[Résolu] Attaques sur le service WEB

Les annonces officielles de FranceServ Hébergement.
Répondre
Avatar de l’utilisateur
Elodie
Fondatrice / Responsable
Fondatrice / Responsable
Messages : 7938
Inscription : 2 avril 2010 à 20:14

Ce soir entre 21h et 23h, des attaques à l'encontre du service WEB de FranceServ Hébergement et notamment sur certains sites ont été détectées.

L'attaque est ciblée, c'est clairement du règlement de compte car seuls 2 propriétaires de sites ont été attaqués parmi ces adresses. Les attaquants ont été bloqués automatiquement dès que la détection a été faites mais peut être pas assez promptement.

Le robot qui supervise ces attaques à donc été renforcé et analyse dorénavant le transit beaucoup plus régulièrement pour bloquer les attaquants plus rapidement.

Les sites qui ont été attaqués sont :
  • biohazard.franceserv.com
  • catamaranbretignollais.franceserv.com
  • demonworld.franceserv.com
  • expoviedeclasse.franceserv.com
  • hibbix.franceserv.com
  • onchepower.franceserv.info
  • optimistbretignollais.franceserv.com
  • trinis-online.franceserv.com
  • update.worldofdemon.franceserv.com
  • worldofdemon.franceserv.com
Certains de ces sites ont été modifiés par ces pirates à l'aide de failles de sécurités présentes dans leur développement via de simples POST dans la table des utilisateurs entre autre. Ces sites sont orientés vers de très jeunes internautes (11-14 ans) et sont généralement mal codés/protégés.

Je rappelle que ce robot ne protège pas les failles de sécurités des sites Internet, il est présent uniquement pour éviter l'indisponibilité générale des services. D'ailleurs, la majorité des hébergeurs ont pour habitude de suspendre les sites qui se font attaquer pour éviter de mettre en danger la plateforme d'hébergement, ma politique est d'essayer de bloquer ces attaques avant de faire tomber la "hache" injustement.

Voici les journaux des attaques :

http://www.franceserv.fr/public/attaque ... 69.165.txt
http://www.franceserv.fr/public/attaque ... 38.166.txt
http://www.franceserv.fr/public/attaque ... 59.100.txt

Je renforce alors la sécurité, n'hésitez pas à me remonter les problèmes que vous pourriez rencontrer.
Vous avez une question ? Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, contactez-nous directement.
Haut
Avatar de l’utilisateur
Elodie
Fondatrice / Responsable
Fondatrice / Responsable
Messages : 7938
Inscription : 2 avril 2010 à 20:14

Nouvelles attaques sur ces mêmes sites :
http://www.franceserv.fr/public/attaque ... 208.72.txt

J'ai du passer le compte de l'hébergé en "FTP Hacked" étant donné que le ou les pirates ont pu accéder au mot de passe de la configuration MySQL de ses sites, uploader d'autres fichiers et y placer un script perl (un bot-cgi, bien que inoffensif car le CGI/Perl n'est pas exécutable chez FSH).

PS : Cette fois-ci l'attaque a été bloquée beaucoup plus rapidement, bien que des dommages sur ces sites ont déjà été fait dans la soirée.
Vous avez une question ? Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, contactez-nous directement.
Haut
Avatar de l’utilisateur
Elodie
Fondatrice / Responsable
Fondatrice / Responsable
Messages : 7938
Inscription : 2 avril 2010 à 20:14

3 mails abuses ont été envoyés aux FAI des pirates pour reporter les faits qui se sont déroulés.
Vous avez une question ? Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, contactez-nous directement.
Haut
Inconnu
Cet utilisateur a supprimé son compte et n’existe plus.
Messages : 6340
Inscription : 29 décembre 2010 à 18:15

No comment...!

Courage aux admin... ;)
Haut
Avatar de l’utilisateur
Elodie
Fondatrice / Responsable
Fondatrice / Responsable
Messages : 7938
Inscription : 2 avril 2010 à 20:14

Nouvelle petite attaque bloquée :
http://www.franceserv.fr/public/attaque ... .42.39.txt

ABUSE envoyé de nouveau chez Orange.
Vous avez une question ? Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, contactez-nous directement.
Haut
Inconnu
Cet utilisateur a supprimé son compte et n’existe plus.
Messages : 6340
Inscription : 29 décembre 2010 à 18:15

Elodie, tu penses qu'ils peuvent y faire quelque chose Orange (et les autres FAI) ?

Suspension temporaire de la ligne ? Suppression pure et simple ? Augmentation du forfait (comme une sorte de malus en assurance) ?
Haut
Passionaqua
Messages : 300
Inscription : 7 mai 2010 à 19:27

Ils peuvent attaquer en justice la personne... mais avant il y aura bannissement temporaire je pense.
Haut
Avatar de l’utilisateur
Elodie
Fondatrice / Responsable
Fondatrice / Responsable
Messages : 7938
Inscription : 2 avril 2010 à 20:14

Sincèrement, beaucoup des FAI se moquent totalement de ce genre de plainte mais avec 2 adresses IP différentes en moins de 24 heures et appartenant au même abonné, il risque de se faire résilier son abonnement car ce n'est plus de la coïncidence.

Ce qui joue le plus c'est de qui vient la réclamation car le FAI ne réagit pas de la même manière si ça vient de FSH ou d'un gros investisseur comme Youtube, ayant plus de pression politique/technique.

Ce qui entre en compte également c'est le pays où est envoyé l'abuse. Je n'ai même pas essayé de remontrer l'attaque d'hier de l'adresse IP 84.19.169.165 appartenant au réseau cyberghostvpn.com en Allemagne, c'est inutile car la plupart des prestataires de VPN font de la limite de la légalité leur métier et sont généralement moins regardant de l'usage de leurs abonnés, surtout hors de France.
Vous avez une question ? Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, contactez-nous directement.
Haut
Avatar de l’utilisateur
Elodie
Fondatrice / Responsable
Fondatrice / Responsable
Messages : 7938
Inscription : 2 avril 2010 à 20:14

Nouvelle attaque sur les mêmes sites et depuis le même réseau mais depuis une IP différente :
http://www.franceserv.fr/public/attaque ... 11.244.txt

Les attaques durent maintenant entre 10 secondes et 1 minute maximum.

Le support de Orange/Wanadoo m'ont répondu en milieu d'après midi, ils s'occupent en ce moment même du cas de leur abonné qui semble être le même.

Lui ou un de ses amis utilise également une connexion VPN chez cyberghostvpn.com.

Je termine en ce moment même une nouvelle version du robot qui enverra automatiquement un mail au FAI concerné avec toutes les données nécessaires pour le dépôt de plainte et la suspension de la connexion Internet immédiate de l’intéressé.
Vous avez une question ? Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, contactez-nous directement.
Haut
Avatar de l’utilisateur
Elodie
Fondatrice / Responsable
Fondatrice / Responsable
Messages : 7938
Inscription : 2 avril 2010 à 20:14

Nouvelle attaque mais de la même adresse IP après son débanissement "pour essayer" le nouveau robot : http://www.franceserv.fr/public/attaque ... .42.39.txt

ABUSE envoyé de nouveau au service Orange/Wanadoo. J'attends maintenant la coupure de cet abonné.

Cette fois-ci c'est pas moins de 1630 requêtes pour seulement 2 secondes. Le serveur encaisse bien ... moi pas ... si Orange ne fait rien j'irai plus loin au niveau civil.
Vous avez une question ? Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, contactez-nous directement.
Haut
Répondre

Revenir à « Annonces et actualités »