Blog de Geeek, le blog geek par excellence par Ludovic Toinel ... - Balise - bruteforce

Bruteforce SSH : Mais d'où proviennent les machines qui attaquent ?

Ludovic Toinel — Sat, 24 May 2008 20:11:00 +0200

C'est la question que je me suis posée il y a quelques mois, mais d'où proviennent les attaques SSH sur mon serveur ?

Après avoir installé Fail2ban il y a exactement 2 mois, j'ai analysé les logs et généré une synthèse de la provenance des attaques que voici :

La plus part des attaques proviennent des USA, suivi par la France, la Chine et l'Italie, l'Allemagne et la Pologne.

S'agit t'il de machines vérolées ? De newbies qui s'amusent avec des outils téléchargés sur Internet ? Après avoir réalisé des Whois sur certaines de ces machines, il semble s'agir principalement de serveurs infectés.

Administrateurs de serveur Linux/Unix, faites très attention aux mots de passe que vous utilisés. Évitez les comptes "toto", "test", "server" avec comme mot de passe "password", "passwd", "pwd", "1234", "azerty", "test" .. Sinon gare à votre serveur.

Sex Bruteforcing Toolz Warez Password Recovery Script Kiddies

Ludovic Toinel — Mon, 24 Sep 2007 23:27:00 +0200

Dotclear2 XML-RPC Brutforce Password Cracker

Ludovic Toinel — Wed, 30 Aug 2006 23:14:00 +0100

Je viens de découvrir l'interface XML-RPC de Dotclear2, cette interface Webservices permet de communiquer à distance avec Dotclear2. Très pratique pour blogger depuis un téléphone mobile par exemple (Moblog).

Cette interface Webservice dispose de nombreux services sont joignables depuis cette URL : http://monblog.com/xmlrpc

En analysant les services publiés , j'ai découvert un service appellé : "blogger.getUserInfo". Ce service permet d'obtenir les informations d'un compte à condition que vous possédiez le login et le mot de passe de celui-ci.

Voici donc la manière utiliser la librairie Apache XML-RPC pour appeler ce service web distant.

 java 

// Initialisation des paramètres
String login = "toto";
String password = "tata";
URL url = new URL("http://www.geeek.org/xmlrpc/"); 

// Initialisation du client Xml-RPC
XmlRpcClientConfigImpl config = new XmlRpcClientConfigImpl();
config.setServerURL(url);

XmlRpcClient client = new XmlRpcClient();
client.setConfig(config);

// Initialisation des paramètres d'appel au service
Object[] params = new Object[]{"null", login, password};

// Appel au service
HashMap result = (HashMap) client.execute("blogger.getUserInfo", params);
String firstname = (String)result.get("firstname");

// Vérification du résultat
if ( firstname != null) {
	System.out.println("Yess !");
} else {
      System.out.println("Arrff");
}

A partir de ce bout de code, je me suis donc amusé à réaliser un bruteforce password cracker en Java.

Il est aussi possible d'appeller les autres services publiés en suivant ce bout de code et ainsi pouvoir consulter son blog et l'administrer, le tout à distance en XML-RPC. Je reviendrai plus tard sur cet aspect méconnu du grand public.