|
|
Le Google Hack Honeypot repère les pirates d’applications web
Par Ludovic Blin,
secuobs.com
Le 26/03/2007
Résumé : Le projet GHH (Google Hack Honeypot) de l’alliance Honeynet est un pot de miel en PHP capable de tromper, au moins temporairement, les pirates à la recherche de serveurs faciles à exploiter.
- Lire l'article
Les applications web, du fait de leur nombre important, de l’immaturité de leur code et de leur utilisation croissante sont des cibles de choix pour les pirates. En effet, celles-ci étant en général installées sur des serveurs, elles sont une cible particulièrement intéressante pour un attaquant.
Ainsi, selon un article de Jamie Riden, Ryan McGeehan, Brian Engert et Michael Mueter du Honeynet Project, un botnet rassemblant 400 serveurs pourrait offrir une bande passante particulièrement importante, équivalente à un réseau rassemblant des dizaines de fois plus de systèmes appartenant à des utilisateurs.
Ces 4 chercheurs, livrent dans cette étude les résultats des expériences qu’ils ont menés à l’aide de pots de miels imitant des applications web vulnérables, dans le courant de l’année 2006.
Plusieurs imitations d’applications vulnérables sont proposées par GHH. On retrouve plusieurs interfaces de type php shell (ou backdoor php, selon l’utilisation qui en est faite). Des versions vulnérables d’applications comme Squirrel Mail sont également imitées.
Les chercheurs ont effectué une typologie des tentatives d’exploitation de leurs pots de miel. Celles-ci peuvent être le fait de simples curieux, mais aussi de pirates à la recherches de serveurs pour leurs botnet ou de spammeurs.
Les tentatives de defacement ont également été nombreuses. Quelques tentatives d’utiliser ces serveurs comme hébergement de fichiers illégaux ont également eu lieu, tout comme des essais d’utiliser ces machines comme rebond pour scanner des hôtes vulnérables. Enfin, deux tentatives de phishing ont eu lieu, contre les sites Paypal et Orkut.
Au niveau des applications attaquées, Mambo prend la tête du classement, qui est dominé durant la première moitié de l’année par AWStats. L’outil de forum PHPBB est également régulièrement attaqué.
Enfin, les auteurs signalent que seule une faible partie des tentatives d’attaque utilisait un proxy (6%). Les connexions en provenance du système d’anonymisation Tor n’ont représenté que 0,01% des attaques (40 dont 7 uniques et 2 ayant lancé des commandes).
Ils concluent que les applications web représentent un risque important, du fait de la qualité du code, qui est en général assez faible, de la possibilité de réaliser des attaques en PHP et de celle d’utiliser des moteurs de recherche pour trouver rapidement des applications vulnérables à une faille donnée.
Le projet GHH : lien
L’article sur Honeynet.org : lien
- Article suivant : Des titres suspendus à la bourse américaine pour cause de spam
- Article précédent : Les passeports électroniques britanniques décryptés en 4 heures
- Article suivant dans la catégorie Acteurs : Appel à contribution pour SSTIC 2008
- Article précédent dans la catégorie Acteurs : PayPal propose une clé matérielle pour sécuriser les paiements en ligne
| Mini-Tagwall des articles publiés sur SecuObs : | | | | sécurité, exploit, windows, microsoft, attaque, réseau, metasploit, outil, vulnérabilité, système, audit, virus, internet, usbsploit, données, linux, présentation, source, bluetooth, protocol, réseaux, reverse, vista, scanner, shell, meterpreter, engineering, conférence, rootkit, wishmaster, trames, téléphone, paquet, mobile, sysun, noyau, libre, botnet, rapport, accès, intel, https, snort, mémoire, téléphones |
| Mini-Tagwall de l'annuaire video : | | | | security, metasploit, biomet, biometric, windows, botnet, defcon, password, vmware, tutorial, exploit, conference, crypt, virus, lockpicking, attack, network, linux, rootkit, conficker, shmoocon, wireshark, server, meterpreter, ettercap, source, iphone, openvpn, openbsd, iptables, backtrack, openssh, deepsec, systm, hnncast, securitytube, brucon, shell, access, secconf, engineering, internet, fingerprint, virtual, firewall |
| Mini-Tagwall des articles de la revue de presse : | | | | security, microsoft, windows, hacker, attack, network, vulnerability, google, exploit, malware, internet, remote, iphone, server, inject, patch, apple, twitter, mobile, virus, ebook, facebook, vulnérabilité, crypt, source, linux, password, intel, research, virtual, phish, access, tutorial, trojan, social, privacy, firefox, adobe, overflow, office, cisco, conficker, botnet, pirate, sécurité |
| Mini-Tagwall des Tweets de la revue Twitter : | | | | security, linux, botnet, attack, metasploit, cisco, defcon, phish, exploit, google, inject, server, firewall, network, twitter, vmware, windows, microsoft, compliance, vulnerability, python, engineering, source, kernel, crypt, social, overflow, nessus, crack, hacker, virus, iphone, patch, virtual, javascript, malware, conficker, pentest, research, email, password, adobe, apache, proxy, backtrack |
|
|
|
|
|
