Bricolant un petit script Python qui fait des statistiques sur les systèmes d'exploitation qui viennent spontanément me voir sur Internet, voilà que parmi les centaines de machines Windows il y a un Linux. Déjà des logiciels malveillants ? Non... Voilà ce que m'indique p0f :

<Tue Aug 29 22:29:51 2006> 195.73.154.212:53288 - Linux 2.4/2.6 <= 2.6.7 (up: 2726 hrs) 
 -> 82.231.xxx.xxx:22 (distance 14, link: ethernet/modem)

La machine essaie d'entrer sur mon port 22, tient, c'est le port SSH[1] :

$ grep 22 /etc/services
ssh             22/tcp                          # SSH Remote Login Protocol
ssh             22/udp

Là, la curiosité est à son comble, je fonce dans Firefox : http://195.73.154.212/ c'est un site web visiblement officiel, studieplaza.com. Tout ceci ne serait pas complet sans un petit scan de ses ports :

$ sudo nmap -D www.google.fr 195.73.154.212
Password:

Starting Nmap 4.03 ( http://www.insecure.org/nmap/ ) at 2006-08-30 21:10 CEST
Interesting ports on 195.73.154.212:
(The 1654 ports scanned but not shown below are in state: closed)
PORT     STATE    SERVICE
21/tcp   open     ftp
22/tcp   open     ssh
25/tcp   open     smtp
53/tcp   filtered domain
80/tcp   open     http
110/tcp  open     pop3
111/tcp  filtered rpcbind
113/tcp  filtered auth
139/tcp  filtered netbios-ssn
143/tcp  open     imap
389/tcp  filtered ldap
445/tcp  filtered microsoft-ds
587/tcp  filtered submission
782/tcp  filtered hp-managed-node
880/tcp  filtered unknown
993/tcp  filtered imaps
1723/tcp filtered pptp
3306/tcp filtered mysql
5432/tcp filtered postgres
8009/tcp filtered ajp13

Nmap finished: 1 IP address (1 host up) scanned in 4.396 seconds

Et bien il en a des ports d'ouverts ! Pas étonnant qu'ils aient réussi à se faire pirater avec tout ça ! Ça me rappelle qu'une fois j'avais le serveur SSH en marche et quelqu'un avait essayé d'y entrer depuis un serveur web Koréen, tout à fait officiel aussi. Cette fois-là, j'avais pu voir les identifiants et mots de passe essayés, notamment admin / admin...

Donc s'il y en a qui pensaient encore pouvoir prendre la sécurité informatique à la légère, désolé, même les professionnels se font berner. Alors gare à vos mots de passe !

Notes

[1] protocole permettant d'ouvrir une session à distance sur une autre machine du réseau