J'ai parmi les serveurs que j'administre un serveur qui sert des sites
pour adultes.
Je vous fait un bref topo du contenu pour mieux pouvoir discuter de la
suite.
Il y a plusieurs sites en Virtual Hosts, et il sert des videos d'environ
20Mo en mpeg2. Comme j'ai accès au données, je ne mesuispas gêné, j'en
ai piqué quelques une au pif pour les visionner un peu mais bon, c'est
pas d'un gout spécialement relevé, mais les gouts,...
Ce qui m'épate avec son truc c'est qu'il est arrivé vers moi avec un
serveur à 30Mbps garantis de chez CTN1. A un moment ses sites sont
devenus amorphes, et pour cause, on plaffonait au niveau du débit. Il
vient de me mailer qu'il est monté à 50Mbps (et que je devait surveiller
le réseau pour m'assurer que les pics arrivent bien à 50Mbps, car il les
a payé. Jusque là tout va bien.
Ensuite, je regarde sur l'un des compteurs de visiteurs du site, et je
vois 80~120 visiteurs connectés. Il n'est pas dit si ce sont des visiteur
authentifiés ou pas, mais il y en a 120 d'après le compteur.
D'un autre coté, je fréquente un peu certains chans IRC ou il se
distribue des identifiants pour acceder à ce type de sites. C'est une
industrie qui marche bien. On arrive, on demande, et on est servi. Le truc
c'est qu'ils se vantent de "cracker" les sites en question. A force de
demander, et d'être servi en identifiants, je collecte les passwords, et
ce sont loin d'etre des passwords du type "foo" "bar" "toto" "titi". Ce
sont souvent des passwords bien foutus du type alphanumériques avec des
lettres et des chiffres. Mais des passwords comme ça, il en pleut. Et je
suis carrément certain qu'une bonne partie de ces 120 visiteurs viennent
de ces chans IRC.
Alors quand on ne connait pas le système et qu'on se pose des questions,
on en arrive à deux conclusions possibles:
- Soit apache est vraiment une passoire, parceque 80% des restrictions
d'accès aux "espaces membre" de ces sites sont mis en oeuvre par htacces
(je le sais à la petite fenetre qui m'invite à entrer mes
identifiants, elle est caractéristique), ce qui est quand même dur à
croire. Ce qui est dur à croire c'est que "sur demande", ils te craquent
un Apache.
- Soit il y a un circuit de balancement public de mots de passe histoire
d'alimenter la profession (un peu comme MSoft qui balance des Serial
exprès pour ceux qui ne veulent/peuvent pas acheter Windows).
Le rapport avec la sécurité? Est-on plutot dans le premier cas, ou dans
le deuxième?
Merci. Ca se voit que je débute dans la profession hein? ;-)
A bientot.
--
Miroir de logiciels libres http://www.etud-orleans.fr
Développement de logiciels libres http://aspo.rktmb.org/activites/developpement
Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance
(En louant les services de l'ASPO vous luttez contre la fracture numerique)
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Patrick 'Zener' Brunet
Bonjour.
Je réponds à Rakotomandimby (R12y) Mihamina
[...] Alors quand on ne connait pas le système et qu'on se pose des questions, on en arrive à deux conclusions possibles:
- Soit apache est vraiment une passoire, parceque 80% des restrictions d'accès aux "espaces membre" de ces sites sont mis en oeuvre par htacces (je le sais à la petite fenetre qui m'invite à entrer mes identifiants, elle est caractéristique), ce qui est quand même dur à croire. Ce qui est dur à croire c'est que "sur demande", ils te craquent un Apache.
- Soit il y a un circuit de balancement public de mots de passe histoire d'alimenter la profession (un peu comme MSoft qui balance des Serial exprès pour ceux qui ne veulent/peuvent pas acheter Windows).
Je verrais bien aussi deux variantes de la seconde option "promotionnelle", qui seraient la version idéologique (les partisans du 100% gratuit), et celle visant simplement pour un client à rentabiliser son investissement en revendant son accès "au noir".
En principe, un mot de passe va avec un identifiant et donc avec une IP initiale... Avez-vous essayé de tracer la dispersion ?
Le rapport avec la sécurité? Est-on plutot dans le premier cas, ou dans le deuxième ?
AMHA il y a une forme d'insécurité même dans le second cas : la déstabilisation d'un marché est une forme d'attaque. Si le prestataire tient à son business, il a intérêt à faire d'une divulgation caractérisée un cas de résiliation d'accès. Quant au prestataire d'hébergement, il a vendu un certain trafic et donc il se fait escroquer aussi si le prestataire accepte d'autoriser même par laxisme les débordements (sans parler de choses plus graves selon la nature des accès ainsi autorisés à de parfaits inconnus).
Cordialement,
-- /*************************************** * Patrick BRUNET * E-mail: lien sur http://zener131.free.fr/ContactMe ***************************************/
Bonjour.
Je réponds à Rakotomandimby (R12y) Mihamina
[...]
Alors quand on ne connait pas le système et qu'on se pose des
questions, on en arrive à deux conclusions possibles:
- Soit apache est vraiment une passoire, parceque 80% des restrictions
d'accès aux "espaces membre" de ces sites sont mis en oeuvre par
htacces (je le sais à la petite fenetre qui m'invite à entrer mes
identifiants, elle est caractéristique), ce qui est quand même dur à
croire. Ce qui est dur à croire c'est que "sur demande", ils te
craquent un Apache.
- Soit il y a un circuit de balancement public de mots de passe
histoire d'alimenter la profession (un peu comme MSoft qui balance
des Serial exprès pour ceux qui ne veulent/peuvent pas acheter
Windows).
Je verrais bien aussi deux variantes de la seconde option "promotionnelle",
qui seraient la version idéologique (les partisans du 100% gratuit), et
celle visant simplement pour un client à rentabiliser son investissement en
revendant son accès "au noir".
En principe, un mot de passe va avec un identifiant et donc avec une IP
initiale... Avez-vous essayé de tracer la dispersion ?
Le rapport avec la sécurité? Est-on plutot dans le premier cas, ou
dans le deuxième ?
AMHA il y a une forme d'insécurité même dans le second cas : la
déstabilisation d'un marché est une forme d'attaque. Si le prestataire tient
à son business, il a intérêt à faire d'une divulgation caractérisée un cas
de résiliation d'accès.
Quant au prestataire d'hébergement, il a vendu un certain trafic et donc il
se fait escroquer aussi si le prestataire accepte d'autoriser même par
laxisme les débordements (sans parler de choses plus graves selon la nature
des accès ainsi autorisés à de parfaits inconnus).
Cordialement,
--
/***************************************
* Patrick BRUNET
* E-mail: lien sur http://zener131.free.fr/ContactMe
***************************************/
[...] Alors quand on ne connait pas le système et qu'on se pose des questions, on en arrive à deux conclusions possibles:
- Soit apache est vraiment une passoire, parceque 80% des restrictions d'accès aux "espaces membre" de ces sites sont mis en oeuvre par htacces (je le sais à la petite fenetre qui m'invite à entrer mes identifiants, elle est caractéristique), ce qui est quand même dur à croire. Ce qui est dur à croire c'est que "sur demande", ils te craquent un Apache.
- Soit il y a un circuit de balancement public de mots de passe histoire d'alimenter la profession (un peu comme MSoft qui balance des Serial exprès pour ceux qui ne veulent/peuvent pas acheter Windows).
Je verrais bien aussi deux variantes de la seconde option "promotionnelle", qui seraient la version idéologique (les partisans du 100% gratuit), et celle visant simplement pour un client à rentabiliser son investissement en revendant son accès "au noir".
En principe, un mot de passe va avec un identifiant et donc avec une IP initiale... Avez-vous essayé de tracer la dispersion ?
Le rapport avec la sécurité? Est-on plutot dans le premier cas, ou dans le deuxième ?
AMHA il y a une forme d'insécurité même dans le second cas : la déstabilisation d'un marché est une forme d'attaque. Si le prestataire tient à son business, il a intérêt à faire d'une divulgation caractérisée un cas de résiliation d'accès. Quant au prestataire d'hébergement, il a vendu un certain trafic et donc il se fait escroquer aussi si le prestataire accepte d'autoriser même par laxisme les débordements (sans parler de choses plus graves selon la nature des accès ainsi autorisés à de parfaits inconnus).
Cordialement,
-- /*************************************** * Patrick BRUNET * E-mail: lien sur http://zener131.free.fr/ContactMe ***************************************/
Patrick Mevzek
Le Wed, 15 Jun 2005 15:46:33 +0200, Rakotomandimby (R12y) Mihamina a écrit :
- Soit apache est vraiment une passoire, parceque 80% des restrictions d'accès aux "espaces membre" de ces sites sont mis en oeuvre par htacces (je le sais à la petite fenetre qui m'invite à entrer mes identifiants, elle est caractéristique), ce qui est quand même dur à croire. Ce qui est dur à croire c'est que "sur demande", ils te craquent un Apache.
- Soit il y a un circuit de balancement public de mots de passe histoire d'alimenter la profession (un peu comme MSoft qui balance des Serial exprès pour ceux qui ne veulent/peuvent pas acheter Windows).
Les deux je pense.
La faute n'est pas à Apache, mais éventuellement aux limites du protocole HTTP qu'il faut prendre en compte.
Sauf mécanismes explicites du côté du serveur, il est trivial de mettre en place un automate qui va tester plein de combinaisons possibles de login/mot de passe, ce qui marche d'autant mieux qu'ils sont souvent mal choisis, comme beaucoup de mots de passe. Parfois ils sont imposés, parfois c'est l'utilisateur qui choisit. Mais il n'y a par défaut pas de timeout qui s'allongent avec les tentatives ratées, ou de blocage définitif ou temporaire au bout de X(!) mauvais essais.
Un spyware sur un client peut aussi facilement récupérer ce genre d'informations, ou même une analyse a posteriori, les navigateurs proposant de sauvegarder les informations d'authentification (je ne sais pas cependant avec quel niveau de protection).
Après, il suffit qu'un seul utilisateur donne ses codes (malgré les avertissements comme quoi si ca se découvre ca bloque son accès) pour que tout le monde en profite. Il y a des forums d'échange d'informations, c'est comme les CB en fait.
Donc il faudrait 1) générer des bons couples login/mot de passe 2) monitorer l'usage de chaque couple, et couper dès qu'on voit subitement trop d'accès plus ou moins simultanés de plein d'endroits différents avec le même couple 3) changer les couples régulièrement.
-- Patrick Mevzek . . . . . . Dot and Co (Paris, France) <http://www.dotandco.net/> <http://www.dotandco.com/> Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>
Le Wed, 15 Jun 2005 15:46:33 +0200, Rakotomandimby (R12y) Mihamina a écrit
:
- Soit apache est vraiment une passoire, parceque 80% des restrictions
d'accès aux "espaces membre" de ces sites sont mis en oeuvre par htacces
(je le sais à la petite fenetre qui m'invite à entrer mes identifiants,
elle est caractéristique), ce qui est quand même dur à croire. Ce qui
est dur à croire c'est que "sur demande", ils te craquent un Apache.
- Soit il y a un circuit de balancement public de mots de passe histoire
d'alimenter la profession (un peu comme MSoft qui balance des Serial
exprès pour ceux qui ne veulent/peuvent pas acheter Windows).
Les deux je pense.
La faute n'est pas à Apache, mais éventuellement aux limites du protocole
HTTP qu'il faut prendre en compte.
Sauf mécanismes explicites du côté du serveur, il est trivial de mettre
en place un automate qui va tester plein de combinaisons possibles de
login/mot de passe, ce qui marche d'autant mieux qu'ils sont souvent mal
choisis, comme beaucoup de mots de passe.
Parfois ils sont imposés, parfois c'est l'utilisateur qui choisit.
Mais il n'y a par défaut pas de timeout qui s'allongent avec les
tentatives ratées, ou de blocage définitif ou temporaire au bout de X(!)
mauvais essais.
Un spyware sur un client peut aussi facilement récupérer ce genre
d'informations, ou même une analyse a posteriori, les navigateurs
proposant de sauvegarder les informations d'authentification (je ne sais
pas cependant avec quel niveau de protection).
Après, il suffit qu'un seul utilisateur donne ses codes (malgré les
avertissements comme quoi si ca se découvre ca bloque son accès) pour que
tout le monde en profite. Il y a des forums d'échange d'informations,
c'est comme les CB en fait.
Donc il faudrait
1) générer des bons couples login/mot de passe
2) monitorer l'usage de chaque couple, et couper dès qu'on voit
subitement trop d'accès plus ou moins simultanés de plein d'endroits
différents avec le même couple
3) changer les couples régulièrement.
--
Patrick Mevzek . . . . . . Dot and Co (Paris, France)
<http://www.dotandco.net/> <http://www.dotandco.com/>
Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>
Le Wed, 15 Jun 2005 15:46:33 +0200, Rakotomandimby (R12y) Mihamina a écrit :
- Soit apache est vraiment une passoire, parceque 80% des restrictions d'accès aux "espaces membre" de ces sites sont mis en oeuvre par htacces (je le sais à la petite fenetre qui m'invite à entrer mes identifiants, elle est caractéristique), ce qui est quand même dur à croire. Ce qui est dur à croire c'est que "sur demande", ils te craquent un Apache.
- Soit il y a un circuit de balancement public de mots de passe histoire d'alimenter la profession (un peu comme MSoft qui balance des Serial exprès pour ceux qui ne veulent/peuvent pas acheter Windows).
Les deux je pense.
La faute n'est pas à Apache, mais éventuellement aux limites du protocole HTTP qu'il faut prendre en compte.
Sauf mécanismes explicites du côté du serveur, il est trivial de mettre en place un automate qui va tester plein de combinaisons possibles de login/mot de passe, ce qui marche d'autant mieux qu'ils sont souvent mal choisis, comme beaucoup de mots de passe. Parfois ils sont imposés, parfois c'est l'utilisateur qui choisit. Mais il n'y a par défaut pas de timeout qui s'allongent avec les tentatives ratées, ou de blocage définitif ou temporaire au bout de X(!) mauvais essais.
Un spyware sur un client peut aussi facilement récupérer ce genre d'informations, ou même une analyse a posteriori, les navigateurs proposant de sauvegarder les informations d'authentification (je ne sais pas cependant avec quel niveau de protection).
Après, il suffit qu'un seul utilisateur donne ses codes (malgré les avertissements comme quoi si ca se découvre ca bloque son accès) pour que tout le monde en profite. Il y a des forums d'échange d'informations, c'est comme les CB en fait.
Donc il faudrait 1) générer des bons couples login/mot de passe 2) monitorer l'usage de chaque couple, et couper dès qu'on voit subitement trop d'accès plus ou moins simultanés de plein d'endroits différents avec le même couple 3) changer les couples régulièrement.
-- Patrick Mevzek . . . . . . Dot and Co (Paris, France) <http://www.dotandco.net/> <http://www.dotandco.com/> Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>
Cedric Blancher
Le Wed, 15 Jun 2005 13:46:33 +0000, Rakotomandimby (R12y) Mihamina a écrit :
- Soit il y a un circuit de balancement public de mots de passe histoire d'alimenter la profession
Il y a des sites qui vendent des mots de passe, et même des systèmes très officiels de "protection des enfants" qui en vendent également. Si les sites que tu hébergent sont affiliés à ce genre de truc, alors effectivement, tu es en face de ce genre de situation.
Mais personnellement, 120 connectés, ça me semble assez faible pour ce genre d'hébergement...
-- BOFH excuse #149:
Dew on the telephone lines.
Le Wed, 15 Jun 2005 13:46:33 +0000, Rakotomandimby (R12y) Mihamina a
écrit :
- Soit il y a un circuit de balancement public de mots de passe histoire
d'alimenter la profession
Il y a des sites qui vendent des mots de passe, et même des systèmes
très officiels de "protection des enfants" qui en vendent également. Si
les sites que tu hébergent sont affiliés à ce genre de truc, alors
effectivement, tu es en face de ce genre de situation.
Mais personnellement, 120 connectés, ça me semble assez faible pour ce
genre d'hébergement...
Le Wed, 15 Jun 2005 13:46:33 +0000, Rakotomandimby (R12y) Mihamina a écrit :
- Soit il y a un circuit de balancement public de mots de passe histoire d'alimenter la profession
Il y a des sites qui vendent des mots de passe, et même des systèmes très officiels de "protection des enfants" qui en vendent également. Si les sites que tu hébergent sont affiliés à ce genre de truc, alors effectivement, tu es en face de ce genre de situation.
Mais personnellement, 120 connectés, ça me semble assez faible pour ce genre d'hébergement...
-- BOFH excuse #149:
Dew on the telephone lines.
HelloMan
- Soit il y a un circuit de balancement public de mots de passe histoire d'alimenter la profession (un peu comme MSoft qui balance des Serial exprès pour ceux qui ne veulent/peuvent pas acheter Windows).
d'après ce que j'en sais de ce type d'hébergement, c'est plutôt vers ce type de problème que je pencherais. De même, comme dit dans le thread également, 120 connectés en même temps, c'est normal, en nombre bien sûr, en nombre d'utilisateurs référencés, ça c'est un autre problème.
cheers @+
- Soit il y a un circuit de balancement public de mots de passe histoire
d'alimenter la profession (un peu comme MSoft qui balance des Serial
exprès pour ceux qui ne veulent/peuvent pas acheter Windows).
d'après ce que j'en sais de ce type d'hébergement, c'est plutôt vers ce type
de problème que je pencherais. De même, comme dit dans le thread également,
120 connectés en même temps, c'est normal, en nombre bien sûr, en nombre
d'utilisateurs référencés, ça c'est un autre problème.
- Soit il y a un circuit de balancement public de mots de passe histoire d'alimenter la profession (un peu comme MSoft qui balance des Serial exprès pour ceux qui ne veulent/peuvent pas acheter Windows).
d'après ce que j'en sais de ce type d'hébergement, c'est plutôt vers ce type de problème que je pencherais. De même, comme dit dans le thread également, 120 connectés en même temps, c'est normal, en nombre bien sûr, en nombre d'utilisateurs référencés, ça c'est un autre problème.
cheers @+
Didier Couderc
Bonjour,
"Rakotomandimby (R12y) Mihamina" writes:
D'un autre coté, je fréquente un peu certains chans IRC ou il se distribue des identifiants pour acceder à ce type de sites. C'est une industrie qui marche bien. On arrive, on demande, et on est servi. Le truc c'est qu'ils se vantent de "cracker" les sites en question. A force de demander, et d'être servi en identifiants, je collecte les passwords, et ce sont loin d'etre des passwords du type "foo" "bar" "toto" "titi". Ce sont souvent des passwords bien foutus du type alphanumériques avec des lettres et des chiffres. Mais des passwords comme ça, il en pleut. Et je suis carrément certain qu'une bonne partie de ces 120 visiteurs viennent de ces chans IRC.
Peut-être tout bêtement que des gens ouvrent des comptes avec des numéros de CB qui ne sont pas les leurs (cartes volées, liste, générateur, voire tout bêtement la carte de papa-maman) et filent les identifiants en échange d'autres.
J'ai lu quelque part que les sites X payaient des commissions plus élevées à leur "processeurs" de transactions CB justement parce qu'il y avait un fort taux de plaintes/répudiation de transaction. Est-ce que ton client peut te donner des chiffres la-dessus ?
D'un autre coté, je fréquente un peu certains chans IRC ou il se
distribue des identifiants pour acceder à ce type de sites. C'est une
industrie qui marche bien. On arrive, on demande, et on est servi. Le truc
c'est qu'ils se vantent de "cracker" les sites en question. A force de
demander, et d'être servi en identifiants, je collecte les passwords, et
ce sont loin d'etre des passwords du type "foo" "bar" "toto" "titi". Ce
sont souvent des passwords bien foutus du type alphanumériques avec des
lettres et des chiffres. Mais des passwords comme ça, il en pleut. Et je
suis carrément certain qu'une bonne partie de ces 120 visiteurs viennent
de ces chans IRC.
Peut-être tout bêtement que des gens ouvrent des comptes avec des
numéros de CB qui ne sont pas les leurs (cartes volées, liste,
générateur, voire tout bêtement la carte de papa-maman) et filent les
identifiants en échange d'autres.
J'ai lu quelque part que les sites X payaient des commissions plus
élevées à leur "processeurs" de transactions CB justement parce qu'il
y avait un fort taux de plaintes/répudiation de transaction. Est-ce
que ton client peut te donner des chiffres la-dessus ?
D'un autre coté, je fréquente un peu certains chans IRC ou il se distribue des identifiants pour acceder à ce type de sites. C'est une industrie qui marche bien. On arrive, on demande, et on est servi. Le truc c'est qu'ils se vantent de "cracker" les sites en question. A force de demander, et d'être servi en identifiants, je collecte les passwords, et ce sont loin d'etre des passwords du type "foo" "bar" "toto" "titi". Ce sont souvent des passwords bien foutus du type alphanumériques avec des lettres et des chiffres. Mais des passwords comme ça, il en pleut. Et je suis carrément certain qu'une bonne partie de ces 120 visiteurs viennent de ces chans IRC.
Peut-être tout bêtement que des gens ouvrent des comptes avec des numéros de CB qui ne sont pas les leurs (cartes volées, liste, générateur, voire tout bêtement la carte de papa-maman) et filent les identifiants en échange d'autres.
J'ai lu quelque part que les sites X payaient des commissions plus élevées à leur "processeurs" de transactions CB justement parce qu'il y avait un fort taux de plaintes/répudiation de transaction. Est-ce que ton client peut te donner des chiffres la-dessus ?
