divendres, 20 de novembre de 2009

Delinqüents

Desprès de varies incidències a casa, he trobat a la premsa francesa les següents informacions:

Attaque de masse, depuis quelques jours, d´un pirate basé en Arménie. Le pirate a automatisé son agression sans grand résultat... pour le moment.

Plusieurs webmasteurs et administrateurs de sites Internet ont informé la rédaction de ZATAZ.COM d'un étrange visiteur, hier, dans les logs de leurs serveurs. Le pirate signe ses actes sous le pseudonyme de EviLuTz. 


Le pirate a lancé des sondes via des machines hébergées au Pays-bas (chez OX-2 International Beheer B.V) ou encore chez OVH (France). Mission du piratin et de ses chienchiens numériques, égrainer, une par une, les possibilités d'une injection SQL.


L'intru semble tester les sites. Une injection d'iFrame dans le code source des sites visités et faillibles. Son "outil" a été visiter des fichiers comme setup.php, join.php, lostpw.php, ... Nous avons retrouvé la trace de ce pirate dans deux sites basés en Arménie (glendalehills .am et gyumri .am).
L'un des sites cache une fausse image au format GIF. Le fichier contient le code "". Très certainement le message que le pirate souhaite recevoir et lui indiquant des intrusions réussies.
Pour savoir si ce "lascar" a tenté de passer par votre machine, une phrase doit apparaitre dans les logs "Toata dragostea mea pentru diavola". Phrase qui se traduit par "Tout mon amour pour le diable".

Log:
“216.177.204.39 - - [20/Nov/2009:04:51:58 +0100] "GET /install.txt HTTP/1.1" 404 400 "" "Toata dragostea mea pentru diavola"
216.177.204.39 - - [20/Nov/2009:04:51:58 +0100] "GET /cart/install.txt HTTP/1.1" 404 400 "" "Toata dragostea mea pentru diavola"
216.177.204.39 - - [20/Nov/2009:04:51:59 +0100] "GET /zencart/install.txt HTTP/1.1" 404 400 "" "Toata dragostea mea pentru diavola"
216.177.204.39 - - [20/Nov/2009:04:51:59 +0100] "GET /zen-cart/install.txt HTTP/1.1" 404 400 "" "Toata dragostea mea pentru diavola"
216.177.204.39 - - [20/Nov/2009:04:51:59 +0100] "GET /zen/install.txt HTTP/1.1" 404 400 "" "Toata dragostea mea pentru diavola"
216.177.204.39 - - [20/Nov/2009:04:52:00 +0100] "GET /shop/install.txt HTTP/1.1" 404 400 "" "Toata dragostea mea pentru diavola"
216.177.204.39 - - [20/Nov/2009:04:52:00 +0100] "GET /butik/install.txt HTTP/1.1" 404 400 "" "Toata dragostea mea pentru diavola"
216.177.204.39 - - [20/Nov/2009:04:52:01 +0100] "GET /zcart/install.txt HTTP/1.1" 404 400 "" "Toata dragostea mea pentru diavola"
216.177.204.39 - - [20/Nov/2009:04:52:01 +0100] "GET /shop2/install.txt HTTP/1.1" 404 400 "" "Toata dragostea mea pentru diavola"
216.177.204.39 - - [20/Nov/2009:04:52:01 +0100] "GET /catalog/install.txt HTTP/1.1" 404 400 "" "Toata dragostea mea pentru diavola"
216.177.204.39 - - [20/Nov/2009:04:52:02 +0100] "GET /boutique/install.txt HTTP/1.1" 404 400 "" "Toata dragostea mea pentru diavola"
216.177.204.39 - - [20/Nov/2009:04:52:02 +0100] "GET /cart/install.txt HTTP/1.1" 404 400 "" "Toata dragostea mea pentru diavola"
216.177.204.39 - - [20/Nov/2009:04:52:02 +0100] "GET /store/install.txt HTTP/1.1" 404 400 "" "Toata dragostea mea pentru diavola"
206.71.62.5 - - [20/Nov/2009:06:42:55 +0100] "GET //phpMyAdmin/ HTTP/1.1" 404 400 "" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
206.71.62.5 - - [20/Nov/2009:06:42:55 +0100] "GET //phpmyadmin/ HTTP/1.1" 404 400 "" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
85.94.186.173 - - [19/Nov/2009:22:48:39 +0100] "GET”