ce qui rapporte de la TVA) et aux entreprises stratégiques (lesquelles?).
http://www.securiteinfo.com/conseils/porterplainte.shtml
http://www.risques.gouv.fr/menaces-majeures/cyber-attaque

  • # bataille contre les moulins

    Posté par (page perso) . Évalué à 7.

    Les attaques de dénie de service distribué sont difficiles et parfois impossible à stopper pour un hébergeur. Quand ça dépasse la taille du tuyau, il n'y a rien qui puisse être fait. Les mesures doivent être prises en amont.

    Les détails techniques ne sont pas forcément intéressants, car le but est souvent tout simplement de faire saturer le tuyau.

    Qui a attaqué ? Comment le savoir, si ce n'est pas revendiqué, quand tu reçois des Gbits/s provenant de milliers d'IPs géolocalisés partout dans le monde. Ces attaques sont lancés par des botnets, des machines compromises.

    Porter plainte est long et fastidieu, et il est peu probable que la justice soit capable de faire quoi que ce soit. Comment obtenir des logs de machines en asie, en europe de l'est, en amérique du sud ? Même si des traces permettent de remonter aux coupables qui appuient sur le bouton rouge, combien de temps et d'effort cela prendra t-il ?

    Les hébergeurs preferrent se protéger avec des bécanes monstrueuses, dédiées aux filtrages des attaques (plus qu'un bête firewall, avec DPI pour détecter des attaques plus complexes), ce qui n'empêchera pas les botnets de continuer à flooder, mais protège leur réseaux.

    • [^] # Re: bataille contre les moulins

      Posté par (page perso) . Évalué à 7.

      Je ne sais pas si porter plainte est long et fastidieux. Notre association a écrit ce matin à pppj-befti-gestion@interieur.gouv.fr et à judiciaire@gendarmerie.interieur.gouv.fr , on verra s'il y a une suite.
      Je ne suis pas d'accord sur le fait qu'il ne faut rien faire. Bien souvent, une enquête dure longtemps mais aboutit parce qu'il y a eu une toute petite plainte au départ. Si personne ne fait d'effort, les choses empireront, c'est sûr.

      • [^] # Re: bataille contre les moulins

        Posté par (page perso) . Évalué à 3.

        Bien souvent, une enquête dure longtemps mais aboutit

        Bien souvent une plainte reste dans un coin. Faute de temps, d'envie, d'engagement. La faute également aux statistiques qui montrent que lorsqu'on a peu d'info et que le problème n'est pas jugé important, il ne vaut pas la peine de passer des centaines d'heures à élucider un truc qui débouchera sur une condamnation ridicule.
        On peut penser que c'est bien dommage, mais le système donne ce résultat.

        Un cambriolage en flagrant délit coûte 70 heures de travail (source = discussion avec les policiers du coin. Fiabilité = moyenne). Il y a (quasi) zéro enquête, l'audition est vite faite, le jugement expéditif. Dans les délits un poil important il n'y a pas plus court.

        • [^] # Re: bataille contre les moulins

          Posté par . Évalué à 2.

          Encore faut il pouvoir porter plainte…
          Je me souviens d'avoir essayé pour un rétroviseur cassé avec un témoin, après 5 tentatives, j'ai renoncé.

          • [^] # Re: bataille contre les moulins

            Posté par (page perso) . Évalué à 5. Dernière modification le 26/05/13 à 15:22.

            Une première réponse a été reçue de judiciaire@gendarmerie.interieur.gouv.fr. Vu qu'elle est anonyme, je peux donc la diffuser ici :

            Bonjour

            A la lecture des faits exposés, nous vous invitons à prendre attache avec la brigade de gendarmerie ou le commissariat de police dont vous dépendez, pour y déposer une plainte. En effet, notre service ne prend pas les plaintes, son rôle est d'orienter les enquêteurs de terrain et de constater directement les infractions à la loi pénale sur le réseau Internet.
            Cette démarche est nécessaire, afin de pouvoir démarrer une enquête judiciaire conforme au droit français.

            Auparavant, nous vous invitons à constituer un dossier comprenant toutes les pièces en votre possession qui permettront de caractériser l'infraction et faciliter la localisation de son auteur (mails, logs de connexion, échanges de tout type, adresses IPs…). Nous vous invitons aussi à fournir au service qui prendra votre signalement, le pseudo et l'adresse électronique des internautes qui ont un comportement suspect.

            Dans votre cas, il convient de communiquer aux enquêteurs les logs enregistrés par votre serveur au moment des tentatives de crackage du mot de passe administrateur de votre site, et de tous les accès illégitimes que vous constatez.
            Concernant l'attaque DDos dont est victime votre hébergeur, il ne dépend pas des autorités de notre pays (s'agissant d'un prestataire canadien).

            Pour tout message ayant trait à la cybercriminalité, une nouvelle plate forme de signalements a été créée.
            Nous vous invitons donc à vous rendre sur le site https://internet-signalement.gouv.fr
            et d'y dénoncer tout agissement que vous considérez comme suspect sur la toile.

            Vous souhaitant bonne réception,

            Division de Lutte contre la CyberCriminalité
            Service Technique de Recherches Judiciaires et de Documentation

            Commentaires :
            Ils n'ont pas cherché bien loin pour botter en touche, Planethoster n'est pas uniquement Canadien mais a ses serveurs et son agence sont à Paris. Et même s'il était uniquement au Canada, je ne vois pas pourquoi il ne faudrait pas faire d'enquête vu que c'est notre association qui subit un préjudice et pas seulement Planethoster.
            Le commissariat de police n'enregistrera jamais un dépôt de plainte pour ce petit souci et ils n'y comprendront d'ailleurs rien. La dernière fois que j'y suis allé, c'était suite au vol de la sacoche du facteur avec tout son courrier dedans, il s'était fait tabasser. Le soir, j'ai reçu un appel d'un type avec un accent de la banlieue (ziva, donnez-moi votre code de carte bleue, on a un souci avec votre compte), il avait récupéré ma nouvelle carte bancaire qui était dans la sacoche. J'ai fait comme si de rien n'était et lui ai proposé de regarder dans mes papiers et de le rappeler. Cet abruti m'a donné un numéro de téléphone portable et quand j'ai fait ce numéro, je suis bien tombé sur lui! Quand je suis allé au commissariat, un policier au nez rouge et pas très clair tapotait d'un doigt au clavier de son ordinateur, véridique! Il n'a pas voulu enregistrer la plainte ni prendre le numéro de portable du voleur (inutile d'après lui). Son chef qui est passé dans le bureau m'a demandé ce qui se passait, il a finalement dit qu'il fallait enregistrer la plainte et la noter dans leur logiciel. Il est sorti et le nez rouge a quand même refusé de prendre la plainte et de noter sur son ordinateur (l'écran devait être flou) et m'a juste demandé de faire une main courante.
            Une autre fois, j'ai pris en stop un type près de Nancy, à l'entrée de l'autoroute (je ne le fais plus et vous déconseille de le faire). Je l'ai déposé à Metz, près de la gare SNCF. On a bien discuté et échangé nos coordonnées, il était tchèque et rentrait à Prague. En rentrant, je lui ai envoyé un mél et en cherchant plus d'infos sur lui, je suis tombé sur un avis de recherche sur le site du ministère de la justice! J'ai imprimé l'avis et amené ses coordonnées à l'hôtel de police, ils m'ont tout simplement envoyé balader (pas de leur ressort mais peut-être de celui de la police de l'air et des frontières).

            Alors, là, pour une simple attaque DDOS, ce n'est même pas la peine que je passe du temps à aller les voir à nouveau ni à remplir un formulaire sur https://internet-signalement.gouv.fr qui sera lu et classé aussi sec.

            • [^] # Re: bataille contre les moulins

              Posté par (page perso) . Évalué à 5.

              C'est bête, mais ils n'ont rien prévu concernant les attaques informatiques sur https://internet-signalement.gouv.fr . On peut juste cocher :
              - Pédophilie ou corruption de mineur sur Internet
              - Incitation à la haine raciale ou provocation à la discrimination de personnes en raison de leurs origines, de leur sexe, de leur orientation sexuelle ou de leur handicap
              - Menaces ou incitation à la violence
              - Trafic illicite (stupéfiants, armes, etc.)
              - Mise en danger des personnes
              - Incitation à commettre des infractions
              - Spam
              - Injure ou diffamation
              - Escroquerie

              Donc déjà là, je soupçonne fortement qu'en France, il n'y a aucun service capable de traiter ces problèmes.

    • [^] # Re: bataille contre les moulins

      Posté par (page perso) . Évalué à 2. Dernière modification le 25/05/13 à 11:25.

      On peut espérer trouver un botnet infecté en France et récupérer des logs identifiant le diffuseur du botnet. Le problème, c'est qu'il y a peu d'accords juridiques avec les autres pays et certains pays légalisent ces pratiques.

      • [^] # Re: bataille contre les moulins

        Posté par . Évalué à 1.

        On peut espérer trouver un botnet infecté en France et récupérer des logs identifiant le diffuseur du botnet.

        Si le gars n'est pas trop manchot le diffuseur du botnet sera aussi une machine infectée tant qu'à faire dans un pays ou la sécurité informatique est le cadet de leur soucis, donc tu seras bien avancé..

        • [^] # Re: bataille contre les moulins

          Posté par (page perso) . Évalué à 1.

          Oui, c'est bien pour cela que je disais que le manque d'accords juridiques entre les pays rend les enquêtes difficiles et longues, voire impossibles. Et je suppose aussi que le diffuseur du botnet efface ses traces au bout d'un moment sur la machine infectée pour qu'on ne puisse pas remonter jusqu'à lui.

      • [^] # Re: bataille contre les moulins

        Posté par . Évalué à 4.

        Le seul accord dont on ait besoin c'est avec les États-Unis, qui ont des drônes armés, et…

        euh, ok! ---------------> [ ]

      • [^] # Re: bataille contre les moulins

        Posté par (page perso) . Évalué à 1.

        mm c'est pas faux. Dernièrement nous avons subit un DDoS (SYN flood depuis des IP spoofées + interrogation de diverses pages HTTP en boucle depuis un botnet). On a été étonné sur le coup de voir que parmi les machines du botnet en question, il y avait le serveur de mail de la ville de Nantes. La moindre des choses serait au moins de prévenir l'admin de la machine en question, mais comme tu l'indiques une plainte serait probablement utile ici, puisque des logs existent sont peut-être présents sur la dite machine.

        alf.life

        • [^] # Re: bataille contre les moulins

          Posté par . Évalué à -9.

          parmi les machines du botnet en question, il y avait le serveur de mail de la ville de Nantes

          Quel système fait tourner le serveur de Nantes ? :P

          • [^] # Re: bataille contre les moulins

            Posté par (page perso) . Évalué à 3.

            A vue de nez, un linux, si on parle du mx de nantes.fr.

            En fait, la machine semble être assez vielle, sans doute un truc de 2005, 2006 au vue de la bannière ssh. Je dirais qu'il s'agit d'un sme server 7.0, mais je peux me tromper.

            Ensuite, si la machine fait aussi serveur de firewall ( ce qui est assez courant dans les PME avec 1 ip routable ), l'ip de l'attaquant externe correspond pas exactement à l'ip en réseau local de la machine qui attaque, qui est en fait un poste de travail derrière le firewall. Ceci dit, ici, ça ne semble pas être le cas.

    • [^] # Re: bataille contre les moulins

      Posté par (page perso) . Évalué à 1.

      Quand ça dépasse la taille du tuyau, il n'y a rien qui puisse être fait. Les mesures doivent être prises en amont.

      Il existe des communautés BGP appelés blackhole qui sont prévues à cet effet. Elle permettent de bloquer le trafic a destination d'une IP directement en bordure chez tes fournisseurs. Cela suppose de mettre l'IP cible dans le noir. Mais c'est mieux que rien.

      Qui a attaqué ? Comment le savoir, si ce n'est pas revendiqué,

      Généralement l'IP cible te permet de te faire une bonne idée. Après si tu gaves tes mutualisés à mort …

  • # root.lu

    Posté par (page perso) . Évalué à 2.

  • # Porter plainte çà marche ?

    Posté par . Évalué à -10. Dernière modification le 26/05/13 à 00:08.

    Et quelqu'un a-t'il pu obtenir des résultats significatifs en portant plainte contre ce genre de problème ?
    Je pose la question parce que je ne vois pas comment il vont apporter facilement une preuve surtout si c'est un signe avant coureur (ou une diversion).
    (Ben oui c'est peut-être un signe avant coureur)

    • [^] # Re: Porter plainte çà marche ?

      Posté par (page perso) . Évalué à 1.

      Avant coureur de quoi?

      • [^] # Re: Porter plainte çà marche ?

        Posté par . Évalué à -10.

        Avant coureur de quoi?

        C'était une supposition!
        Les attaques se font souvent en deux phases lorsqu'on veut vraiment le faire.
        On teste une cible et on regarde comment il réagit.

        Si je ne me trompe pas, des attaques sur les sites gouvernementaux américains ont été fait pour masquer des vols de données, lesquels vols se font avec une attaque plus softs.
        (Je crois que parmi les vols il y a eu des plans du F35 ?)

        Je répète: c'est une hypothèse.
        (Il doit bien y avoir des informations intéressantes à glaner au Luxembourg)

  • # Toujours en rade

    Posté par (page perso) . Évalué à 1. Dernière modification le 26/05/13 à 10:27.

    2 jours et demi maintenant que le site affiche la page d'accueil d'Apache. Ça commence à faire long pour régler une attaque DDOS.
    Et c'est la deuxième fois :
    https://support.planethoster.net/index.php?/QC/News/NewsItem/View/82/intervention--infrastucture-jaka
    https://support.planethoster.net/index.php?/QC/News/NewsItem/View/69/regle-attaque-ddos-sur-le-serveur-jaka

    Je n'arrive pas à trouver un hébergeur de qualité. o2switch ne s'en sort pas avec les attaques sur sa messagerie (il est sans cesse blacklisté et les méls refusés), Planethoster ne résiste pas aux attaques DDOS sur ses serveurs Web. Les offres mutualisées des autres hébergeurs limitent la taille des pièces jointes dans la messagerie et ne sont pas aussi intéressantes. Ça me gonfle sérieusement ces attaques.

    • [^] # Re: Toujours en rade

      Posté par (page perso) . Évalué à 5.

      Les offres mutualisées des autres hébergeurs limitent la taille des pièces jointes dans la messagerie et ne sont pas aussi intéressantes.

      Il faut peut-être se demander pourquoi c'est si bon marché chez Planethoster.

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

    • [^] # Re: Toujours en rade

      Posté par (page perso) . Évalué à 2.

      Autre hébergeur pas top, 1&1 suspend les comptes dès qu'il y a le moindre souci (retard de paiement ou site surchargé).

    • [^] # Re: Toujours en rade

      Posté par (page perso) . Évalué à 2.

      Tu peux nous dire quels sont les services proposés et à quel prix histoire qu’on puisse te conseiller ?

    • [^] # Re: Toujours en rade

      Posté par (page perso) . Évalué à 5.

      Je n'arrive pas à trouver un hébergeur de qualité

      Tu fais comme tout le monde : tu vas chez OVH.
      Pour te prendre un DDOS chez OVH, il faut que l'attaquant soit décidé à gaspiller vraiment beaucoup d'argent.

    • [^] # Re: Toujours en rade

      Posté par (page perso) . Évalué à 3.

      Les e-mails peuvent être géré ailleurs… rien à voir avec l'hébergement pour les sites.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.