ovh - un dimanche sympa

Bonjour,

pour se detendre un dimanche, je teste mon nouveau jouet :
l’aspirateur de packets :)

Ca commence avec un email sur abuse@

#Aug 15 09:05:31 2010 .. Aug 15 09:05:32 2010
# Scan from 91.121.76.84 affecting at least
# 1117 addresses targeting TCP:8443.

Je regarde le serveur :
root 9243 0.0 0.0 5412 1156 pts/3 S Aug05 0:00 ./plesk 130 vuln.txt pass 600
root 9244 0.0 0.0 5412 1156 pts/3 S Aug05 0:00 ./plesk 130 vuln.txt pass 600
root 9245 0.0 0.0 5412 1156 pts/3 S Aug05 0:00 ./plesk 130 vuln.txt pass 600

[root@ns351643 ]# last | grep head
[root@ns351643 ]# w
11:22:44 up 20 days, 3:29, 1 user, load average : 0,00, 0,06, 1,18
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/5 cache.ovh.net 11:21 0.00s 0.02s 0.01s w
[root@ns351643 ]#

hacké bien comme il faut. en root. les binaires chancgés.

[root@ns351643 ]# uname -a
Linux ns351643.ovh.net 2.6.34-xxxx-std-ipv4-32 #2 SMP Thu Jun 17 07:12:38 UTC 2010 i686 i686 i386 GNU/Linux

[root@ns351643 ]# netstat -tanpu | grep ESTA
tcp 0 0 91.121.76.84:22 89.114.114.203:64398 ESTABLISHED 9297/4
tcp 0 0 91.121.76.84:22 213.186.50.100:60664 ESTABLISHED 9254/5
tcp 0 0 91.121.76.84:53444 69.16.172.40:6667 ESTABLISHED 838/bash
udp 0 0 127.0.0.1:55218 127.0.0.1:55218 ESTABLISHED 11440/postmaster

hacké en root.

en aspirant 69.16.172.40, je retrouve les serveurs chez ovh hacké de
la même maniere. puis en fouilant sur les autres serveurs je retrouve
d’autres serveurs irc et on aspirant encore et encore je retrouve à
nouveau les serveurs hackés et les nouveaux irc que j’aspire encore.

le resultat des cours :
155 serveurs hackés qu’on va mettre en rescue et bon pour une reinstallation
completes pour cause de hack en root. le noyau pas mis à jour. les softs
irc ou boot ou counter stric demarrés en root. etc. de probleme de securité
basiques.

comment fonctionne mon aspirateur ?

je prends le 69.16.172.40 et je l’aspire ... sssouuuup ...
les packets m’arrive en suite sur un sniffer et je regarde
qui essaie d’utiliser cette IP ...

simple mais tellement efficace :)

aussi ça me permet d’aspirer les IP chez Ovh qui sont hackés et
utilisés pour les botnet. ça permet de connaitre la liste des
IP hackés dans le monde. et donc envoyer un petit email d’alert.

Tout ceci sera public sous peu. Il faut juste un peu d’envie de
faire un site avec une base consultable online.

Bon dimanche à tous.

Octave

Envie de recevoir nos dernières nouvelles? Inscrivez-vous à notre newsletter