On trouvera en fin de billet un rapport récent de Snort sur ma machine qui couvre une période de 2 ou 3 heures de connexion à cheval entre un mercredi soir et un jeudi soir. Chaque soir quelques activités douteuses du même genre sont repérées par Snort. On distingue 4 type de tentatives :

  1. balayage des ports pour tenter de découvrir des services sur ma machine permettant de s'y introduire (TCP Portscan)
  2. tentative de connexion en tant qu'administrateur d'une base de données MySQL (MYSQL 4.0 root login attempt)
  3. tentative de propagation d'un vers[1] à travers une base de données Microsoft SQL (MS-SQL Worm propagation attempt)
  4. tentative de découverte du numéro de version d'une base de données Microsoft SQL (MS-SQL version overflow attempt, il n'y en a pas bien sûr, Linux oblige !)

Évidemment Snort ne relate que les événements caractéristiques d'une tentative d'intrusion. Un simple ping ou demande de répertoire partagé Windows n'apparaît pas, bien que ceux-ci peuvent précéder une telle tentative et soient nettement plus fréquents. Il faut aussi noter que la tentative MySQL n'est apparue que le jour où j'ai lancé xampp (serveur Apache - MySQL - Php) sans pare-feu, ce qui prouve que certaines attaques s'adaptent au contenu de la machine cible... Les conclusions sont toujours les mêmes puisqu'une heure ou deux suffisent à se faire « visiter » :

  • fermer tous les ports inutiles
  • choisir des bons mots de passe
  • garder son système et ses logiciels à jour
  • éviter les logiciels fréquemment attaqués

Who is who?

Le log de Snort m'indique bien sûr les adresses IP des assaillants potentiels. Pour en savoir plus sur eux, une petite recherche Google donne deux pages intéressantes :

Le premier site tente de localiser géographiquement une machine. Ça ne marche pas à tous les coups, mais on sait déjà que 218.75.198.214 et 219.140.198.190 sont des serveurs chinois localisés respectivement à Shangaï et Wuhan. Un petit tour dans Firefox nous indique qu'il s'agit de serveurs webs officiels, donc piratés ou abritant des pirates !

La commande whois[2] permet d'en savoir plus sur qui est qui dans les cas d'échec des autres méthodes. Elle utilise une base de données construite au fur et à mesure de l'attribution des adresses IP. On sait ainsi rapidement que 62.23.12.61 serait une machine du Crédit Agricole ! Un contact par mail est même fournit pour se plaindre :

$ whois 62.23.12.61
[...]
% Information related to '62.23.12.48 - 62.23.12.63'

inetnum:      62.23.12.48 - 62.23.12.63
netname:      FR-CREDIT-AGRICOLE
descr:        FR-CREDIT-AGRICOLE
country:      FR
admin-c:      bb664-RIPE
tech-c:       FG5462-RIPE
status:       ASSIGNED PA
remarks:      For any complaint, please mail to abuse@fr.colt.net
mnt-by:       COLT-FR-MNT
mnt-lower:    COLT-FR-MNT
source:       RIPE # Filtered
[...]

La même opération avec l'adresse IP de la machine qui est venue le plus visiter la mienne depuis début août 2006 (tout de même plus de 1000 fois !) m'indique qu'il s'agit d'un marseillais de chez Free - le pauvre s'il savait. À quand son emplacement exact dans Géoportail ?

Enfin quand on est curieux on ne peut pas s'empêcher de vouloir en savoir plus. On peut donc utiliser l'outil nmap pour constater qu'un des serveurs chinois tourne sous Windows 2000 SP3, avec des serveurs mail, web et FTP Microsoft mais aussi edonkey et bittorrent ! N'aurait-il pas été détourné de son rôle initial ? Il faut dire qu'avec des logiciels aussi peu à jour, ça ne pouvait que mal tourner...

$ sudo nmap -A -P0 -D [...],me 219.146.185.146
[...]
Interesting ports on 219.146.185.146:
Not shown: 1660 closed ports
PORT     STATE    SERVICE           VERSION
21/tcp   open     ftp               Microsoft ftpd 5.0
25/tcp   open     smtp              Microsoft ESMTP 5.0.2195.6713
80/tcp   open     http              Microsoft IIS webserver 5.0
119/tcp  open     nntp              Microsoft NNTP Service 5.0.2195.7034 (posting ok)
135/tcp  filtered msrpc
138/tcp  filtered netbios-dgm
139/tcp  filtered netbios-ssn
411/tcp  filtered rmt
443/tcp  open     https?
445/tcp  filtered microsoft-ds
563/tcp  open     snews?
593/tcp  filtered http-rpc-epmap
1025/tcp open     msrpc             Microsoft Windows RPC
1026/tcp open     msrpc             Microsoft Windows RPC
1027/tcp open     msrpc             Microsoft Windows RPC
1234/tcp filtered hotline
1433/tcp open     ms-sql-s?
4444/tcp filtered krb524
4662/tcp filtered edonkey
6881/tcp filtered bittorent-tracker
Device type: general purpose
Running: Microsoft Windows NT/2K/XP
OS details: Microsoft Windows 2000 SP3
Service Info: Host: rztele-idc007; OS: Windows

Rapport Snort

Events between  10 25 20:47:21  and  10 26 21:04:39
Total events: 41
Signatures recorded: 7
Source IP recorded: 20
Destination IP recorded: 2
[...]
The distribution of event methods
===============================================
  %    # of  method
===============================================
65.85    27  (portscan) TCP Portscan         
		 4     82.231.xxx.xxx  -> 82.231.(my).(ip)  
		 4     82.231.xxx.xxx  -> 82.231.(my).(ip)  
		 3     82.231.xxx.xxx  -> 82.231.(my).(ip)  
		 2     82.231.xxx.xxx  -> 82.231.(my).(ip)  
		 2     82.231.xxx.xxx  -> 82.231.(my).(ip)  
		 2     82.231.xxx.xxx  -> 82.231.(my).(ip)  
		 1     82.231.xxx.xxx  -> 82.231.(my).(ip)  
		 1     82.231.xxx.xxx  -> 82.231.(my).(ip)  
		 1     82.231.xxx.xxx  -> 82.231.(my).(ip)  
		 1     62.23.12.61     -> 82.231.(my).(ip)  
		 1     82.231.xxx.xxx  -> 82.231.(my).(ip)  
		 1     82.231.xxx.xxx  -> 82.231.(my).(ip)  
		 1     82.231.xxx.xxx  -> 82.231.(my).(ip)  
		 1     82.231.xxx.xxx  -> 82.231.(my).(ip)  
		 1     82.231.xxx.xxx  -> 82.231.(my).(ip)  
		 1     82.231.xxx.xxx  -> 82.231.(my).(ip)  
14.63     6  MYSQL 4.0 root login attempt
		 4     82.231.xxx.xxx  -> 82.231.(my).(ip)  
 		 1     82.231.xxx.xxx  -> 82.231.(my).(ip)  
		 1     82.231.xxx.xxx  -> 82.231.(my).(ip)  
4.88     2  MS-SQL Worm propagation attempt OUTBOUND
 		 1     218.75.198.214  -> 82.231.(my).(ip)  
		 1     219.140.198.190 -> 82.231.(my).(ip)  
 4.88     2  MS-SQL version overflow attempt 
		 1     218.75.198.214  -> 82.231.(my).(ip)  
 		 1     219.140.198.190 -> 82.231.(my).(ip)  
 4.88     2  MS-SQL Worm propagation attempt 
		 1     218.75.198.214  -> 82.231.(my).(ip)  
		 1     219.140.198.190 -> 82.231.(my).(ip)

Notes

[1] logiciel malveillant se diffusant tout seul par le réseau

[2] il existe un équivalent en ligne sur le web pour les Windoziens ;-)