Journal Le domaine linux.org détourné

Posté par (page perso) . Licence CC by-sa.
51
9
déc.
2018

Vendredi 7 décembre, vers 0430 UTC, les serveurs de noms faisant autorité pour linux.org (à ne pas confondre avec linuxfr.org) ont été modifiés. Les nouveaux serveurs indiquaient comme adresse IP pour linux.org un serveur Web pirate (208.91.197.27, le serveur Web habituel étant chez Cloudflare, en 104.27.166.219 et 104.27.167.219). Apparemment (je n'ai pas pu le voir), le contenu comprenait diverses insultes contre Linux ("G3T 0WNED L1NUX N3RDZ") et Linus Torvalds, certaines reliées aux nouvelles conditions de participation à Linux.

Le service de « passive DNS » DNSDB nous montre le changement. Alors que les serveurs DNS normaux sont chez Cloudflare, on avait :

;;  bailiwick: org.
;;      count: 593
;; first seen: 2018-12-07 04:36:31 -0000
;;  last seen: 2018-12-07 18:08:20 -0000
linux.org. IN NS ns43.worldnic.com.
linux.org. IN NS ns44.worldnic.com.

;;  bailiwick: linux.org.
;;      count: 455
;; first seen: 2018-12-07 04:36:31 -0000
;;  last seen: 2018-12-08 12:16:25 -0000
linux.org. IN NS ns43.worldnic.com.
linux.org. IN NS ns44.worldnic.com.

D'après un message sur le forum de linux.org, le compte au bureau d'enregistrement (Network Solutions, connu pour ses pratiques et sa mauvaise sécurité) a été piraté quelques heures avant le changement de serveurs DNS, apparemment via un rappel de mot de passe envoyé à une adresse Yahoo qui était elle-même piratée.

C'est l'occasion de rappeler que de sécuriser le site Web ne sert à rien si on ne sécurise pas aussi le DNS qui y mène ! C'est d'autant plus important que, dans beaucoup d'organisations, le serveur Web est blindé et le compte au BE et à l'hébergeur DNS sont ouverts à tout vent (genre post-it sur un mur).

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.