Analyse rapide du piratage du groupe Anonymous


Hack
Un des anciens du groupe Anonymous a publié, pour se venger, une liste de 1500 URLs pointant vers des serveurs piratés et utilisés lors des attaques DDOS. Cette révélation est intéressante en soit, car elle permet de mieux comprendre les méthodes utilisées par ce groupe de hackers pour lancer leurs opérations.

Anonymous

Voici donc une analyse rapide, menée à coup de commandes bash :

wget www.tux-planet.fr/public/hack/showoff/anonymous/anonymous-urls.txt
$ sed -ie 's/\r//' anonymous-urls.txt
$ sed -ie 's/\\r//' anonymous-urls.txt
$ cat anonymous-urls.txt | sort -u > urls.txt
$ wc -l urls.txt
451 urls.txt

Première constation, il n'y a pas 1500 serveurs piratés comme beaucoup vous l'annoncent, mais seulement 451. Et je ne pense pas avoir éliminé toutes les lignes en double. Cela donne l'impression que le vengeur masqué a voulu gonfler les chiffres et beaucoup tombent dans le panneau.

La seconde remarque, en ouvrant le fichier, est que l'on voit le mot Webdav un peu partout dans les URLs :

$ grep webdav urls.txt | wc -l
313

Sur 451 serveurs, 69% ont sans aucun doute été piratés par le biais d'une faille dans le protocole Webdav. En testant les adresses une par une, on peut se rendre compte que beaucoup ne fonctionnent plus et retournent une erreur 404 :

$ for URL in `cat urls.txt`; do echo $URL; curl --silent --retry-max-time 3 --connect-timeout 3 --max-time 3 --head $URL | grep "200 OK"; done > header.txt

$ grep "200 OK" header.txt | wc -l
107

Au final, aujourd'hui, seulement 107 serveurs sont encore actifs. En surfant sur les URLs valides, on ne tombe que sur deux types d'outils écrits en PHP et destinés à faire du DOS sur le protocole UDP :

  • Shell UDP Flood (code source disponible ici)
  • PHP DOS coded by EXE (code source en deux fichiers disponibles ici et )

Shell UDP Flood est sans aucun doute le plus répandu et le plus intéressant, car on peut l'appeler avec des paramètres GET, ce qui facilite le démarrage d'une attaque :

curl --silent 82.127.64.56/webdav/shell.php?host=127.0.0.1&time=10

Php DOS

On n'apprend donc pas grand chose. Les Anonymous semblent suivre un scénario bien précis à chaque fois : ils piratent des serveurs en grand nombre, par le biais d'une faille, pour y déposer leurs outils de DDOS. Ce parc de machines zombies leur sert ensuite pour lancer des attaques quand bon leur semble.

Source via Korben


12 Commentaires pour "Analyse rapide du piratage du groupe Anonymous"

Flux des commentaires de cet article Ajouter un commentaire
  •  

    Leur force est leur nombre, tout simplement.
    Sinon pour checker les urls, tu peux utiliser wget.
    Genre wget -i urls.txt --spider -T 3 -t 3 -o header.txt

    RépondreRépondre
    Eddy , le 18 mai 2011 à 09:10
  •  

    Hmm les chiffres n'ont pas été gonflés ! oO

    Regarde la liste, perso avant d'écrire l'article original (que tu n'as pas cité en source au passage), j'ai ouvert la liste dans un éditeur de texte avec affichage des lignes. Ca te donne un résultat frolant les 1500 (1450 et des broutilles de souvenir) ;)

    http://pastebin.com/6s8M4Qye

    RépondreRépondre
    UnderNews , le 18 mai 2011 à 09:16
  •  

    @UnderNews : la liste que tu donne en Pastebin est la même que celle citée en source sur l'article.

    Et quand on fait le calcul, on tombe sur les mêmes chiffres :

    $ wget "http://pastebin.com/raw.php?i=6s8M4Qye"
    $ sed -ie 's/\r//' raw.php
    $ sed -ie 's/\\r//' raw.php
    $ cat raw.php | sort -u > urls.txt
    $ wc -l urls.txt
    452 urls.txt

    Donc il y a bien que 450 serveurs piratés.
    Ces juste que certaines lignes sont en double voir triple. Fallait pas tomber dans le piège.

    RépondreRépondre
    Plopman , le 18 mai 2011 à 09:27
  •  

    Il n'y a pas "d'ancien" du "groupe" Anonymous.

    Anonymous, c'est une identité collective, c'est tout le monde et c'est personne.

    On ne rentre pas dans Anonymous. On n'en sort pas non plus.

    Donc, déjà, rien que le début de l'info, on sait que c'est de l'intox.

    Des listes de zombies comme ça, il y en a des millions disponibles, qui circulent, souvent se monnaient. Le meilleur fournisseur de serveurs "hackés" et proposant des interfaces web, c'est Google. C'est aussi le meilleur fournisseur de sites potentiellement vulnérable quand on cherche "à l'aveugle".

    Enfin, Anonymous n'est pas un groupe de hackers. Le canon orbital n'a pas été inventé pour servir aux hackers mais pour servir à tout le monde. Car la force d'Anonymous, c'est de rassembler des gens. Certes, les attaques DDOS déclenchées par Anonymous comptent leur lot de machines zombies, mais leur grande force n'est pas issue de ces machines.

    La "technique" de ce "groupe", c'est de pointer du doigt ce qui ne va pas, les entraves à la liberté, et de réagir.

    RépondreRépondre
    lap1.blanc , le 18 mai 2011 à 09:38
  •  

    J'avoue : c'est ici le meilleur article sur le sujet - qu'importe qu'on puisse pinailler ou non sur la "morale" de l'histoire, la justesse du vocabulaire ce concernant ce qu'est Anonymous. Ce n'est en aucun cas le lieu de la réflexion, clairement annoncée dans le titre. Et cette analyse rapide est, donc, la meilleure qu'il m'ait été donné de lire : du terminal-comme-je-l'aime, une mise à distance directe de l'information, dénotant clairement avec tous les articles qui n'ont pas analysé méthodiquement ladite liste.

    [en ce sens, lapin blanc, je te trouve relativement hors sujet, quand même, vu que le statut d'Anonymous n'est pas du tout discuté, mais sommairement défini histoire de mettre en situation l'analyse de la liste de serveurs]

    RépondreRépondre
    Plonk , le 18 mai 2011 à 09:48
  •  

    Bof, j'en ai juste marre de lire de trucs sur "Anonymous" complètement à la ramasse.

    Ça me fait le même effet que de lire un sujet traitant de l'informatique dans les journaux papier : "mais pourquoi il l'ouvre, ça se voit qu'il n'y connaît rien, c'est honteux de publier ça".

    Ça m'attriste de voir pulluler ce genre de propos à côté de la plaque sur les sites que je suis. Quand bien même ce serait un raccourci pour se pencher sur un autre aspect, le raccourci est faux.

    Sans aller jusqu'à une application stricte de la "méthode scientifique", un peu de cohérence et de justesse dans les termes ne serait pas du luxe.

    Pour le coup, j'aurai bien vu "une personne se prétendant "ancien d'Anonymous" ...", ce qui ne retire rien au sujet propre de l'article, mais améliore la justesse des propos tenus.

    RépondreRépondre
    lap1.blanc , le 18 mai 2011 à 10:04
  •  

    (ce qui est d'ailleurs d'autant plus dommageable que l'analyse qui est faite de cette liste est pertinente et apporte un vrai plus à l'histoire autour de cette publication)

    RépondreRépondre
    lap1.blanc , le 18 mai 2011 à 10:19
  •  

    @lap1.blanc : comme l'explique très bien @Plonk , l'objectif de l'article est de parler des méthodes informatique utilisés par les Anonymous et non de leurs philosophies (que je ne connais pas forcément très bien, je te l'accorde).

    RépondreRépondre
    pti-seb , le 18 mai 2011 à 12:00
  •  

    Et encore, certaines IPs apparaissent plusieurs fois :

    $ grep -o "^[^/:]*" anon | sort -u | wc -l
    319

    RépondreRépondre
    ravomavain , le 18 mai 2011 à 14:28
  •  

    Super article, très bonne vulgarisation ! :)

    RépondreRépondre
    Sheebypanda , le 20 mai 2011 à 14:09
  •  

    Tout le monde fait de la publicité pour des lamer !!

    RépondreRépondre
    Combat continue , le 21 mai 2011 à 13:47
  •  

    Article très intéressant !
    Bravo.

    RépondreRépondre
    formation , le 28 juin 2011 à 14:02
 

Ajouter un commentaire

actualité android apache apple astuce astuces bash bilboblog blog boot chrome clavier commande commandes conky date debian Desktop développement elementary exploit faille fedora firefox flash gimp gnome google graphique Graphisme hack hacking Hardware humour intel internet iphone jailbreak Jeux Kde kernel libre Linux log logiciels Logiciels Libres lucid lynx maemo mail maquette metasploit microsoft mobile mockup monitoring mozilla multi-touch musique mysql n900 nautilus nokia noyau openoffice open source password photos php Planet publicité red hat redhat rpm réseau screenshot script serveur serveurs shell sql ssh statistiques sysadmin system Sécurité thème tux-planet tv twitter ubuntu unity vidéo vidéos vlc voyage wallpaper windows wordpress yum