Analyse rapide du piratage du groupe Anonymous

Publié le 18 mai 2011

Hack
Un des anciens du groupe Anonymous a publié, pour se venger, une liste de 1500 URLs pointant vers des serveurs piratés et utilisés lors des attaques DDOS. Cette révélation est intéressante en soit, car elle permet de mieux comprendre les méthodes utilisées par ce groupe de hackers pour lancer leurs opérations.

Voici donc une analyse rapide, menée à coup de commandes bash :

wget www.tux-planet.fr/public/hack/showoff/anonymous/anonymous-urls.txt
$ sed -ie 's/\r//' anonymous-urls.txt
$ sed -ie 's/\\r//' anonymous-urls.txt
$ cat anonymous-urls.txt | sort -u > urls.txt
$ wc -l urls.txt
451 urls.txt

Première constation, il n'y a pas 1500 serveurs piratés comme beaucoup vous l'annoncent, mais seulement 451. Et je ne pense pas avoir éliminé toutes les lignes en double. Cela donne l'impression que le vengeur masqué a voulu gonfler les chiffres et beaucoup tombent dans le panneau.

La seconde remarque, en ouvrant le fichier, est que l'on voit le mot Webdav un peu partout dans les URLs :

$ grep webdav urls.txt | wc -l
313

Sur 451 serveurs, 69% ont sans aucun doute été piratés par le biais d'une faille dans le protocole Webdav. En testant les adresses une par une, on peut se rendre compte que beaucoup ne fonctionnent plus et retournent une erreur 404 :

$ for URL in `cat urls.txt`; do echo $URL; curl --silent --retry-max-time 3 --connect-timeout 3 --max-time 3 --head $URL | grep "200 OK"; done > header.txt

$ grep "200 OK" header.txt | wc -l
107

Au final, aujourd'hui, seulement 107 serveurs sont encore actifs. En surfant sur les URLs valides, on ne tombe que sur deux types d'outils écrits en PHP et destinés à faire du DOS sur le protocole UDP :

Shell UDP Flood (code source disponible ici)
PHP DOS coded by EXE (code source en deux fichiers disponibles ici et là)

Shell UDP Flood est sans aucun doute le plus répandu et le plus intéressant, car on peut l'appeler avec des paramètres GET, ce qui facilite le démarrage d'une attaque :

curl --silent 82.127.64.56/webdav/shell.php?host=127.0.0.1&time=10

Php DOS

On n'apprend donc pas grand chose. Les Anonymous semblent suivre un scénario bien précis à chaque fois : ils piratent des serveurs en grand nombre, par le biais d'une faille, pour y déposer leurs outils de DDOS. Ce parc de machines zombies leur sert ensuite pour lancer des attaques quand bon leur semble.

Source via Korben

Dernières réactions
(S'abonner ...)

Anonymous: Mon ordinateur ne l’a pas accepté!

Baptiste: @Baptiste_kikoo_mystérieux : C’est pas comme ça qu’on imagine la vie

Tal: Comment créer un fichier avec 3 ligne le tout en utilisant une seule commande!!?

Baptiste_kikoo_mystérieux: C’est pas comme ça qu’on imagine la vie…

L.: AJOUTER UNE LANGUE: menu+centre de contrôle +clavier +agencements+ajouter+soit par le buttons pays soit par la...

12 Commentaires pour "Analyse rapide du piratage du groupe Anonymous"

Flux des commentaires de cet article Ajouter un commentaire

Leur force est leur nombre, tout simplement.
Sinon pour checker les urls, tu peux utiliser wget.
Genre wget -i urls.txt --spider -T 3 -t 3 -o header.txt

Eddy , le 18 mai 2011 à 09:10
Hmm les chiffres n'ont pas été gonflés ! oO

Regarde la liste, perso avant d'écrire l'article original (que tu n'as pas cité en source au passage), j'ai ouvert la liste dans un éditeur de texte avec affichage des lignes. Ca te donne un résultat frolant les 1500 (1450 et des broutilles de souvenir)

http://pastebin.com/6s8M4Qye

UnderNews , le 18 mai 2011 à 09:16
@UnderNews : la liste que tu donne en Pastebin est la même que celle citée en source sur l'article.

Et quand on fait le calcul, on tombe sur les mêmes chiffres :

$ wget "http://pastebin.com/raw.php?i=6s8M4Qye"
$ sed -ie 's/\r//' raw.php
$ sed -ie 's/\\r//' raw.php
$ cat raw.php | sort -u > urls.txt
$ wc -l urls.txt
452 urls.txt

Donc il y a bien que 450 serveurs piratés.
Ces juste que certaines lignes sont en double voir triple. Fallait pas tomber dans le piège.

Plopman , le 18 mai 2011 à 09:27
Il n'y a pas "d'ancien" du "groupe" Anonymous.

Anonymous, c'est une identité collective, c'est tout le monde et c'est personne.

On ne rentre pas dans Anonymous. On n'en sort pas non plus.

Donc, déjà, rien que le début de l'info, on sait que c'est de l'intox.

Des listes de zombies comme ça, il y en a des millions disponibles, qui circulent, souvent se monnaient. Le meilleur fournisseur de serveurs "hackés" et proposant des interfaces web, c'est Google. C'est aussi le meilleur fournisseur de sites potentiellement vulnérable quand on cherche "à l'aveugle".

Enfin, Anonymous n'est pas un groupe de hackers. Le canon orbital n'a pas été inventé pour servir aux hackers mais pour servir à tout le monde. Car la force d'Anonymous, c'est de rassembler des gens. Certes, les attaques DDOS déclenchées par Anonymous comptent leur lot de machines zombies, mais leur grande force n'est pas issue de ces machines.

La "technique" de ce "groupe", c'est de pointer du doigt ce qui ne va pas, les entraves à la liberté, et de réagir.

lap1.blanc , le 18 mai 2011 à 09:38
J'avoue : c'est ici le meilleur article sur le sujet - qu'importe qu'on puisse pinailler ou non sur la "morale" de l'histoire, la justesse du vocabulaire ce concernant ce qu'est Anonymous. Ce n'est en aucun cas le lieu de la réflexion, clairement annoncée dans le titre. Et cette analyse rapide est, donc, la meilleure qu'il m'ait été donné de lire : du terminal-comme-je-l'aime, une mise à distance directe de l'information, dénotant clairement avec tous les articles qui n'ont pas analysé méthodiquement ladite liste.

[en ce sens, lapin blanc, je te trouve relativement hors sujet, quand même, vu que le statut d'Anonymous n'est pas du tout discuté, mais sommairement défini histoire de mettre en situation l'analyse de la liste de serveurs]

Plonk , le 18 mai 2011 à 09:48
Bof, j'en ai juste marre de lire de trucs sur "Anonymous" complètement à la ramasse.

Ça me fait le même effet que de lire un sujet traitant de l'informatique dans les journaux papier : "mais pourquoi il l'ouvre, ça se voit qu'il n'y connaît rien, c'est honteux de publier ça".

Ça m'attriste de voir pulluler ce genre de propos à côté de la plaque sur les sites que je suis. Quand bien même ce serait un raccourci pour se pencher sur un autre aspect, le raccourci est faux.

Sans aller jusqu'à une application stricte de la "méthode scientifique", un peu de cohérence et de justesse dans les termes ne serait pas du luxe.

Pour le coup, j'aurai bien vu "une personne se prétendant "ancien d'Anonymous" ...", ce qui ne retire rien au sujet propre de l'article, mais améliore la justesse des propos tenus.

lap1.blanc , le 18 mai 2011 à 10:04
(ce qui est d'ailleurs d'autant plus dommageable que l'analyse qui est faite de cette liste est pertinente et apporte un vrai plus à l'histoire autour de cette publication)

lap1.blanc , le 18 mai 2011 à 10:19
@lap1.blanc : comme l'explique très bien @Plonk , l'objectif de l'article est de parler des méthodes informatique utilisés par les Anonymous et non de leurs philosophies (que je ne connais pas forcément très bien, je te l'accorde).

pti-seb , le 18 mai 2011 à 12:00
Et encore, certaines IPs apparaissent plusieurs fois :

$ grep -o "^[^/:]*" anon | sort -u | wc -l
319

ravomavain , le 18 mai 2011 à 14:28
Super article, très bonne vulgarisation !

Sheebypanda , le 20 mai 2011 à 14:09
Tout le monde fait de la publicité pour des lamer !!

Combat continue , le 21 mai 2011 à 13:47
Article très intéressant !
Bravo.

formation , le 28 juin 2011 à 14:02