Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog
26 mai 2011 4 26 /05 /mai /2011 22:45

Un contact, que je remercie au passage, m'a informé que sa compagne avait eu une petite surprise en voulant choisir "son activité" dans une SmartBox.

deface_romeo-juliette.fr_260511.JPG

Par les entêtes HTTP, il semble difficile de déceler si le serveur n'était pas à jour en termes de correctifs (ce qui aurait pu faciliter l'intrusion). Je vais revenir sur ce point plus bas.

 

Un Nmap donne un résultat assez surprenant, par prise d'empreinte (cf. The Art of TCP Scanning) :

 

C:\>"c:\Program Files (x86)\Nmap\nmap.exe" -O --osscan-guess www.romeo-juliette.fr

Starting Nmap 5.51 ( http://nmap.org ) at 2011-05-26 22:42 Paris, Madrid (heure dÆÚtÚ)

Nmap scan report for www.romeo-juliette.fr (82.165.52.73)

Host is up (0.12s latency).

rDNS record for 82.165.52.73: kundenserver.de

Not shown: 938 filtered ports, 57 closed ports

PORT    STATE SERVICE

21/tcp  open  ftp

22/tcp  open  ssh

80/tcp  open  http

81/tcp  open  hosts2-ns

443/tcp open  https

Device type: WAP|general purpose|firewall|broadband routerRunning (JUST GUESSING): Linksys Linux 2.4.X (99%), Linux 2.4.X|2.6.X (98%), Asus Linux 2.6.X (93%), Check Point Linux 2.4.X (90%)

Aggressive OS guesses: OpenWrt White Russian 0.9 (Linux 2.4.30) (99%), OpenWrt 0.9 - 7.09 (Linux 2.4.30 -2.4.34) (98%), OpenWrt Kamikaze 7.09 (Linux 2.6.22) (98%), Linux 2.6.9 - 2.6.21 (95%), Linux 2.6.19 - 2.6.24 (95%), Linux 2.6.18 (94%), Linux 2.6.20.6 (94%), OpenWrt Kamikaze 7.09 (Linux 2.6.17 - 2.6.21) (94%), Asus RT-N16 WAP (Linux 2.6) (93%), Linux 2.6.22 (Fedora 7) (93%)No exact OS matches for host (test conditions non-ideal).

 

OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 24.22 seconds

 

 

Avec un autre scanner, LanSpy, il apparaît que le reverse DNS de l'IP du site est bien sur le domaine : kundenserver.de mais aucune bannière n'est récupérable pour les services actifs sur la machine.

Concernant l'adresse IP elle-même, elle apparatient à l'AS8560, située en Allemagne :

http://www.domaincrawler.com/82.165.52.73

Et avec Robtex, il semble que cette adresse IP soit largement sujette à mutualisation :

http://www.robtex.com/ip/82.165.52.73.html#shared

Liste de domaines "pointant vers la même adresse IP" :

1066artgallery.co.uk
1066artgallery.com
arabianweekends.com
architekt-mergel.com
bds-esc-rouen.fr
bonaventura-gymnasium.de
calindastudio.com
carthago-sb.de
catalystjobs.com
comcat4u.com
djk-aviation.co.uk
ehvw.biz
ehvw.net
elaart.com
emiliano-h.com
esm-mouthpiece.de
eventidee.net
forschungszentrum-ruhr.com
forschungszentrum-ruhr.de
forschungszentrum-ruhr.eu
fridaysound.com
fridaysounds.com
fz-r.com
harfieldpackaging.co.uk
harfieldpackaging.com
hm-interieur.de
hs-design-box.com
hsdesign.de
hsdesignbox.com
i4cem.com
i4cem.info
i4cem.net
i4cem.org
julesetcesar.com
kalkan-holidays.com
kephweb.info
label-design.com
liedergalerie.com
liedergalerie.de
lightfantastique.com
marketing-moderation.de
meliorator.com
mini-centre.co.uk
packung.com
pappelhof.biz
pappelhof.info
perfectweddingsandhoneymoons.com
perfectweddingsandhoneymoons.net
praxis-dermos.com
rbeckerweb.net
romeo-juliette.fr
siktalen.com
sithandone.fr
sporteventoftheyear.com
studiocalinda.com
subjektiveobjekte.com
taekwondo-rosny.org
thorsten-eberhardt.de
tiersarg.net
torschaenke.com
tourment.info
versicherte-gewinnspiele.com
versicherte-gewinnspiele.net
volk-s-wagen.com
www.sithandone.fr
www.thorsten-eberhardt.de
youlovefriday.com

En testant certains de ces domaines, dont http://label-design.com/, il semble que la compromission ne touche pas le serveur HTTP entièrement, mais uniquement certains des domaines qu'il héberge. S'agissant d'un Apache, on pourrait donc supposer que la compromission s'est limitée à un (ou plus) VirtualHost.

 

En poussant un peu plus loin l'investigation, on se rend compte que :

- le site défacé a été indexé par Google (donc le défacement ne date pas d'il y a quelques heures, à priori)

- il reste d'autres pages légimites du site (toujours accessibles via Google), exemple : http://www.romeo-juliette.fr/index.html. Donc tout le "virtualHost" Apache n'a pas été effacé...

- la page d'accueil index.php n'est en fait pas utilisée, et affiche un message intéressant :

index_romeo-juliette.fr_260511.JPG


En accédant à http://www.romeo-juliette.fr/index.html  là, magie, la page de défacement apparaît !

Evidemment, je déconseille d'accéder à ce type de sites compromis (à moins d'utiliser des configurations "durcies"), car leur code source "après altération" peut très bien contenir un petit code d'exploitation !

 

Maintenant, en considérant que la page "malveillante" injectée est en HTML, il est normal que les entêtes HTTP concernant le moteur PHP n'apparaissent pas.

 Le PHP est en version 4.4.9 ! 

 Merci à ACE pour m'avoir fait la remarque :)


Moralité : rien ne sert de durcir l'affichage de la version Apache et ses modules (par la directive ServerTokens, qui serait ici en "ProductOnly"), si le champ "X-Powered-By" des entêtes HTTP indique la version de PHP... idem pour les autres champs visibles dans les entêtes (notamment pour les CMS...).

 

Au passage, la page "index.html" injectée ne semble pas malveillante à première vue en parcourant le code source, ni d'ailleurs d'après VirusTotal :

URL Analysis tool Result
Avira Clean site
BitDefender Clean site
Firefox Clean site
G-Data Clean site
Google Safebrowsing Clean site
Malc0de Database Clean site
MalwareDomainList Clean site
Opera Clean site
ParetoLogic Clean site
Phishtank Clean site
TrendMicro Unrated site
Websense ThreatSeeker Clean site
Wepawet Unrated site
Normalized URL: http://www.romeo-juliette.fr/index.html
URL MD5: f94ecfd338a3f063f266d2022c69f5f5

Et Norton Safeweb ne donne rien non plus :

http://safeweb.norton.com/report/show?url=www.romeo-juliette.fr%2Findex.html


Partager cet article

Repost0

commentaires