Voilà un bout de temps que je voulais mettre en place un SSL correct pour crashdump.fr sans trouver le temps, maintenant c’est chose faite ! (J’entend par correct un certificat émanant d’une CA reconnue)

Du coup, j’ai plongé le nez dans la doc de wordpress pour trouver un moyen de forcer les authentifications/cookies en SSL, voici ce que j’y ai trouvé (ces options de configuration doivent êtres ajoutés dans le ./wp-config.php):

Forcer tout post de cookies en SSL:

Forcer tout post de login en SSL:

De plus – depuis la version 2.6 – WordPress intègre de nouveaux cookies qui sont signé avec des clés secrètes. Il va donc falloir spécifier ces clés. Pour ça, trois variables à ajouter:

Pour vous donner une idée de clés adaptés, une API est mise a disposition par WP:
http://api.wordpress.org/secret-key/1.1/
(Mon côté parano vous invite a ne pas utiliser ces clés sans les modifier un peu vous même..)

* Ah, oui, j’oubliais.. du coup vous pouvez accéder au site sur https://www.crashdump.fr *

Ce billet contient deux parties : la première explique succinctement les solutions et commandes pour pouvoir effacer toutes les données d’un disque (ou d’une partition). La deuxième approfondit les commandes et outils utilisés dans la première — Je me rend bien compte, après relecture du fait que j’ai pas mal dérivé dans l’écriture de cet article, il faut croire que j’avais beaucoup à dire.. donc si vous avez le temps, servez vous un café et profitez en bien.

Update le 6 Mai 2009: Correction des fautes d’orthographe…

ATTENTION: Toutes les procédures ci-dessous sont définitives et non réversibles. Après avoir exécuté ces commandes, vous (ou un tiers) ne pourrez JAMAIS récupérer les informations qui y étaient stockées.

Info: Dans ce billet j’utiliserais comme chemin pour mon disque dur a effacer : /dev/sdX, il vous faudra naturellement le remplacer par le vôtre. Vérifiez toujours d’abord vôtre table de partition avec « df » (utilitaire sans risques, il permet simplement de lister les disques montés sur vôtre système – NDLR : fstab)
Suivant la distribution *nix que vous utiliserez vous ne pourrez sûrement pas directement réinitialiser le disque système : il vous faudra utiliser un « live CD » ou booter sur un autre disque dur.

1. L’utilitaire « dd »:

L’utilitaire « dd » fourni avec tous les *nix et dérivés, permet de faire de nombreuses manipulations sur des fichiers ou des systèmes de fichiers comme (liste non exhaustive): Formatter une disquette à partir d’une image, découper un fichier en plusieurs morceaux, faire une image d’un DVD ou encore — et c’est ce qui nous intéresse ici — détruire les données d’un disque dur en le remplissant de zéros ou de données aléatoires.

Il faut toujours faire attention lorsqu’on utilise dd. Le simple fait d’oublier une option ou d’échanger les arguments aura des conséquences désastreuses.

1.1 Méthode rapide et peu sûre :

La première méthode consiste à écrire des 0 sur tous les secteurs du disque en une seule passe :

L’argument « conv=notrunc » permet de ne pas limiter la taille du fichier de sortie.

1.2 Méthode lente et moyennement sûre :

La seconde méthode, un peu plus sûre que la précédente consiste en l’utilisation du périphérique générateur d’aléatoires du noyau. Ce qui aura pour effet d’écrire des données aléatoires sur tous les secteurs du disque :

1.3 Méthode très lente et sûre:

Ici nous allons utiliser la première méthode, mais avec 32 passe.. De quoi vraiment tout effacer.

Notez qu’ici j’ai défini le paramètre « BS » qui correspond au nombre d’octets spécifié écrit en une seule fois. Ce qui permet de raccourcir considérablement le temps de chaque passe.

1.4 Méthode vraiment très lente et très sûre:

Pour cette dernière solution, vous l’aurez déduit par vous même, 16 passes de random, de quoi effacer définitivement n’importe quel octet sensible ! Suivant la taille du disque/partition, cette solution peut prendre énormément de temps…

Approfondissements :

Temps des opérations — Optimisations

Voyons comment se comporte dd pour un fichier test de 100Mb avec notre solution n°1 et un Block size de 1:

1 * 102400000 = 100Mb, dd a mis environ 7 minutes 38 secondes, pitoyable, pourquoi ?!

Petites précisions indispensables au sujet des secteurs (ou blocs):
Un secteur (ou bloc) est une subdivision d’une piste de votre disque dur. Chaque secteur peut stocker un nombre bien défini de données — les disques magnétiques fournissent généralement un espace de 512 octets (ce n’est pas le cas des SSD). La notion de bloc a été utilisée au début de l’informatique pour ce petit morceau de données, mais le terme secteur est devenu beaucoup plus courant. Puis peu à peu, « bloc » est devenu plus employé pour définir un certain nombre de données (variable) utilisé par un processus. Par exemple, le programme dd qui permet de définir la taille de bloc à utiliser lors de l’exécution avec le paramètre BS (= octets). En réalité, ça ne change pas la taille du secteur d’un support, seule la taille des données qui seront manipulées.

Notez que pour un CD, la taille d’un secteur est de 2.048 bytes (par exemple, si vous avez besoin de créer une image iso, tapez : dd if=/dev/hdc of=/tmp/mycd.iso bs=2048 conv=notrunc).

Reprenons — comment puis-je vérifier la taille des blocs sur un BSD ?

Et sur un GNU/Linux ?

Notez que sur le deuxième exemple, le système de fichier est en fait monté sur un RAID, d’où la réponse de BS de 4k.

Bien, maintenant que nous savons, essayons en spécifiant un BS de 512:

512 * 200000 = 100Mb, dd a mis à peine plus d’une 2,4s (contre 7m38) — la différence est énorme, pourquoi ?

En fait, l’explication est simple, c’est la synchronisation entre les données envoyées et les données écrites. Des blocs de 512 octets sont envoyés au disque et sont directement écrits sur les secteurs correspondants ; inutile de mettre en cache 512 fois 1 octet pour pouvoir écrire notre bloc. Et si on spécifie un BS supérieur, me direz-vous ? Essayons.

En effet, cela ne nous apporte rien ! notez que j’ai spécifié bs=512, mais en fait dd utilise par défaut le block size de 512.

/dev/zero, /dev/random ou /dev/urandom ?

Pour cette partie, je me suis largement inspiré des manpages de random que j’ai agrémentée d’exemples et quelques précisions.

Les fichiers spéciaux /dev/random et /dev/urandom existents depuis Linux 1.3.30 et ils fournissent une interface avec le générateur de nombres aléatoires du noyau. Il faut savoir que le noyau identifie chaque périphérique au moyen de deux numéros, le majeur (à gauche) et le mineur (à droite), ex:

Le fichier /dev/random a un numéro de périphérique majeur égal à 1, et un numéro mineur égal à 8. Les numéros du périphérique /dev/urandom sont 1 pour le majeur, et 9 pour le mineur et pour zero ils sont respectivement de 1 et 5. Ils sont de type c (Character), ils communiquent octet par octet (comme un port série) à l’inverse des disques durs qui sont de type b (Blocks) et qui – donc – communiquent par blocs de données.

Ce que l’on peut lire dans la documentation de noyau Linux a leurs propos :

1 char Memory device
    ...
    5 = /dev/zero        Null byte source
    ...
    8 = /dev/random   Nondeterministic random number gen.
    9 = /dev/urandom Faster, less secure random number gen.
    ...

En réalité, le générateur de nombres aléatoires récupère les séquences aléatoires en fonction du « bruit » généré par l’environnement : mouvement de la souris, frappe au clavier, etc.. Le générateur mémorise également une estimation du nombre de bits de bruit dans son réservoir d’entropie, et utilise son contenu pour créer des nombres aléatoires.
En effet, lors d’une lecture, le périphérique /dev/random sera limité au nombre de bits de bruit qu’il contient.
/dev/random est particulièrement adapté pour des cas où l’on a ponctuellement besoin de nombres hautement aléatoires (création de clés par exemple). Lorsque le réservoir d’entropie est vide, les lectures du périphérique /dev/random seront bloquantes jusqu’à l’obtention de suffisamment de bruits en provenance de l’environnement. Dans notre cas – ou l’on a besoin d’une très grande quantité de données —, nous risquons d’être très rapidement limité ! Heureusement, /dev/urandom renverra autant d’octets qu’on en demande. Toutefois, s’il n’y a plus assez de bits disponibles dans le réservoir d’entropie, les valeurs renvoyées pourraient être théoriquement vulnérables à une cryptanalyse basée sur l’algorithme employé par le pilote. Il n’existe pas de documentation sur ce type d’attaque dans la littérature publique actuelle, mais cela n’élimine pas le risque théorique.

Le fichier de périphérique /dev/zero quand a lui, se comporte comme s’il contenait une infinité d’octets à ~0. Quelle que soit la quantité de données que vous essayez de lire à partir de /dev/zero, il générera suffisamment d’octets nuls.

En résumé, nous allons plutôt utiliser /dev/urandom ou /dev/zero, sinon ça va prendre un temps fou. /dev/random donne de l’entropie « forte » (liée au matériel) et ne donne donc que quelques octets par seconde. /dev/urandom complète cette entropie forte avec du PRNG et génère donc les données aussi vite que nécessaire, ou presque..

Dans le cas d’un effacement de disque dur, ce risque nous importe peu, mais je trouvais intéressant d’en parler.

Petites précisions pour les BSD Users:
1) Le générateur de bruit random a été remplacé par un générateur cryptographique nommé « Yarrow algorithm » ;
2) /dev/urandom est un lien symbolique sur /dev/random.
3) Les numéros mineurs et majeurs ne sont pas les mêmes, ex:

Vérifications

Pour vérifier l’oeuvre de la commande dd couplée à random, nous allons utiliser « hexdump » (sur un fichier de 64b, pour une question de lisibilité).

Utilisons « zero » comme générateur:

Quand à utiliser « random », voici le résultat :

Vous pourrez, naturellement vérifier le résultat en situation « réelle » grace a la commande suivante :

Note finale

Il existe des logiciels comme « Shred » qui offrent des solutions « clés en main », mais qui au final ne font que ce que vous auriez très bien pu faire avec « dd » (un nombre X de passes random puis finir sur une « zero »), ex:

Les deux lignes suivantes font la même chose:

sachant que – pour un disque de 500Go – dd a été le plus rapide chez moi.

Il existe un ensemble d’outils nommé « secure_deletion toolkit », mais il n’est pas encore porté sur toutes les plates-formes. Par exemple, l’outil « sfill » pousse l’effacement sécurisé des fichiers à son paroxysme :

* Une passe avec 0xff
* 5 passes aléatoires avec la source /dev/urandom
* 27 passes avec des valeurs spéciales définies par Peter Gutmann. (Je vous invite d’ailleurs a lire son article très complet si vous voulez en savoir plus.)
* A nouveau 5 passes aléatoires.
* Une passe avec 0×00.

Il est peu être possible de lire « à côté des pistes », des résidus magnétisés et de retrouver ainsi des données écrites préalablement en décalant les têtes et peut être existe’il d’autres méthodes dont nous n’avons pas connaissance alors il reste une solution universelle et radicale : La destruction physique. C’est la seule solution réellement viable et irrécupérable : Perceuse, Masse, Acide et j’en passe..

Le générateur random et l’utilitaire dd sont disponibles sur énormément de distributions : Solaris, Mac OS X, FreeBSD, HP-UX, Tru64, AIX et j’en passe.

Dans le monde de la sécurité informatique, il existe trois types de failles : L’exploit connu de tous, généralement rapidement corrigé par un patch. L’exploit de type 0-day, très peu de gens en ont connaissance — qui sera peut-être corrigé un jour — Et enfin les vulnérabilités dues a la conception d’un système/protocole et qui ne pourrons pas être, c’est le cas de par exemple du protocole de routage BGP (sur lequel j’ai fait un billet précédemment) ou encore de l’ « Address Resolution Protocol » aka ARP. Et tout bon sysadmin se doit de les connaitre pour savoir où et comment surveiller son réseau et se prémunir de ces attaques qui ne pardonnent pas.
Ce protocole et les attaques qu’il permet sur un LAN sont plutôt bien connus. Néanmoins, les conséquences de ces attaques sont rarement appréhendées à leur juste mesure. La technique que nous allons voir ici se nomme ARP Spoofing (ou ARP Cache poisoning). C’est une technique de spoofing très efficace bien que facilement détectable et – comme je le disais plus haut, parfaitement incurable, car lié directement a sa conception. . Nous étudierons trois possibilités de sont utilisation : Denial of Service, Man in the middle et MAC Flooding. Mais tout d’abord, commençons par une piqûre de rappel.

MAJ 6 Mai 2009: Correction de quelques fautes.

• 1. Modèle OSI
• 2. L’adresse MAC
• 3. Le protocole ARP
• 4. L’ARP Spoofing
• 5. Faiblesses
• 5.1 Denial of Service
• 5.2 Man in the middle
• 5.3 MAC Flooding
• 6. Solutions
• 6.1 Pour les petits réseaux
• 6.2 Pour les grands réseaux
• 6.3 Pour tous le monde

1. Modèle OSI

L’OSI (Open Systems Interconnection) est un modèle de communications entre machines proposé par l’ISO (Organisation internationale de normalisation). Il décrit les fonctionnalités nécessaires à la communication et l’organisation de ces fonctions.
Dans sa forme la plus simple, il divise le réseau en sept couches que nous ne détaillerons pas ici. La numérotation des couches commence par le bas, c’est à dire par le matériel (matériel en bas, logiciel d’application en haut. Nous nous intéressons uniquement à certaines couches dites basses :

• La couche physique (niveau 1) : La couche physique est chargée de la transmission effective des signaux électriques ou optiques entre les interlocuteurs (100BASE-TX, ADSL, Firewire, USB, RS-232…).
• la couche liaison (niveau 2) est le lien entre la carte réseau et la couche réseau (Ethernet, Token ring, WiFi, PPPoE)
• la couche réseau (niveau 3) gère l’adressage logique et le routage (IPv4, IPv6, ICMP).

Exemples :

- Un hub est un matériel de niveau 1 : il permet de relier plusieurs machines à une même branche du réseau. Il se contente de faire circuler les signaux dans les deux sens, sans traitement.
- Un routeur est un matériel de niveau 3, c’est-à-dire qu’il intervient aux niveaux 1 à 3. C’est le dispositif de base des réseaux. Il lit l’adresse IP des paquets qu’il reçoit et les re-expédie où il faut depuis les données contenues dans sa table de routage et son cache ARP. Cette dernière est mise à jour régulièrement, en fonction des données que le routeur reçoit des routeurs et des ordinateurs voisins.

2. L’adresse MAC

L’adresse MAC (Media Access Control) est un identifiant physique constitué de 6 octets, elle est attribuée par le constructeur de l’équipement et « hard codé » sur la carte (il est possible de la changer, mais ce n’est pas le but de cet article.) Elle consiste en six nombres hexadécimaux séparés par des « – » ou des « : », il existe potentiellement 248 (environ 281 000 milliards) d’adresses MAC possible, il est donc quasiment impossible de se retrouver avec un doublon sur le réseau. Notez que l’adresse de broadcast est: FF:FF:FF:FF:FF:FF, les données seront envoyées à l’ensemble du réseau local.
Nota : L’IEEE a donné des préfixes de 24 bits sur les 48 bits aux fabricants, c’est l ‘OUI (organizationally unique identifier). Ce qui permet facilement d’identifier une carte de destination, ex :

00-00-0C(hex) Pour Cisco ou encore 00-00-7D(hex) pour Sun – (clin d’œil a touff’.. si tu me lis ;)

Vous pouvez y avoir accès, sous Linux avec la commande ifconfig :

En savoir plus : http://www.iana.org/assignments/ieee-802-numbers

3. Le Protocole ARP

Ce protocole est vraiment très simple : Il sert à mettre en corrélation l’adresse IP avec l’adresse MAC pour savoir qui sont les machines sur le réseau et donc savoir ou router les paquets. Ce protocole est totalement séparé de TCP/IP puisqu’il n’opère qu’entre les niveaux 2 et 3 de la couche réseau. Nous pourrions le comparer aux DNS sauf qu’au lieu de convertir les noms de domaines en IP, il convertit les IPs en Adresse MAC.
Les équipements réseaux communiquent en échangeant des trames Ethernet (dans le cas d’un réseau Ethernet bien sûr) au niveau de la couche liaison de données, toute machine connectée a un réseau possède un cache ARP de toutes les adresses IP/MAC rencontrés, ce qui permet de ne pas encombrer les réseaux en renouvelant les requêtes pour communiquer avec les machines contactées précédemment.

Il comprend quatre messages de base :

Aller plus loin : http://tools.ietf.org/html/rfc826

4. L’ARP Spoofing

Bien, assez de tous ces rappels ennuyeux, passons aux choses amusantes : la vulnérabilité de ce protocole. Pour améliorer le temps de réponse et limiter l’utilisation du réseau la plupart des systèmes mettent a jour leur cache ARP a chaque fois qu’ils reçoivent une réponse, même s’ils ne l’on pas demandé : ce qui veut dire qu’un « pirate » envoyant un message ARP a l’ordinateur B disant « l’ordinateur C a mon Adresse MAC » recevra ensuite tous les messages qui devraient normalement être délivrés a cet ordinateur C.
petite mise en situation :

(J’ai simplifié les adresses MAC pour une meilleure lisibilité)
A. Le serveur, 00:00:00:00:00:01 – 192.168.0.10
B. Un utilisateur, 00:00:00:00:00:02 – 192.168.0.20
C. Le pirate, 00:00:00:00:00:03 – 192.168.0.30

C annonce à B “192.168.0.10” est a l’adresse MAC: 00:00:00:00:00:03.
C annonce à A “192.168.0.20” est a l’adresse MAC: 00:00:00:00:00:03.

Comment ? avec des solutions comme ARPSpoof ou Némésis, très simplement :

Maintenant toutes les communications de l’utilisateur vers le serveur (ou inversement) seront routées vers le pirate… qui pourra par exemple récupérer les login/mot de passe.

5. Faiblesses

Comme je viens de le dire, il n’y a aucun système d’authentification. ARP est basé sur la confiance : il considère tous les messages reçus comme authentiques, qu’il provienne de la machine légitime ou pas et il n’intègre aucun moyen de vérification. Je pense que les concepteurs de ces protocoles ont sûrement simplifié les communications pour que les réseaux fonctionnent de manière optimale, les débits étaient très peu élevés à cette époque et un système d’authentification aurait été beaucoup plus lourd.
La possibilité d’associer n’importe quelle adresse IP avec une @MAC permet à un pirate plusieurs vecteurs d’attaques, je vais maintenant en détailler 3 : Denial of Service, Man in the Middle et MAC Flooding.

5.1 Denial of Service (DoS)

Comme nous l’avons vu précédemment, un pirate peut facilement associer une adresse IP a une fausse adresse MAC. Par exemple, un pirate peut envoyer une réponse ARP associant l’adresse de vôtre routeur avec une adresse MAC qui n’existe pas. Votre ordinateur pense donc connaître réellement la passerelle par défaut, mais en fait ils envoient leurs paquets a une destination qui n’existe pas. Le pirate vous a isolé du réseau.
Nous pourrions tout aussi bien projeter – sur un réseau plus grand – une attaque de type DDoS (Distributed Denial of Service) en signalant a toutes les machines qu’une seule adresse MAC correspond a toutes les adresses IP. Ce qui risque de submerger la machine sous des requêtes en tout genre. (Voir aussi MAC Flooding).

5.2 Man in the Middle

Une autre utilisation intéressante de cette faille est de rester dans l’ombre et d’ « écouter » le trafic (sniffing) pour récupérer des informations comme les logins et mot de passe… ce qui est particulièrement dévastateur, car le pirate peut rapidement avoir accès a des informations qui lui permettront de s’infiltrer plus profond dans vôtre réseau.
Mise en œuvre : Dans le cadre d’un ARP Poisoning simple, les machines n’arrivent plus a joindre leur destinataire légitime, l’attaque est donc très facilement repérable. Mais le pirate peut facilement mettre en place ce qu’on appelle l’IP Forwarding (echo 1 > /proc/sys/net/ipv4/ip_forward), celles-ci enverront donc leurs trames Ethernet à la machine pirate tout en croyant communiquer avec la cible, et ce de façon transparente pour les switches. De son côté, la machine pirate stocke le trafic et le renvoie à la vraie machine en forgeant des trames Ethernet comportant la vraie adresse MAC (indépendamment de l’adresse IP) pour cela il suffit en fait d’envoyer régulièrement des paquets ARPReply en broadcast, contenant l’adresse IP cible (mettons, un serveur) et la fausse adresse MAC. Cela a pour effet de modifier les tables dynamiques de toutes les machines du réseau. Ce qui permet à la machine du pirate d’écouter toutes les informations qui transitent par son ordinateur et il peu – facilement – avoir accès a vos mots de passe non chiffrés (entre autres).

5.3 MAC Flooding

Le MAC Flooding est un ARP Cache poisoning visant les routeurs et les switches. Certains matériels réseaux actifs – lorsqu’ils sont surchargés – basculent dans un mode moins gourmand en ressources, pour sauvegarder leurs liens : ils deviennent de simples hubs et donc broadcastent tout le trafic réseau sur tous leurs ports (et donc tous les ordinateurs qui y sont connectés. (Et en floodant la table ARP d’un switch avec énormément de données on peut facilement le surcharger..) ce qui permet ensuite au pirate d’écouter facilement tout ce qui transite sur le réseau.

6. Solutions

Certaines solutions que je vous propose ci-dessous sont simples, mais n’hésitez pas à les mettre en place – car si vous vous pensez à l’abri c’est là que vous êtes le plus vulnérable. Notez tout de même que l’ «ARP Poisoning» ne peut être utilisé qu’en local. Il doit contrôler une machine sur votre réseau, ce qui veut dire que le pirate aurait déjà accès à ce réseau… Parce que cette faille est inhérente au protocole requis par TCP/IP vous ne pourrez le patcher, cependant il existe des solutions pour le surveiller/détecter.

6.1 Pour les petits réseaux

Si vous êtes administrateur d’un petit réseau, vous avez plusieurs méthodes imparables pour vous prémunir de ces attaques : Utiliser des Adresses IP fixes / Tables ARP statiques. (arp –s pour définir les @MAC/IP de tous vos périphériques) ils ne changeront donc jamais, quels que soient les messages reçus. Si vous avez mis en place un contrôleur de domaine, il est possible de définir un script de démarrage dans lequel vous spécifieriez ces adresses.
Gardez tout de même a l’esprit que maintenir une liste de ces adresses est possible seulement si vous possédez un petit réseau. S’il devait s’agrandir vous seriez rapidement submergé par le temps demandé a maintenir cette liste, car il vous faudrait ajouter chaque machine a ce script avant qu’elle ne puisse dialoguer avec les autres (quid de la taille du fichier script ?).

6.2 Pour les grands réseaux

Si vous êtes administrateur d’un réseau informatique assez étendu vous devriez être équipé de switch qui propose des options « port security » (par exemple Cisco) cette option permet de définir une seule adresse MAC par ports et qui – si cette adresse change – verrouille le port. Cela permet de limiter la plupart des attaques ARP comme le Man-in-the-middle.

6.3 Pour tous le monde

La meilleure protection contre l’ARP Poisoning est la surveillance de votre réseau, en effet, avec les outils appropriés, cette attaque ne peut pas passer inaperçue. Par exemple, il existe un outil nommé ARPwatch qui permet – en autres – d’envoyer une alerte quand messages ARP anormaux apparaissent (j’écrirais un billet sur l’envoi d’alertes par SMS via des API bientôt).

Il y a des jours, ou, on se fait un peu plus chier que d’autres.. En bon geek j’ai occupé mon temps en surf sur le net et je suis tombé sur ça: http://www.hackthissite.com. Il ne sagit pas là d’une provocation pure et simple mais d’un site qui propose des défis de h4x0r. Je n’ai eu – pour l’instant – que l’occasion de réaliser la partie « Basic Missons » (les 10 épreuves) et je vais essayer de toutes vous les expliquer ici. Sans plus attendre voici les solutions.

Avant tout, il vous faudra le navigateur  au renard a la queue flamboyante avec quelques une des extensions disponibles: « Firefox« , « Firebug » et « FireCookies« .

Basic 1: « Basic test of your skills to see if you can do any of these missions. Requirements: HTML. »

La première mission est vraiment très très simple, il suffit d’aller plonger dans le code source pour y trouver le mot de passe: faites un clic droit et « View page source » (ou « Inspect element » avec firebug) cherchez un code de la forme:

<!-- the first few levels are extremely easy: password is abcd1234 -->

Entrez le mot de passe dans le champ puis cliquez: « submit ». Bravo vous êtes un 3l1t3 h4x00r :)

Basic 2: « A slightly more difficult challenge, involving an incomplete password script. Requirements: Common sense. »

Deuxième mission qui on s’en doute ne va pas être vraiment plus difficile que la première. Il suffira d’être un petit peu logique.. il est dit que l’admin n’as pas uploadé le fichier contenant le mot de passe, donc: le mot de passe est… vide, quel étourdi ce sam ! Cliquez simplement sur « submit » :)

Basic 3: « Some intuition is needed to find the location of the hidden password file. Requirements: Basic HTML knowledge. »

Très bien, ici, Sam n’as pas oublié d’uploader le fichier contenant le mot de passe (en clair..). Comme d’habitude, avant tout, rendons nous dans la source:

<form action="/missions/basic/3/index.php" method="post">
    <input type="hidden" name="file" value="password.php">
    <input type="password" name="password"><br /><br />
    <input type="submit" value="submit">

Tiens, Sam a encore commis une boulette ! Pointez vôtre navigateur sur « http://www.hackthissite.org/missions/basic/3/password.php », récupérez le mot de passe et next !

Basic 4: « An email script has been set up, which sends the password to the administrator. Requirements: HTML knowledge, an email address. »

Dans la mission 4, Sam a encore commis de belles erreurs !  Regardons directement la source:

<form action="/missions/basic/4/level4.php" method="post">
    <input type="hidden" name="to" value="webmaster@hulla-balloo.com">
    <input type="submit" value="Send password to Sam">
</form>
<form action="/missions/basic/5/index.php" method="post">
        <input type="password" name="password">
        <br /><br />
        <input type="submit" value="submit">
</form>

Comme vous pouvez le voir, il y a deux « forms »: Le premier permet d’envoyer le mot de passe sur l’adresse mail de Sam alors que le second permet l’accès quand on connais le mot de passe.

Ici encore, nous allons exploiter ce code pas très sécure pour nous faire envoyer le mot de passe en forgeant notre propre form. Pour ça, ouvrez firebug en cliquant droit sur le form, puis « Inspect element ». Maintenant changez directement l’adresse mail par la vôtre – ou changez le type du champ de 

à 

. Validez.. copiez le mot de passe, revenez en arrière et passons au challenge suivant :)

Basic 5: « Similar to the previous challenge, but with some extra security measures in place. Requirements: HTML knowledge, JS or FF, an email address. »

A priori, rien de différent, on procède comme la Basic 4..

EDIT: il semble que la seule chose qui change c’est un script qui vérifie nôtre provenance avant de valider l’envoi du mail… en effet une autre solution pour le défi précédent aurais été de modifier la source de la page directement depuis une copie sur notre disque dur.

Basic 6: « An encryption system has been set up, which uses an unknown algorithm to change the text given. Requirements: Persistence, some general cryptography knowledge. »

J’avoue avoir un peu plus galéré sur ce défi ! C’est un sacré bond en avant que Sam nous a fait là.. En fait il ne sagit pas là d’exploit mais de cryptographie pure et simple.

Qu’avons nous ? deux formulaires et le mot de passe chiffré: Le premier permet de chiffrer un mot de passe et le deuxième d’accéder au défi suivant. Le mot de passe étant sous sa forme chiffrée, il nous faudra donc utiliser le premier script pour comprendre ou essayer d’en déduire la technique utilisée.

Essayons de chiffrer un caratère:

1 nous donne: 1

1 donne 1. Hùùùm.. tentons quelque chose de plus long..

-> 

-> 

Nous pouvons voir ici qu’il y a incrémentation de 1 pour le second chiffre, 2 pour le troisième.. etc. Que se passe t’il quand nous allons quitter les décimaux simples ? Essayons.

-> 

C’est la qu’il m’a fallu un peu de temps pour réaliser qu’il sagissait en fait de la table ASCII… en effet, sur cette table après le « 9″ nous avons  »: » puis « ; » puis  »< », etc… Vérifiez ici par vous même :)

J’ai, comme mot de passe chiffré: ef6d4818

Le mot de passe déchiffré est donc: ee4a03f1 dans mon cas :)

Basic 7: « The password is hidden in an unknown file, and Sam has set up a script to display a calendar. Requirements: Basic UNIX command knowledge. »

Celui ci est vraiment très facile aussi ! Nous apprenons que Sam a crée un script qui retourne la sortie de la commande cal de linux (une aubaine pour nous!). Testons la chose.. Si nous entrons une année dans le champ il nous retourne le résultat classique de la commande cal, rien d’exceptionnel. Comment cela peut il fonctionner ? Je suppose que le contenu doit être de la forme:

print `cal $input`;

Une simple injection de la forme:

&& ls

Nous permet donc de lister le répertoire courant:

.
..
level7.php
cal.pl
index.php
k1kh31b1n55h.php
perl5.8.9.core

Il semblerais que le fichier k1kh31b1n55h.php contienne notre mot de passe. Bravo étape suivante :)

Basic 8: « The password is yet again hidden in an unknown file. Sam’s daughter has begun learning PHP, and has a small script to demonstrate her knowledge. Requirements: Knowledge of SSI (dynamic html executed by the server, rather than the browser). »

Sam commence a sécuriser un peu plus ses formulaire, heureusement sa petite soeur a crée un petit script qui va nous ouvrir les portes ! Essayons donc maintenant le script de Stéphanie: Ce script enregistre ce que vous avez entré dans le champ texte avec quelques informations supplémentaires (Longueur du texte.. etc). C’est a ce moment la que nous allons utiliser une injection par formulaire en utilisant, cette fois ci les SSI. (Du html dynamique, du code exécuté par le serveur.. un peu comme le php). Les SSI sont utilisée – par exemple – par apache pour inclure les headers/footers des pages qu’il génère avec l’option « Indexes« .

Nous allons donc essayer d’insérer le code suivant (exec de la commande linux ls) dans le fichier généré par le script de Stéphanie:

<!--#exec cmd="ls .."-->

Et voilà le travail:

Hi, au12ha39vc.php index.php level8.php tmp!
Your name contains 39 characters.

Il ne vous reste plus qu’a consulter au12ha39vc.php pour passer au niveau suivant :)

Basic 9: « The password is again hidden in an unknown file. However, the script that was previously used to find it has some limitations. Requirements: Knowledge of SSI, Unix directory structure. »

Liée a la mission précédente, celle ci s’avère très simple si on prend un peu de recul… Tout d’abord nous n’avons ici que le champ texte d’entrée du mot de passe, il va donc falloir chercher ailleurs. Si nous lisons les instructions de notre ami Sam nous aprenons qu’il sagit ici encore de SSI – nous avions utilisé:

Donc il suffit de se rendre une mission plus tôt – retourner sur la 8, oui – et changer le path du ls pour lister ce répertoire ci.. rien de plus simple. Nous étions ici:

et nous voulons aller là:

, il suffira donc d’executer cette intruction ci:

Encore une victoire pour nous.. plus que deux missions, voyons ce que Sam va nous servir.

Basic 10: « This time Sam used a more temporary and « hidden » approach to authenticating users, but he didn’t think about whether or not those users knew their way around javascript… »

Comme dans les missions précédentes nous sommes relativement bien guidés, il nous est dit que Sam a utilisé une méthode d’authentification cachée: de quoi penser « Cookies » ! En étudiant le code nous nous rendons compte que cette fois ci le mot de passe a été codé en dur et n’est pas accessible.

Nous allons donc analyser les cookies pour voir ce qu’il en est. Nous allons avoir besoin de « FireCookies » une extension pour Firefox qui permet de gérer les cookies (ajout/suppression/edition). Pour être le plus clair possible voici une capture d’ecran:

Vous pouvez voir une ligne “level11_authorized” changez sa valeur de “no” a “yes”, validez. BRAVO.

Le BGP (Border gateway protocol) est un protocole d’échange de route utilisée – entre autres – sur Internet. Son objectif est d’échanger des réseaux avec les routeurs voisins pour établir des tables de routage dynamiques : Les routeurs s’échangent des informations sur les réseaux qu’ils connaissent et sur le moyen de les atteindre.

Pour communiquer avec une autre machine, le système suis la table de routage. (On peut l’afficher sur quasiment tous les Unix avec « netstat -rn », avec « route -n » sur Linux ou encore « route -n show » sur NetBSD. Prenons un exemple :

Imaginons un routeur ayant la table de routage suivante :

Et dont les paquets doivent être envoyés à la destination de 192.168.20.37 : Ils seront envoyés tout d’abord à 192.168.20.254 qui les fera suivre. Faisons un traceroute pour le vérifier:

On voit bien dans cet exemple la manière dont les paquets arrivent à destination. Seulement ici nous sommes dans le cadre d’un petit réseau, imaginez la même chose à la hauteur d’un réseau comme internet…

La plupart des connexions vers Internet à partir d’une résidence ou au bureau sont réalisées par un routing statique, c’est-à-dire qu’il n’existe qu’une seule route, celle vers votre FAI (Fournisseur d’accès a Internet). Mais après cela, Internet est un maillage de réseaux. Cela signifie que plusieurs chemins existent entre deux réseaux d’extrémité. Et ceux-ci ne sont pas tous équivalents…

En se servant du protocole de routing BGP et à condition de disposer de deux connexions ou plus vers Internet, on peut décider de façon dynamique d’envoyer un certain type de traffic par une connexion et un autre type de trafic par une autre connexion. En effet, imaginez votre connexion à crashdump.fr circulant dans cette univers cruel et barbare qu’est Internet. Vous préférerez peut être qu’ils transitent par tel AS, car l’admin est un pote ou que vous avez négocié un tarif avantageux. Vous refuserez peut-être qu’ils transitent par un autre AS, car vos flux sont incompatibles avec la législation en vigueur dans le pays ou pour toute autre considération politique (nldr: Chine), économique ou de sécurité que l’on peut imaginer. Dans ce cas, vous aurez besoin de définir une politique de routage sur Internet. BGP sert a cela.

Le 24 février 2008, YouTube a été indisponible pendant deux heures environs. Ce n’était pas une panne, mais le résultat d’une action (délibérée ?) en provenance du Pakistan. Le gouvernement (du Pakistan) a annoncé ce jour là, un blocage de YouTube. Pakistan Telecom à donc exécuté l’ordre. Ce qui est rigolo (ou pas..) c’est que par incompétence ou bien par volonté de tester, ils ont réussi à couper YouTube sur l’ensemble de la planète.

La technique est très banale (ou du moins, connue) et des tas de gens l’ont déjà exploité. On appelle ça l’IP hijacking (détournement d’adresse) et ça consiste à annoncer une route plus spécifique, pour les adresses IP de la victime comme je vous l’ai expliqué plus haut, grâce au BGP. Oui, très peu d’entre eux limitent ce qu’on peut annoncer. N’importe quel routeur BGP de l’Internet peut tout à coup se mettre à dire « Envoyez tous les paquets IP à destination de x.x.x.0/24 – vers moi ». Cette annonce aura même la priorité sur celle du propriétaire légitime, car elle est plus spécifique (la longueur du préfixe est de 24 bits, contre par exemple 22 pour l’annonce légitime. Ici vous me dites : « Il n’y a qu’à authentifier le pair BGP en face ! ». Non, cela ne sert à rien puisque ça ne garantit pas qu’il aura, lui-même, authentifié ses propres pairs.

Ce problème est connu et ce depuis longtemps et devrait, logiquement, susciter plus d’inquiétudes pour la sécurité et la stabilité de l’Internet. Ce n’est pas facile à résoudre, le problème n’étant pas technique mais politique et organisationnel. Ce ne sont donc pas les solutions techniques qui manquent (Ex : Secure BGP, soBGP). Rien ne sert d’installer une alarme ultra sophistiquée sur votre voiture si vous prêtez les clés a tout le monde.

Alex Pilosov et Anton Kapela ont dit, lors du DefCon 16 (2008):

- Everyone … has assumed until now that you have to break something for a hijack to be useful.
- But what we showed here is that you don’t have to break anything. And if nothing breaks, who notices?

Entendez par là :

- Tout le monde est d’accord sur le fait que, jusqu’à présent, vous étiez obligé de casser quelque chose pour faire un détournement d’adresse efficace. (Et donc faire du « bruit »).
- Mais ce que nous avons montré ici est différent : Si rien n’est cassé, qui le remarquera ?

Le type d’attaque qu’ils ont démontré est d’un type nouveau, car elle permet d’écouter les flux d’autrui sans être propriétaire du réseau normalement emprunté et surtout sans être repérable !
Pourquoi rien n’a été fait avant ? Deux raisons : Personne n’avais jamais démontré qu’il était possible de faire ce que ces deux jeunes pirates on fait ce jour-là. L’autre, pire encore : l’argent. Comme je vous l’ai expliqué tout à l’heure, en théorie le problème est bien connu des gouvernements et des agences de sécurité gouvernementales, mais cela coûterait très cher – en temps et en argent – de mettre en place une solution plus sûre… du moins pour le moment !

On pourrait même penser que la situation n’évolue pas, car elle pourrait permettre aux agences comme la NSA (Big B, Echellon) ou les équivalents d’autres pays, d’écouter le trafic mondial très facilement… Pire, là où un hacker avec peu de moyens ne pourrait pas traiter toutes ces informations, un pays devrait être moins limité.

Attention, je n’ai jamais eu la prétention d’être un expert dans ce domaine, je vais donc seulement vous parler de ce je connais.. (les bases). Lire cet article ne vous rendra pas aussi populaire que Kevin Mitnik ou assimilé. De plus c’est un domaine très vaste et en constante évolution. Un bon administrateur saura se tenir informé et devra s’y intéresser: http://www.securityfocus.com/, http://www.linuxsecurity.com/… seront de bonnes sources d’inspiration :)

l’Installation

Tout d’abord je vais supposer que vous savez installer la distribution qui vous intéresse et que c’est fait – beau raccourci, hein ! – Mais sans X11.. parceque-c’est-moche-et-que-je-suis-un-l33t ? Non. Mais dans ce tutoriel, je ne l’aborderais pas.

Règle n°1: Si vous n’avez pas besoin de quelque chose (services, applications..) ne l’activez pas ! C’est très important, la raison est simple: Plus vous avez de services activés, plus vous encourez le risque d’être vulnérable a un exploit… Un chemin royal pour qui en voudrait a vôtre machine.

Verrouillage

Première étape pour sécuriser vôtre serveur, plusieurs choses importantes:

Changer le mot de passe root: J’insiste sur ce point, mais je vois trop souvent de mot de passes composés de quelques lettres ! Dans la plupart des cas, il devra être composé d’au moins 12 caractères dont 4 spéciaux (%*/;…) et 4 numériques. ex: Rv1-45/o;.V6 qui est considéré comme fort. Hey, vous au fond ! Inutile de l’écrire sous le clavier, juste un petit effort pour le retenir.. ;)
De plus, le changer régulièrement c’est pas une mauvaise chose.. tout les 2 mois par exemple.
Sachez qu’il existe des application qui peuvent « scanner » vos machines pour essayer différents mot de passes a partir de « dictionnaires », donc évitez la date de naissance de votre belle-mère.
Pour ce qui est des scanners (brute-force) nous verrons, plus tard comment s’en protéger un minimum.

Pour changer votre mot de passe root:

Pour changer le mot de passe de l’un de vos utilisateurs:

Désactiver les suid: Parfois très pratiques – et très dangereux – le SUID (« Set User ID ») vous permet de faire fonctionner une application en tant qu’autre utilisateur. Imaginez que quelqu’un ai accès a l’une de ces applications (via un shell, apache).. et puisse lire votre /etc/shadow.. toute la sécurité de votre serveur serait compromise.

Pour trouver tout les binaires qui utilisent un SUID, tapez la ligne suivante:

NOTE: Le « s » signifie que le fichier est SUID.

La plupart des administrateurs systèmes recommandent de désactiver les services comme « ping » ou traceroute » (lorsque vous n’en avec pas besoin).. Je vous conseillerais de désactiver, dans ce cas: chage, chfn, chsh, mount, umount, gpasswd, usernetctl, traceroute, traceroute6, newgrp, ping6, ping.

Désactiver le SUID sur ces binaires empêche tout autre utilisateur que le propriétaire de l’exécuter (tout en sachant que la plupart de ces services aurons besoin d’être exécuté en root pour fonctionner)

Ces lignes ont été retirée parce qu’elle produisait des erreurs avec certains outils (Utilisation d’une donnée non initialisée dans la plupart des projets liés a OpenSSL). Mais la suppression de des lignes en question à eu des effets collatéraux sur OpenSSL PRNG. En fait au lieux de mélanger différentes variables aléatoire pour la génération initiale, la seule variable « aléatoire » qui a été utilisée étais le PID du générateur -et quand on sais que le nombre maximal par défaut sous linux est de 32,768- le résultat est que PRNG utilise une très petite fourchette de valeurs initiales.

Impact:

Toutes les clés SSL et SSH générées sur des systèmes basé sur Debian (Ubuntu, Debina, Mint…) entre Septembre 2006 et le 13 Mai 2008 sont affectée par la vulnérabilité. Dans le cas des clé SSL, tout les certificats doivent être révoqué et a nouveau généré. Tous les administrateurs système doivent auditer leurs clés pour être sur qu’ils ne sont pas touché par la vulnérabilité ! D’ailleurs tout les outils liés de près ou de loin a OpenSSL PRNG peut être vulnérable, attention.

Tout flux d’un serveur SSH qui utilise une clé générée par un système vulnérable peut être sujet a une interception (man in the middle) sans que l’administrateur ne se rende compte de rien. Je vous rassure, les projets Debian et Ubuntu on développé des outils pour identifier les clé vulnérables, vous trouverez plus d’information a leurs propos en fin de page.

Q: Combien de temps cela prendrais de générer toutes les clés touchées ?
A: Avec 31 Xeon @ 2.33Ghz. Cela prend deux heures pour les clés DSA 1024-bit et RSA 2048-bit pour x86. Les clés RSA 4096-bit sont générés en 6 heures. En ce qui concerne les clés RSA 8192-bit cela prendrais environs 100 heures.

Q: Combien de temps cela prendrait il de cracker un SSH avec ces clés ?
A: Tout dépend de la vitesse du réseau et de la configuration du serveur SSH. Il devrait être possible d’essayer toutes les clés (32,767 DSA 1024 et RSA 2048) en quelques heures. Attentions aux scripts tels que Fail2Ban (anti-bruteforce).. etc.

Q: J’utilise une clé RSA 16384 bit, suis-je vulnérable ?
A: Oui, c’est juste une question de temps (processeur et réseau). Pour le RSA 8192 bit, cela prend environ 3100 heures pour générer toutes les clés. J’imagine que pour le 16384 bit, nous serions dans les 100,000 heures (en temps CPU). Mais gardez en tête que la « fourchette » réele est bien plus mince, basée sur PID du processus qui a servit a générer le tout. Donc, inutile de générer toutes les clé pour en couvrir la majorité ! (La plupart de ces clés sont dans les premiers 3,000 PID)..

http://www.debian.org/security/key-rollover/
http://wiki.debian.org/SSLkeys

Je vais donc mettre à votre disposition, ici, une technique pour le récupérer (ou le changer). Pour celà, on va passer le switch en mode single-user (oui, comme sur votre distribution linux préférée !) et on va lire le mot de passe dans le fichier de configuration …si il n’est pas crypté… dans ce cas précis on le changera directement.

1. On connecte un PC sur le port console du switch puis a l’aide de « HyperTerminal » si votre OS est windows ou avec « tip » si vous utilisez Linux. Les réglages sont les suivants:
Vitesse: 9600 baud,
Parité: No parity,
Données: 8 data bits,
Bit de stop: 1 stop bit,
Contrôle du flux: No flow control.

2. Redémarrez l’engin. Pendant le redémarrage, appuyez environs 15 secondes sur le bouton qui se trouve souvent sur la façade avant du matériel.

3. A la fin du chargement, vous aurez accès au terminal en mode single. on est dedans.

4.Tapez:

5. Puis:

6. Et:

7. Ici, on déplace le fichier config qui contient l’ancien mot de passe vers un fichier backup

8. Redémarrage du switch..

9. Répondez « no » à la 1ère question qui vous est posée.

10. On a donc a nouveau la main sur le terminal. Passez en mode enable:

11. On remet en place le ficher de config initial.

12. Et on charge le tout en mémoire:

12b. Si votre mot de passe n’est pas crypté, c’est maintenant que vous pouvez le lire en faisant « sh ru », sinon il va falloir continuer…

13. On change le mot de passe:

14. Redémarrez le tout.. c’est gagné ! Il ne vous reste plus qu’a nettoyer toute la poussière..

Sans plus attendre vous la trouverez ici: http://proxy.crashdump.fr

A quoi peut vous servir cette liste de proxy anonymes ?

Lorsque vous vous connectez à internet, votre fournisseur d’accès vous fourni une adresse IP. Lorsque vous tentez de rentrer en contact avec un serveur sur Internet pour par exemple visiter un site, une trace de connexion (Votre IP) est conservée sur l’ordinateur visité: dans les log. Ainsi, il est possible d’établir qui est l’auteur des différentes visites du site en question. Il existe des serveurs proxy, qui servent d’intermédiaires entre son ordinateur et le serveur de destination. Appelons « M » ce serveur mandataire. Une personne pourra se connecter via “M” et lorsqu’il laissera des traces dans les logs des serveurs et sites qu’il visitera durant cette même session de surf, ce sera l’adresse IP de “M” qui sera inscrite dans lesdits logs.

Et que vous êtes dans l’impossibilité de la supprimer, voila la solution:

..et dire que c’est même pas écris dans les man pages.. Voila qui m’a donné envie d’écrire un tutoriel sur route ! a bientôt ;)

Un tutoriel de mise a jour du kernel par dedibox: http://documentation.dedibox.fr/doku.php?id=distrib:kernel&s=noyau

La faille a été corrigé par les équipes de sécurité de la plupart des distributions.
Aussi peut être pensez vous comme moi qu’un simple (pour debian)

Pourrais vous mettre à l’abri… Malheureusement chez dédibox il est optimisé pour C7, donc spécifique. Pas de panique ça reste assez simple a corriger quand même.

La manipulation pour corriger la faille est décrite ici:

Je l’ai testé sur une testing:

Si vous avez installé votre dédibox avant le 28 Mai 2006 (ou si vous possedez une version raid), cette partie ne vous concerne pas !
Sinon, distributions Ubuntu-Server, Ubuntu Dedibox et Debian Sarge comportent un bug dans le comportement de grub-install. On va donc patcher grub.

On cherche sur quelle partition est “/” (pour savoir sur quel disque on boot):

Ce qui devrait vous retourner quelque chose du genre:

C’est ce sda1 qui nous intéresse.. c’est le disque sur lequel boot votre machine !

On va donc lancer le script téléchargé précédemment, avec comme paramètre sda1 (dans notre cas, sinon remplacez par la bonne valeur):

Le script va modifier le fichier: /boot/grub/menu.lst pour y entrer les bonnes valeurs. Si un problème survient par la suite, le script créé une sauvegarde de ce fichier ici: /boot/grub/menu.lst.bak

Mise a jour du Kernel

On le télécharge:

Puis on l’installe :

On met a jour grub:

Tout va bien il a trouvé notre noyau.. donc on reboot:

Prennez un café… puis on vérifie:

Ipv6 Activé ?

Il faut impérativement penser que l’IPV6 est activé et qu’il faut mettre les règles adoc pour filtrer un minimum.
Personnellement, j e n’utilise pas « encore » ipv6 donc j’ai entré ces règles dans mon script iptables/ip6tables :

C’est bon, je peut donc aller me recoucher, en paix. ;)

Voici un exemple d’utilisation :

… voila qui est plutôt grave, mettez donc a jour vos kernel:

De plus, on pourrais imaginer une utilisation de cet exploit via des scripts cgi, php,.. Mal programmé – En exploitant une faille include – Et la je vous laisse imaginer le drame !

Un petit conseil donc: Mettez votre système à jour régulièrement !

La fork bomb est un programme se dupliquant a l’infini. Si l’on prend en compte que le nombre de processus pouvant être exécutés simultanément sur un ordinateur est limité, vous comprendrez vite ou cela nous mène !

Comment elle fonctionne exactement ?

Comme je vous l’ai dit plus haut, Elle créé un grand nombre de processus très rapidement afin de saturer le nombre de processus maximum du système. Si la table des processus est saturée, aucun nouveau programme ne peut démarrer tant qu’aucun autre ne termine. Et encore, même si cela arrive, il est peu probable qu’un programme utile démarre étant donné que les instances de la bombe attendent chacune d’occuper cet emplacement libre. Bref, la misère.

Résultats ?

Non seulement les fork bombs utilisent de la place dans la table des processus, mais elles utilisent chacune du temps processeur et de la mémoire. En conséquence, le système et les programmes tournant à ce moment-là ralentissent et deviennent même impossibles à utiliser. Pour peut que les processus lancés soit un peut gourmand en mémoire, le système peut rapidement swapper et occuper toute la mémoire virtuelle (SWAP). Les fork bomb peuvent donc être considérées comme des virus non destructifs… Bien que énervants.

Exemples:

En Perl:

en Bash :

Via .Bat, ms-dos:

En C:

En HTML:

forkbomb.htm:

Difficulté

Une fois la fork bomb lancée avec succès dans un système, il peut devenir impossible de retrouver un fonctionnement normal sans redémarrer, étant donné que la seule solution à une fork bomb est de détruire toutes ses instances. Essayer d’utiliser un programme pour tuer les processus requiert la création d’un processus, ce qui peut être impossible s’il n’y a pas d’emplacement vide dans la table des processus, ou d’espace dans les structures mémoires.

Prévention

La fork bomb fonctionne en créant autant de processus que possible. Ainsi, pour empêcher une fork bomb, il suffit simplement de limiter le nombre de processus pouvant être exécutés par un programme ou par un utilisateur. En permettant aux utilisateurs de lancer seulement un petit nombre de processus.

Protection

J’aborderais uniquement la solution sous linux, sachant que je ne connais que celle la. :)

Les systèmes de type Unix permettent de limiter le nombre de processus via la commande ulimit.

Pour bien comprendre l’intérêt de la surveillance de l’intégrité de son système, je vais prendre plusieurs exemples d’actions effectuées par un pirate informatique, lorsque ce dernier a réussi à s’introduire sur une machine, par le biais d’une faille de sécurité par exemple.

Exemple de modification du système

Pour chacun de ces cas, une surveillance de l’intégrité permettra de détecter très rapidement, les mouvements de l’intrus.

Cas n°1 : modification du fichier /etc/passwd

Notre pirate a réussi, par une méthode ou une autre, à accéder en écriture, au fichier /etc/passwd. Afin de pouvoir passer en root sur la machine, il y a ajouté la ligne suivante:

On notera ici, qu’il a simplement créé un utilisateur nommé système, sans mot de passe, qui a le même ID que root. L’intrus pourra ainsi, a tout moment passer root sur la machine, via un simple compte utilisateur, en utilisant la commande su – system

Ce type de backdoor est assez difficile à repérer, étant donné que l’on ne consulte pas le fichier /etc/passwd tous les jours et qu’en plus, le nom system pourrait paraître normal.

Cas n°2 : le bit SUID

Là encore, notre intrus à obtenu les droits root et il voudrait être sêr de pouvoir revenir sous cette identité, à sa guise et même après un changement du mot de passe de ce dernier par l’administrateur. Pour se faire, il pourra positionner un bit SUID, sur les commandes qu’il désire, afin de pouvoir les exécuter ensuite en tant que root:

Encore une fois, pour repérer ce genre de manipulation, cela reste difficile, car il faudra régulièrement regarder les bons droits sur les fichiers (avec la commande find / -perm +4000 par exemple).

La solution

Pour éviter ce genre d’action, on pourra mettre en place un logiciel comme Tripwire ou encore AIDE sur la machine. Ce dernier a pour but de s’assurer l’intégrité des répertoires et des fichiers importants en identifiant tous changements apportés à ces derniers.

Pour ma part, je n’ai pas trouvé de version gratuite de Tripwire et je me suis donc rabattu sur AIDE (Advanced Intrusion Detection Environment). Voici la commande à lancer pour l’installer sur une Debian:

On initialisera ensuite la base de données (environ 15 minutes de traitement) :

On devra ensuite placer la base de données dans un lieu sur (media accessible quand lecture, DVD par exemple). Pour faire simple ici, je vais laisser la base dans le dossier où elle se trouve initialement, en la renommant afin d’être exploitable par la commande aide:

On pourra ainsi vérifier l’intégrité du système via la commande suivante (environ 10 minutes de traitement pour 160Go de disque):

Dans notre cas ici, j’avais pris le soin de construire une base, avant la mis en pratique des différents cas cités plus haut. Et voici ce que donne la commande aide –check après vérification:

Les modifications système ont donc bien été détectées. On pourra bien sûr rendre ce genre de procédure automatique, en ajoutant cette commande à une crontab et lui faisant retourner le résultat par mail.

Dans le cas d’une mise à jour du système, ou de changement de configuration, l’administrateur pourra a tout moment mettre lui même AIDE à jour, en utilisant le paramètre update:

Conclusion

On pourra aller beaucoup plus loin dans la configuration AIDE, en modifiant le fichier /etc/aide.conf. On pourra par exemple, rajouter la surveillance des fichiers de son site web, afin d’être prévenu rapidement en cas de « défaçage « .

Aller plus loin

* Site officiel de AIDE
* Manuel de AIDE

6.*.*.* – Army Information Systems Center
21.*.*.* – US Defense Information Systems Agency
22.*.*.* – Defense Information Systems Agency
26.*.*.* – Defense Information Systems Agency
29.*.*.* – Defense Information Systems Agency
30.*.*.* – Defense Information Systems Agency
49.*.*.* – Joint Tactical Command
50.*.*.* – Joint Tactical Command
55.*.*.* – Army National Guard Bureau
55 Army National Guard Bureau
62.0.0.1 – 62.30.255.255
64.224.*
64.225.*
64.226.*
128.4.0.0 University of Delaware
128.8.0.0 University of Maryland
128.10.0.0 Purdue University
128.11.22.0 – 128.11.22.255 Yahoo, Inc.
128.11.23.0 – 128.11.23.255 Yahoo, Inc.
128.11.68.0 – 128.11.68.255 Yahoo, Inc. (NETBLK-FOUR11DS559-68-19)
128.11.69.0 – 128.11.69.255 Yahoo, Inc. (NETBLK-FOUR11DS216-69-19)
128.11.70.0 – 128.11.70.255 Yahoo, Inc. (NETBLK-FOUR11DS698-70-19)
128.11.71.0 – 128.11.71.255 Yahoo, Inc. (NETBLK-FOUR11DS699-71-20)
128.11.96.32 – 128.11.96.63 FortuneCity Ltd.
128.37.0.0 Army Yuma Proving Ground
128.47.0.0 Army Communications Electronics Command
128.56.0.0 U.S. Naval Academy
128.63.0.0 Army Ballistics Research Laboratory
128.102.0.0 NASA Ames Research Center
128.149.0.0 NASA Headquarters
128.154.0.0 NASA Wallops Flight Facility (NET-WFF-NET)
128.155.0.0 NASA Langley Research Center (NET-LARC-NET)
128.156.0.0 NASA Lewis Network Control Center (NET- LERC)
128.157.0.0 NASA Johnson Space Center (NET-JSC-NET)
128.158.0.0 NASA Ames Research Center (NET-MSFC-NET)
128.159.0.0 NASA Ames Research Center (NET-KSC-NET)
128.160.0.0 Naval Research Laboratory (NET- SSCNET)
128.161.0.0 NASA Ames Research Center (NET-NSN-NET)
128.183.0.0 NASA Goddard Space Flight Center
128.190.0.0 Army Belvoir Reasearch and Development Center
128.216.0.0 MacDill Air Force Base (NET-CC-PRNET)
128.217.0.0 NASA Kennedy Space Center
128.236.0.0 U.S. Air Force Academy
129.11.0.0 University of Leeds (NET-LEEDS)
129.12.0.0 University of Kent at Canterbury (NET-UKC)
129.13.0.0 University of Karlsruhe
129.48.0.0 Wright-Patterson Air Force Base
129.50.0.0 NASA Marshall Space Flight Center (NET-PSCN)
129.51.0.0 Patrick Air Force Base (NET-NS) PAFB)
129.52.0.0 Wright-Patterson Air Force Base
129.54.0.0 Vandenberg Air Force Base
129.69.0.0 University of Stuttgart (NET-NI-STG-NET)
129.70.0.0 University of Bielefeld
129.92.0.0 Air Force Institute of Technology
129.99.0.0 NASA Ames Research Center
129.139.0.0 Army Armament Research Development and Engineering Center
129.163.0.0 NASA/Johnson Space Center (NET-NASA-JSCSSE)
129.164.0.0 NASA IVV (NET-E) NASA-IVV)
129.165.0.0 NASA Goddard Space Flight Center (NET-NASA-GSFCSSE)
129.166.0.0 NASA – John F. Kennedy Space Center (NET-NASA-JFKSSE)
129.167.0.0 NASA Marshall Space Flight Center (NET-NASA-MSFCSSE)
129.168.0.0 NASA Lewis Research Center (NET-NASA-LRCSSE)
129.187.0.0 Leibniz-Rechenzentrum der Bayerischen Akademie
129.198.0.0 Air Force Flight Test Center
129.209.0.0 Army Ballistics Research Laboratory
129.217.0.0 University of Dortmund
129.229.0.0 U.S. Army Corps of Engineers
129.233.0.0 Fraunhofer Institut fuer Produktionstechnik u. Automatisierung
129.251.0.0 United States Air Force Academy
130.40.0.0 NASA Johnson Space Center
130.75.0.0 University of Hannover
130.112.0.0 Netherlands Energy Research Foundation ECN
130.114.0.0 Army Aberdeen Proving Ground Installation Support Activity (NET-APGNET)
130.115.0.0 Erasmus University Rotterdam
130.123.0.0 Massey University
130.133.0.0 Freie Universitaet Berlin
130.165.0.0 U.S.Army Corps of Engineers
130.167.0.0 NASA Headquarters
130.183.0.0 Max-Planck-Institut fur Plasmaphysik
130.241.0.0 Gothenburg University (NET-GU-NET)
130.247.0.0 Boeing Military Aircraft
131.3.0.0 – 131.3.255.255 Mather Air Force Base
131.6.0.0 Langley Air Force Base
131.10.0.0 Barksdale Air Force Base
131.17.0.0 Sheppard Air Force Base
131.21.0.0 Hahn Air Base (NET-HAHNNET)
131.22.0.0 Keesler Air Force Base
131.25.0.0 Patrick Air Force Base
131.35.0.0 Fairchild Air Force Base
131.36.0.0 Yokota Air Base
131.37.0.0 Elmendorf Air Force Base
131.38.0.0 Hickam Air Force Base
131.40.0.0 Bergstrom Air Force Base
131.44.0.0 Randolph Air Force Base
131.47.0.0 Andersen Air Force Base
131.50.0.0 Davis-Monthan Air Force Base
131.54.0.0 Air Force Concentrator Network
131.61.0.0 McConnell Air Force Base
131.62.0.0 Norton Air Force Base
131.92.0.0 Army Information Systems Command – Aberdeen
131.110.0.0 NASA/Michoud Assembly Facility
131.121.0.0 United States Naval Academy
131.122.0.0 United States Naval Academy
131.169.0.0 Deutsches Elektronen Synchrotron
131.176.0.0 European Space Operations Center
131.182.0.0 NASA Headquarters
131.188.0.0 University Erlangen Nuremberg
131.220.0.0 University of Bonn
131.236.0.0 University College, Australian Defense Force Academy
131.246.0.0 University Kaiserslautern
134.2.0.0 Universitaet Tuebingen
134.11.0.0 The Pentagon (NET-PENTNET)
134.12.0.0 NASA Ames Research Center
134.21.0.0 University of Fribourg
134.78.0.0 Army Information Systems Command-ATCOM
134.80.0.0 Army Information Systems Command
134.118.0.0 NASA/Johnson Space Center
134.147.0.0 Ruhr-Universitaet Bochum
134.155.0.0 University of Mannheim
134.164.0.0 Army Engineer Waterways Experiment Station
134.176.0.0 Universitaet Giessen
134.194.0.0 U.S. Army Aberdeen Test Center
134.229.0.0 Navy Regional Data Automation Center
134.230.0.0 Navy Regional Data Automation Center
134.240.0.0 U.S. Military Academy
134.245.0.0 Universitaet Kiel
136.156.0.0 European Centre for Medium-Range Weather Forecasts
136.172.0.0 Deutsches Klimarechenzentrum
136.178.0.0 NASA Research Network
136.199.0.0 Universitaet Trier
137.1.0.0 Whiteman Air Force Base
137.2.0.0 George Air Force Base
137.3.0.0 Little Rock Air Force Base
137.5.0.0 Air Force Concentrator Network
137.6.0.0 Air Force Concentrator Network
137.12.0.0 Air Force Concentrator Network
137.223.0.0 Siemens Nixdorf Information Systems
137.226.0.0 Aachen University of Technology
137.240.0.0 Air Force Materiel Command
137.242.0.0 Air Force Logistics Command
137.250.0.0 University of Augsburg (NET-AUX)
137.251.0.0 Fraunhofer-Institut fuer Arbeitswirtschaft und Organisation
138.13.0.0 Air Force Systems Command
138.27.0.0 Army Information Systems Command
138.30.0.0 National Space Development Agency of Japan
138.61.0.0 Mainz
138.76.0.0 NASA Headquarters
138.115.0.0 NASA Information and Electronic Systems Laboratory
138.136.0.0 – 138.136.255.255 Navy Computers and Telecommunications Station
138.137.0.0 Navy Regional Data Automation Center
138.139.0.0 Marine Corps Air Station
138.140.0.0 Navy Regional Data Automation Center
138.141.0.0 Navy Regional Data Automation Center
138.142.0.0 Navy Regional Data Automation Center
138.143.0.0 Navy Regional Data Automation Center
138.156.0.0 Marine Corps Central Design & Prog. Activity
138.158.0.0 Marine Corps Central Design & Prog. Activity
138.168.0.0 Marine Corps Central Design & Prog. Activity
138.193.0.0 NASA/Yellow Creek
139.2.0.0 University of Dortmund
139.4.0.0 EUnet Deutschland GmbH
139.5.0.0 University of Dortmund
139.6.0.0 Fachhochschule Koeln
139.7.0.0 Mannesmann Mobilfunk GmbH
139.8.0.0 S & P Media GmbH
139.10.0.0 – 139.16.0.0 University of Dortmund (NETBLK-UNIDO11)
139.10.0.0 – 139.16.0.0 University of Dortmund (NETBLK-UNIDO11)
139.10.0.0 – 139.16.0.0 University of Dortmund (NETBLK-UNIDO11)
139.10.0.0 – 139.16.0.0 University of Dortmund (NETBLK-UNIDO11)
139.10.0.0 – 139.16.0.0 University of Dortmund (NETBLK-UNIDO11)
139.10.0.0 – 139.16.0.0 University of Dortmund (NETBLK-UNIDO11)
139.10.0.0 – 139.16.0.0 University of Dortmund (NETBLK-UNIDO11)
139.11.0.0 Universitaet der Bundeswehr Hamburg
139.13.0.0 Fachhochschule Wilhelmshaven
139.14.0.0 Universitaet Koblenz-Landau
139.15.0.0 – 139.15.255.255 Robert Bosch GmbH
139.17.0.0 GeoForschungsZentrum Potsdam
139.18.0.0 Universitaet Leipzig (NET-UNILE-LAN)
139.19.0.0 Max-Planck-Institut feur Informatik
139.20.0.0 – 139.20.255.255 European Regional Internet Registry/RIPE NCC
139.20.0.0 – 139.29.255.255 European Regional Internet Registry/RIPE NCC
139.21.0.0 Siemens Business Services
139.22.0.0 Siemens Business Services
139.23.0.0 Siemens Business Services
139.25.0.0 Siemens Business Services
139.27.0.0 – 139.27.255.255 Thyssen Stahl AG
139.28.0.0 Bremer Vulkan AG
139.30.0.0 University of Rostock
139.75.0.0 Alfred Wegener Institute for Polar and Marine Research
139.88.0.0 NASA Lewis Research Center
139.161.0.0 Army Information Systems Command
139.169.0.0 NASA/Johnson Space Center
139.229.0.0 NASA Ames Research Center
140.139.0.0 HQ US Army Medical Research and Development Command
140.239.81.184 – 140.239.81.191 MARINE BIOLOGICAL LABORATORY
141.0.0.0 – 141.255.255.255 Fast nur Deutsche Firmen
145.0.0.0 – 145.255.255.255 Niederlande, Frankreich und Deutschland
147.103.0.0 Army Information Systems Software Center
147.104.0.0 Army Information Systems Software Center
147.164.0.0 Army Information Systems Command
147.165.0.0 Army Information Systems Command
147.198.0.0 Army Information Systems Command
147.199.0.0 Army Information Systems Command
147.238.0.0 Army Information Systems Command
147.240.0.0 US Army Tank-Automotive Command
149.201.0.0 Fachhochschule Aachen (NET-HAC-LAN)
149.202.0.0 – 149.202.255.255 Siemens Nixdorf Informationssysteme AG
149.202.0.0 – 149.204.255.255 European Regional Internet Registry/RIPE NCC
149.203.0.0 – 149.203.255.255 Medizinische Akademie Magdeburg
149.204.0.0 – 149.204.255.255 Alcanet International Deutschland GmbH
149.205.0.0 FH Merseburg
149.206.0.0 – 149.206.255.255 Thyssen Stahl AG
149.206.0.0 – 149.251.255.255 European Regional Internet Registry/RIPE NCC
149.207.0.0 TELEFUNKEN SYSTEMTECHNIK ULM
149.211.0.0 – 149.211.255.255 Thyssen Stahl AG
149.212.0.0 Siemens-Nixdorf Informationssystemer A/S
149.216.0.0 – 149.216.255.255 Degussa AG
149.217.0.0 Max-Planck-Institut fuer Kernphysik
149.218.0.0 Hirschmann GmbH & Co
149.219.0.0 Westdeutscher Rundfunk Koeln
149.220.0.0 Forschungszentrum Rossendorf
149.221.0.0 Rheinisch Bergische Presse-Data GmbH
149.222.0.0 – 149.222.255.255 Fachhochschule Kiel
149.232.0.0 – 149.232.255.255 Quantum Software GmbH
149.233.0.0 Lahmeyer International GmbH
149.234.0.0 – 149.234.255.255 Schering AG Berlin
149.235.0.0 iXOS Software GmbH
149.236.0.0 Bruker Analytische Messtechnik GmbH
149.237.0.0 – 149.237.255.255 Wiechers & Partner Datentechnik GmbH
149.238.0.0 – 149.238.255.255 ZF Friedrichshafen AG
149.239.0.0 – 149.239.255.255 European Regional Internet Registry/RIPE NCC
149.240.0.0 – 149.240.255.255 Carl Schenk AG
149.242.0.0 – 149.242.255.255 Koerber AG
149.243.0.0 ERNO Raumfahrttechnik
149.244.0.0 Knorr-Bremse AG, Muenchen
149.246.0.0 Siemens AG, OeN NKE A2
149.248.0.0 TA Triumph-Adler AG
149.250.0.0 Hoechst AG, Frankfurt
149.251.0.0 Electricite de France – Direction Etudes Recherche
149.252.0.0 USDOE, NV Operations Office
149.253.0.0 DIRM/ITD
149.254.0.0 – 149.254.255.255 Mercury Personal Communications, Ltd.
150.144.0.0 NASA Goodard Space Flight Center
150.149.0.0 Army Information Systems Command
150.197.0.0 Korea Aerospace Research Institute
151.3.0.0 – 151.3.255.255 IUnet (NET-IUNET-BNET3)
153.92.0.0 Deutsches Forschungsnetz
153.93.0.0 Bundesanstalt fuer Wasserbau
153.94.0.0 Transtec AG
153.96.0.0 Fraunhofer Institut fuer Informations and Datenverarbeitung IITB
153.97.0.0 Fraunhofer Institut fuer
153.98.0.0 Eurocontrol Karlsruhe
153.99.0.0 – 153.99.255.255 European Regional Internet Registry/RIPE NCC
153.100.0.0 RWE Energie AG
153.101.0.0 – 153.101.255.255 European Regional Internet Registry/RIPE NCC
155.7.0.0 American Forces Information
155.8.0.0 U.S. ArmyFort Gordon
155.75.0.0 US Army Corps of Engineers
158.3.0.0 U.S. Army TACOM
158.8.0.0 US Army Soldier Support Center
158.12.0.0 US Army Harry Diamond Laboratories
159.1.0.0 Washington State Dept. of State and Ind.
159.206.0.0 Air Canada
160.46.0.0 BMW AG, Berlin production plant
160.47.0.0 BMW AG, Dingolfingen production plant
160.48.0.0 BMW AG, Landshut production plant
160.49.0.0 BMW AG, Munich production plant
160.50.0.0 BMW AG, Munich research and admin. sites
160.51.0.0 BMW AG, Regensburg production plant
160.52.0.0 BMW AG, Steyr production plant
160.132.0.0 US Army Recruiting Command
163.12.0.0 navy aviation supply office
164.59.0.0 – 164.60.0.0 Schering AG (NETBLK-TBLK-SCHERING)
164.60.0.0 Schering AG (NET-SCHERING2)
164.61.0.0 Kaufhof Holding AG, Koeln
164.224.0.0 Secretary of the Navy (NET-SECNAV-LAN)
164.225.0.0 U.S. Army Intelligence and Security Command
164.231.0.0 Military Sealift Command
195.10.*
199.31.0.0 – 199.31.255.0 US Army Information Systems Command
205.96.* – 205.103.*
207.30.* – 207.120.*
207.60.* – 207.61.*
209.35.*
216.25.* <-- Sehr gefährlich
216.247.* <-- Sehr gefährlich
207.60.36.64 - 207.60.36.71 Maguire Group (NETBLK-TIAC-MAGISDN)
207.60.36.72 - 207.60.36.79 Cogenex (NETBLK-TIAC-COGENEX-2)
207.60.36.88 - 207.60.36.95 AKNDC (NETBLK-TIAC-AKNDC)
207.60.36.96 - 207.60.36.103 McGovern election commitee (NETBLK-TIAC-MCGOVDED)
207.60.36.104 - 207.60.36.111 Digital Equipment Corp (NETBLK-TIAC-DECISDN)
207.60.36.112 - 207.60.36.119 PTR - Precision Technologies (NETBLK-TIAC-PTREB)
207.60.36.120 - 207.60.36.127 Extech (NETBLK-TIAC-EXTECH-2)
207.60.36.128 - 207.60.36.135 Manfreddi Architects (NETBLK-TIAC-MANELKUS-2)
207.60.36.144 - 207.60.36.151 Parent Naffah (NETBLK-TIAC-PARENT)
207.60.36.152 - 207.60.36.159 Darling Dolls Inc (NETBLK-TIAC-EMARTEL)
207.60.36.160 - 207.60.36.167 Wright Communications (NETBLK-TIAC-WRIGHT56)
207.60.36.168 - 207.60.36.175 Principle Software (NETBLK-TIAC-PRINCIPL)
207.60.36.176 - 207.60.36.183 Chris Pet Store (NETBLK-TIAC-CPETDIAL)
207.60.36.184 - 207.60.36.191 Fifteen Lilies (NETBLK-TIAC-GREYROSE)
207.60.36.192 - 207.60.36.199 All-Com Technologies (NETBLK-TIAC-ALLCOM1-2)
207.60.37.0 - 207.60.37.31 Cardio Thoracic Surgical Associates, P. A. (NETBLK-TIAC-HEARTDOC)
207.60.37.32 - 207.60.37.63 Preferred Fixtures Inc (NETBLK-TIAC-PREFMFG-2)
207.60.37.64 - 207.60.37.95 Apple and Eve Distributors (NETBLK-TIAC-AEDED99)
207.60.37.96 - 207.60.37.127 Nelson Copy Supply (NETBLK-TIAC-NCOP56K)
207.60.37.128 - 207.60.37.159 Boston Optical Fiber (NETBLK-TIAC-BOSISDN)
207.60.37.192 - 207.60.37.223 Fantasia&Company (NETBLK-TIAC-FANTCOMP)
207.60.41.0 - 207.60.41.255 Infoactive (NETBLK-TIAC-INFOACT-2)
207.60.48.0 - 207.60.48.255 Curry College (NETBLK-TIAC-CURRY)
207.60.62.32 - 207.60.62.63 Alternate Power Source (NETBLK-TIAC-APSIS)
207.60.62.64 - 207.60.62.95 Keystone Howley-White (NETBLK-TIAC-KEYSTONE-2)
207.60.62.128 - 207.60.62.159 Bridgehead Associates LTD (NETBLK-TIAC-BRIDG384)
207.60.62.160 - 207.60.62.191 County Supply (NETBLK-TIAC-CS384)
207.60.62.192 - 207.60.62.223 NH Board of Nursing (NETBLK-TIAC-NHBNDED99)
207.60.64.0 - 207.60.64.63 Diversified Wireless Technologies (NETBLK-TIAC-LAUCHAM)
207.60.64.64 - 207.60.64.127 Phytera (NETBLK-TIAC-PHYTERA1)
207.60.66.0 - 207.60.66.15 The Network Connection (NETBLK-TIAC-TNC56)
207.60.66.16 - 207.60.66.31 Young Refrigeration (NETBLK-TIAC-YRDED135)
207.60.66.32 - 207.60.66.47 Vision Appraisal Technology (NETBLK-TIAC-VISIONT1)
207.60.66.48 - 207.60.66.63 EffNet Inc (NETBLK-TIAC-EFFNETT1)
207.60.66.64 - 207.60.66.79 Entropic Systems Inc (NETBLK-TIAC-ENTRO128-3)
207.60.66.80 - 207.60.66.95 Finley Properties (NETBLK-TIAC-FPDED135)
207.60.66.96 - 207.60.66.111 Nancy Plowman Associates (NETBLK-TIAC-NPAISDN)
207.60.66.112 - 207.60.66.127 Northeast Financial Strategies (NETBLK-TIAC-NFSISDN)
207.60.66.128 - 207.60.66.143 Textnology Corp (NETBLK-TIAC-TEXTC0RP)
207.60.66.144 - 207.60.66.159 Groton Neochem LLC (NETBLK-TIAC-NEOCHEM)
207.60.66.160 - 207.60.66.175 Tab Computers (NETBLK-TIAC-TCSI3)
207.60.66.176 - 207.60.66.191 Patrons Insurance (NETBLK-TIAC-PATRON99-2)
207.60.66.192 - 207.60.66.207 Chair City Web (NETBLK-TIAC-CHAIR56K)
207.60.66.208 - 207.60.66.223 Radex, Inc. (NETBLK-TIAC-RADEXINC )
207.60.66.224 - 207.60.66.239 Robert Austein (NETBLK-TIAC-HACTRN)
207.60.66.240 - 207.60.66.255 Hologic Inc. (NETBLK-TIAC-HOLOGIC3)
207.60.71.64 - 207.60.71.127 K-Tech International Inc. (NETBLK-TIAC-KTECH)
207.60.71.128 - 207.60.71.191 Pan Communications (NETBLK-TIAC-PANCOM-2)
207.60.71.192 - 207.60.71.255 New England College of Finance (NETBLK-TIAC-NECF56K)
207.60.75.128 - 207.60.75.255 Absolve Technology (NETBLK-TIAC-ABSOLVE-2)
207.60.78.0 - 207.60.78.127 Extech (NETBLK-TIAC-EXTECH)
207.60.78.128 - 207.60.78.255 The Insight Group (NETBLK-TIAC-MFIA)
207.60.83.0 - 207.60.83.255 JLM Technologies (NETBLK-TIAC-JLMISDN)
207.60.84.0 - 207.60.84.255 Strategic Solutions (NETBLK-TIAC-STRATSOL-2)
207.60.94.0 - 207.60.94.15 McWorks (NETBLK-TIAC-MCWORKSS)
207.60.94.32 - 207.60.94.47 Rooney RealEstate (NETBLK-TIAC-ROONEY56)
207.60.94.48 - 207.60.94.63 Joseph Limo Service (NETBLK-TIAC-JOLIMO56)
207.60.94.64 - 207.60.94.79 The Portico Group (NETBLK-TIAC-PORT56K)
207.60.94.80 - 207.60.94.95 Event Travel Management Inc (NETBLK-TIAC-EVENT384)
207.60.94.96 - 207.60.94.111 Intellitech International (NETBLK-TIAC-IIDED99)
207.60.94.128 - 207.60.94.143 Orion Partners (NETBLK-TIAC-ORION56)
207.60.94.144 - 207.60.94.159 Rainbow Software Solution (NETBLK-TIAC-RAIN99)
207.60.94.160 - 207.60.94.175 Grason Stadler Inc (NETBLK-TIAC-GRASON56)
207.60.94.192 - 207.60.94.207 Donnegan System (NETBLK-TIAC-DYST384-2)
207.60.95.1 - 207.60.95.255 The Iprax Corp. (NETBLK-TIAC-IPRAX56K)
207.60.102.0 - 207.60.102.63 Coporate IT (NETBLK-TIAC-CIT)
207.60.102.64 - 207.60.102.127 Putnam Technologies (NETBLK-TIAC-PUTTECH)
207.60.102.128 - 207.60.102.191 Sycamore Networks, Inc (NETBLK-TIAC-SYCAISDN)
207.60.102.192 - 207.60.102.255 Bostek (NETBLK-TIAC-BOSTEK)
207.60.103.128 - 207.60.103.255 Louis Berger and Associates (NETBLK-TIAC-BERGISDN)
207.60.104.128 - 207.60.104.191 Hanson Data Systems (NETBLK-TIAC-HHANSON)
207.60.106.128 - 207.60.106.255 Giganet Inc. (NETBLK-TIAC-GIGANET-3)
207.60.107.0 - 207.60.107.255 Roll Systems (NETBLK-TIAC-ROLLISDN)
207.60.108.8 - 207.60.108.15 InternetQA (NETBLK-TIAC-EBENNETT)
207.60.111.0 - 207.60.111.31 Reading Cooperative Bank (NETBLK-TIAC-READ56K)
207.60.111.32 - 207.60.111.63 Edco collaborative (NETBLK-TIAC-EDCOT1)
207.60.111.64 - 207.60.111.95 DTC Communications Inc (NETBLK-TIAC-DTCCOM2)
207.60.111.96 - 207.60.111.127 Mike Line (NETBLK-TIAC-MLINE ) 207.60.111.128 - 207.60.111.159 The Steppingstone Foundation (NETBLK-TIAC-STEP56)
207.60.111.160 - 207.60.111.191 Caton Connector (NETBLK-TIAC-CATON118K)
207.60.111.192 - 207.60.111.223 Refron, Inc (NETBLK-TIAC-REFRON1 )
207.60.111.224 - 207.60.111.255 Dolabany Comm Group (NETBLK-TIAC-DCGDED99)
207.60.112.0 - 207.60.112.255
207.60.116.0 - 207.60.116.255
207.60.122.16 - 207.60.122.23
207.60.122.24 - 207.60.122.31
207.60.122.32 - 207.60.122.39
207.60.122.40 - 207.60.122.47
207.60.122.48 - 207.60.122.55
207.60.122.56 - 207.60.122.63
207.60.122.64 - 207.60.122.71
207.60.122.72 - 207.60.122.79
207.60.122.80 - 207.60.122.87
207.60.122.88 - 207.60.122.95
207.60.122.96 - 207.60.122.103
207.60.122.104 - 207.60.122.111
207.60.127.0
207.60.128.0 - 207.60.128.255
207.60.129.0 - 207.60.129.255
207.60.129.64 - 207.60.129.127
207.60.129.128 - 207.60.129.191
207.60.129.192 - 207.60.129.255
64.224.*
64.225.*
64.226.*
195.10.*
205.96.* - 205.103.*
207.30.* - 207.120.*
207.60.* - 207.61.*
209.35.*
216.25.*
216.247.*
62.0.0.1 - 62.30.255.255
212.159.40.211
212.159.41.173
212.159.0.2
212.159.1.1
212.159.1.4
212.159.1.5
212.56.107.22
212.159.0.2
212.159.33.56
212.56.107.22
213.83.0.96 - 213.83.0.99 KARL GEORG Stahlherstellungs- u. Verarbeitungs-GmbH
207.60.*.* : (FBI's honeypot) The Internet Access Company (NETBLK-TIAC-BLK)
207.60.2.128 - 207.60.2.255 Abacus Technology (NETBLK-TIAC-ABACUSTC)
64.224.* : (FBI's honeypot)
64.225.* : (FBI's honeypot)
64.226.* : (FBI's honeypot)
195.10.* : (FBI's honeypot)
205.96-103.* : (FBI's honeypot)
207.30-120.* : (FBI's honeypot)
207.60-61.* : (FBI's honeypot)
209.35.* : (FBI's honeypot)
216.25.* : (FBI's honeypot)
216.247.* : (FBI's honeypot)
212.159.40.211 : (FBI's honeypot)
212.159.41.173 : (FBI's honeypot)
212.159.0.2 : (FBI's honeypot)
212.159.1.1 : (FBI's honeypot)
212.159.1.4 : (FBI's honeypot)
212.159.1.5 : (FBI's honeypot)
212.56.107.22 : (FBI's honeypot)
212.159.0.2 : (FBI's honeypot)
212.159.33.56 : (FBI's honeypot)
212.56.107.22 : (FBI's honeypot)
139.142.*.* : 139.142.153.23 : Front end portal of a security network filtering hundreds of client subscription IPs.

If you find a vulnerable pub, IIS, SQL, or *nix — LEAVE IT ALONE

The FBI IPs/IP-Ranges

RANGE 6
6.* – Army Information Systems Center

RANGE 7
7.*.*.* Defense Information Systems Agency, VA

RANGE 11
11.*.*.* DoD Intel Information Systems, Defense Intelligence Agency, Washington DC

RANGE 21
21. – US Defense Information Systems Agency

RANGE 22
22.* – Defense Information Systems Agency

RANGE 24
24.198.*.*

RANGE 25
25.*.*.* Royal Signals and Radar Establishment, UK

RANGE 26
26.* – Defense Information Systems Agency

RANGE 29
29.* – Defense Information Systems Agency

RANGE 30
30.* – Defense Information Systems Agency

RANGE 49
49.* – Joint Tactical Command

RANGE 50
50.* – Joint Tactical Command

RANGE 55
55.* – Army National Guard Bureau

RANGE 55
55.* – Army National Guard Bureau

RANGE 62
62.0.0.1 – 62.30.255.255 Do not scan!

RANGE 64
64.70.*.* Do not scan
64.224.* Do not Scan
64.225.* Do not scan
64.226.* Do not scan

RANGE 128
128.37.0.0 Army Yuma Proving Ground
128.38.0.0 Naval Surface Warfare Center
128.43.0.0 Defence Research Establishment-Ottawa
128.47.0.0 Army Communications Electronics Command
128.49.0.0 Naval Ocean Systems Center
128.50.0.0 Department of Defense
128.51.0.0 Department of Defense
128.56.0.0 U.S. Naval Academy
128.60.0.0 Naval Research Laboratory
128.63.0.0 Army Ballistics Research Laboratory
128.80.0.0 Army Communications Electronics Command
128.98.0.0 – 128.98.255.255 Defence Evaluation and Research Agency
128.102.0.0 NASA Ames Research Center
128.149.0.0 NASA Headquarters
128.154.0.0 NASA Wallops Flight Facility
128.155.0.0 NASA Langley Research Center
128.156.0.0 NASA Lewis Network Control Center
128.157.0.0 NASA Johnson Space Center
128.158.0.0 NASA Ames Research Center
128.159.0.0 NASA Ames Research Center
128.160.0.0 Naval Research Laboratory
128.161.0.0 NASA Ames Research Center
128.183.0.0 NASA Goddard Space Flight Center
128.190.0.0 Army Belvoir Reasearch and Development Center
128.202.0.0 50th Space Wing
128.216.0.0 MacDill Air Force Base
128.217.0.0 NASA Kennedy Space Center
128.236.0.0 U.S. Air Force Academy

RANGE 129
129.23.0.0 Strategic Defense Initiative Organization
129.29.0.0 United States Military Academy
129.50.0.0 NASA Marshall Space Flight Center
129.51.0.0 Patrick Air Force Base
129.52.0.0 Wright-Patterson Air Force Base
129.53.0.0 – 129.53.255.255 66SPTG-SCB
129.54.0.0 Vandenberg Air Force Base, CA
129.92.0.0 Air Force Institute of Technology
129.99.0.0 NASA Ames Research Center
129.131.0.0 Naval Weapons Center
129.139.0.0 Army Armament Research Development and Engineering Center
129.141.0.0 85 MISSION SUPPORT SQUADRON/SCSN
129.163.0.0 NASA/Johnson Space Center
129.164.0.0 NASA IVV
129.165.0.0 NASA Goddard Space Flight Center
129.166.0.0 NASA – John F. Kennedy Space Center
129.167.0.0 NASA Marshall Space Flight Center
129.168.0.0 NASA Lewis Research Center
129.190.0.0 Naval Underwater Systems Center
129.198.0.0 Air Force Flight Test Center
129.209.0.0 Army Ballistics Research Laboratory
129.229.0.0 U.S. Army Corps of Engineers
129.251.0.0 United States Air Force Academy

RANGE 130
130.40.0.0 NASA Johnson Space Center
130.90.0.0 Mather Air Force Base
130.109.0.0 Naval Coastal Systems Center
130.114.0.0 Army Aberdeen Proving Ground Installation Support Activity
130.124.0.0 Honeywell Defense Systems Group
130.165.0.0 U.S.Army Corps of Engineers
130.167.0.0 NASA Headquarters

RANGE 131
131.3.0.0 – 131.3.255.255 Mather Air Force Base
131.6.0.0 Langley Air Force Base
131.10.0.0 Barksdale Air Force Base
131.17.0.0 Sheppard Air Force Base
131.21.0.0 Hahn Air Base
131.22.0.0 Keesler Air Force Base
131.24.0.0 6 Communications Squadron
131.25.0.0 Patrick Air Force Base
131.27.0.0 75 ABW
131.30.0.0 62 CS/SCSNT
131.32.0.0 37 Communications Squadron
131.35.0.0 Fairchild Air Force Base
131.36.0.0 Yokota Air Base
131.37.0.0 Elmendorf Air Force Base
131.38.0.0 Hickam Air Force Base
131.39.0.0 354CS/SCSN
131.40.0.0 Bergstrom Air Force Base
131.44.0.0 Randolph Air Force Base
131.46.0.0 20 Communications Squadron
131.47.0.0 Andersen Air Force Base
131.50.0.0 Davis-Monthan Air Force Base
131.52.0.0 56 Communications Squadron /SCBB
131.54.0.0 Air Force Concentrator Network
131.56.0.0 Upper Heyford Air Force Base
131.58.0.0 Alconbury Royal Air Force Base
131.59.0.0 7 Communications Squadron
131.61.0.0 McConnell Air Force Base
131.62.0.0 Norton Air Force Base
131.71.0.0 – 131.71.255.255 NAVAL AVIATION DEPOT CHERRY PO
131.74.0.0 Defense MegaCenter Columbus
131.84.0.0 Defense Technical Information Center
131.92.0.0 Army Information Systems Command – Aberdeen (EA)
131.105.0.0 McClellan Air Force Base
131.110.0.0 NASA/Michoud Assembly Facility
131.120.0.0 Naval Postgraduate School
131.121.0.0 United States Naval Academy
131.122.0.0 United States Naval Academy
131.176.0.0 European Space Operations Center
131.182.0.0 NASA Headquarters
131.250.0.0 Office of the Chief of Naval Research

RANGE 132
132.3.0.0 Williams Air Force Base
132.5.0.0 – 132.5.255.255 49th Fighter Wing
132.6.0.0 Ankara Air Station
132.7.0.0 – 132.7.255.255 SSG/SINO
132.9.0.0 28th Bomb Wing
132.10.0.0 319 Comm Sq
132.11.0.0 Hellenikon Air Base
132.12.0.0 Myrtle Beach Air Force Base
132.13.0.0 Bentwaters Royal Air Force Base
132.14.0.0 Air Force Concentrator Network
132.15.0.0 Kadena Air Base
132.16.0.0 Kunsan Air Base
132.17.0.0 Lindsey Air Station
132.18.0.0 McGuire Air Force Base
132.19.0.0 100CS (NET-MILDENHALL)
132.20.0.0 35th Communications Squadron
132.21.0.0 Plattsburgh Air Force Base
132.22.0.0 23Communications Sq
132.24.0.0 Dover Air Force Base
132.25.0.0 786 CS/SCBM
132.27.0.0 – 132.27.255.255 39CS/SCBBN
132.28.0.0 14TH COMMUNICATION SQUADRON
132.30.0.0 Lajes Air Force Base
132.31.0.0 Loring Air Force Base
132.33.0.0 60CS/SCSNM
132.34.0.0 Cannon Air Force Base
132.35.0.0 Altus Air Force Base
132.37.0.0 75 ABW
132.38.0.0 Goodfellow AFB
132.39.0.0 K.I. Sawyer Air Force Base
132.40.0.0 347 COMMUNICATION SQUADRON
132.42.0.0 Spangdahlem Air Force Base
132.43.0.0 Zweibruchen Air Force Base
132.45.0.0 Chanute Air Force Base
132.46.0.0 Columbus Air Force Base
132.48.0.0 Laughlin Air Force Base
132.49.0.0 366CS/SCSN
132.50.0.0 Reese Air Force Base
132.52.0.0 Vance Air Force Base
132.54.0.0 Langley AFB
132.55.0.0 Torrejon Air Force Base
132.56.0.0 – 132.56.255.255 9 CS/SC
132.57.0.0 Castle Air Force Base
132.58.0.0 Nellis Air Force Base
132.59.0.0 24Comm SquadronSCSNA
132.60.0.0 – 132.60.255.255 42ND COMMUNICATION SQUADRON
132.61.0.0 SSG/SIN
132.62.0.0 – 132.62.255.255 377 COMMUNICATION SQUADRON
132.79.0.0 Army National Guard Bureau
132.80.0.0 – 132.80.255.255 NGB-AIS-OS
132.80.0.0 – 132.85.255.255 National Guard Bureau
132.82.0.0 Army National Guard Bureau
132.86.0.0 National Guard Bureau
132.87.0.0 – 132.93.255.255 National Guard Bureau
132.94.0.0 Army National Guard Bureau
132.95.0.0 – 132.103.255.255 National Guard Bureau
132.95.0.0 – 132.108.0.0 DOD Network Information Center
132.104.0.0 – 132.104.255.255 Army National Guard Bureau
132.105.0.0 – 132.108.255.255 Army National Guard Bureau
132.109.0.0 National Guard Bureau
132.110.0.0 – 132.116.255.255 Army National Guard Bureau
132.114.0.0 Army National Guard
132.117.0.0 Army National Guard Bureau
132.118.0.0 – 132.132.0.0 Army National Guard Bureau
132.122.0.0 South Carolina Army National Guard, USPFO
132.133.0.0 National Guard Bureau
132.134.0.0 – 132.143.255.255 National Guard Bureau
132.159.0.0 Army Information Systems Command
132.193.0.0 Army Research Office
132.250.0.0 Naval Research Laboratory

RANGE 134
134.5.0.0 Lockheed Aeronautical Systems Company
134.11.0.0 The Pentagon
134.12.0.0 NASA Ames Research Center
134.51.0.0 Boeing Military Aircraft Facility
134.52.*.* Boeing Corporation
134.78.0.0 Army Information Systems Command-ATCOM
134.80.0.0 Army Information Systems Command
134.118.0.0 NASA/Johnson Space Center
134.131.0.0 Wright-Patterson Air Force Base
134.136.0.0 Wright-Patterson Air Force Base
134.164.0.0 Army Engineer Waterways Experiment Station
134.165.0.0 Headquarters Air Force Space Command
134.194.0.0 U.S. Army Aberdeen Test Center
134.205.0.0 7th Communications Group
134.207.0.0 Naval Research Laboratory
134.229.0.0 Navy Regional Data Automation Center
134.230.0.0 Navy Regional Data Automation Center
134.232.0.0 – 134.232.255.255 U.S. Army, Europe
134.233.0.0 HQ 5th Signal Command
134.234.0.0 – 134.234.255.255 Southern European Task Force
134.235.0.0 HQ 5th Signal Command
134.240.0.0 U.S. Military Academy
136.149.0.0 Air Force Military Personnel Center

RANGE 136
136.178.0.0 NASA Research Network
136.188.0.0 – 136.197.255.255 Defense Intelligence Agency
136.207.0.0 69th Signal Battalion
136.208.0.0 HQ, 5th Signal Command
136.209.0.0 HQ 5th Signal Command
136.210.0.0 HQ 5th Signal Command
136.212.0.0 HQ 5th Signal Command
136.213.0.0 HQ, 5th Signal Command
136.214.0.0 HQ, 5th Signal Command
136.215.0.0 HQ, 5th Signal Command
136.216.0.0 HQ, 5th Signal Command
136.217.0.0 HQ, 5th Signal Command
136.218.0.0 HQ, 5th Signal Command
136.219.0.0 HQ, 5th Signal Command
136.220.0.0 HQ, 5th Signal Command
136.221.0.0 HQ, 5th Signal Command
136.222.0.0 HQ, 5th Signal Command

RANGE 137
137.1.0.0 Whiteman Air Force Base
137.2.0.0 George Air Force Base
137.3.0.0 Little Rock Air Force Base
137.4.0.0 – 137.4.255.255 437 CS/SC
137.5.0.0 Air Force Concentrator Network
137.6.0.0 Air Force Concentrator Network
137.11.0.0 HQ AFSPC/SCNNC
137.12.0.0 Air Force Concentrator Network
137.17.* National Aerospace Laboratory
137.24.0.0 Naval Surface Warfare Center
137.29.0.0 First Special Operations Command
137.67.0.0 Naval Warfare Assessment Center
137.94.* Royal Military College
137.95.* Headquarters, U.S. European Command
137.126.0.0 USAF MARS
137.127.* Army Concepts Analysis Agency
137.128.* U.S. ARMY Tank-Automotive Command
137.130.0.0 Defense Information Systems Agency
137.209.0.0 Defense Information Systems Agency
137.210.0.0 Defense Information Systems Agency
137.211.0.0 Defense Information Systems Agency
137.212.0.0 Defense Information Systems Agency
137.231.0.0 HQ 5th Signal Command
137.232.0.0 Defense Information Systems Agency
137.233.0.0 Defense Information Systems Agency
137.234.0.0 Defense Information Systems Agency
137.235.0.0 Defense Information Systems Agency
137.240.0.0 Air Force Materiel Command
137.241.0.0 75 ABW
137.242.0.0 Air Force Logistics Command
137.243.0.0 77 CS/SCCN
137.244.0.0 78 CS/SCSC
137.245.0.0 Wright Patterson Air Force Base
137.246.0.0 United States Atlantic Command Joint Training

RANGE 138
138.13.0.0 Air Force Systems Command
138.27.0.0 Army Information Systems Command
138.50.0.0 HQ 5th Signal Command
138.65.0.0 HQ, 5th Signal Command
138.76.0.0 NASA Headquarters
138.109.0.0 Naval Surface Warfare Center
138.115.0.0 NASA Information and Electronic Systems Laboratory
138.135.0.0 – 138.135.255.255 DEFENSE PROCESSING CENTERPERAL HARBOR
138.136.0.0 – 138.136.255.255 Navy Computers and Telecommunications Station
138.137.0.0 Navy Regional Data Automation Center (NARDAC)
138.139.0.0 Marine Corps Air Station
138.140.0.0 Navy Regional Data Automation Center
138.141.0.0 Navy Regional Data Automation Center
138.142.0.0 Navy Regional Data Automation Center
138.143.0.0 Navy Regional Data Automation Center
138.144.0.0 NAVCOMTELCOM
138.145.0.0 NCTS WASHINGTON
138.146.0.0 NCTC
138.147.0.0 NCTC
138.148.0.0 NCTC
138.149.0.0 NCTC
138.150.0.0 NCTC
138.151.0.0 NCTC
138.152.0.0 NCTC
138.153.0.0 Yokosuka Naval Base
138.154.0.0 NCTC
138.155.0.0 NCTC
138.156.0.0 Marine Corps Central Design & Prog. Activity
138.157.0.0 – 138.157.255.255 Marine Corps Central Design & Prog. Activity
138.158.0.0 Marine Corps Central Design & Prog. Activity
138.159.0.0 NCTC
138.160.0.0 Naval Air Station
138.161.0.0 NCTC
138.162.0.0 NCTC
138.163.0.0 NCTC
138.164.0.0 NCTC
138.165.0.0 NCTC
138.166.0.0 NCTC
138.167.0.0 NOC, MCTSSA, East
138.168.0.0 Marine Corps Central Design & Prog. Activity
138.169.0.0 NAVAL COMPUTER AND TELECOMM
138.169.12.0 NAVAL COMPUTER AND TELECOMM
138.169.13.0 NAVAL COMPUTER AND TELECOMM
138.170.0.0 NCTC
138.171.0.0 NCTC
138.172.0.0 NCTC
138.173.0.0 NCTC
138.174.0.0 NCTC
138.175.0.0 NCTC
138.176.0.0 NCTC
138.177.0.0 NCTS Pensacola
138.178.0.0 NCTC
138.179.0.0 NCTC
138.180.0.0 NCTC
138.181.0.0 NCTC
138.182.0.0 CNO N60
138.183.0.0 NCTC
138.184.0.0 NCTS
138.193.0.0 NASA/Yellow Creek

RANGE 139
139.31.0.0 20th Tactical Fighter Wing
139.32.0.0 48th Tactical Fighter Wing
139.33.0.0 36th Tactical Fighter Wing
139.34.0.0 52nd Tactical Fighter Wing
139.35.0.0 50th Tactical Fighter Wing
139.36.0.0 66th Electronic Combat Wing
139.37.0.0 26th Tactical Reconnaissance Wing
139.38.0.0 32nd Tactical Fighter Squadron
139.39.0.0 81st Tactical Fighter Wing
139.40.0.0 10th Tactical Fighter Wing
139.41.0.0 39th Tactical Air Control Group
139.42.0.0 40th Tactical Air Control Group
139.43.0.0 401st Tactical Fighter Wing
139.124.* Reseau Infomratique
139.142.*.*

RANGE 140
140.1.0.0 Defense Information Systems Agency
140.3.0.0 Defense Information Systems Agency
140.4.0.0 Defense Information Systems Agency
140.5.0.0 Defense Information Systems Agency
140.6.0.0 Defense Information Systems Agency
140.7.0.0 Defense Information Systems Agency
140.8.0.0 Defense Information Systems Agency
140.9.0.0 Defense Information Systems Agency
140.10.0.0 Defense Information Systems Agency
140.11.0.0 Defense Information Systems Agency
140.12.0.0 Defense Information Systems Agency
140.13.0.0 Defense Information Systems Agency
140.14.0.0 DISA Columbus Level II NOC
140.15.0.0 Defense Information Systems Agency
140.16.0.0 Defense Information Systems Agency
140.17.0.0 Defense Information Systems Agency
140.18.0.0 Defense Information Systems Agency
140.19.0.0 Defense Information Systems Agency
140.20.0.0 Defense Information Systems Agency
140.21.0.0 Defense Information Systems Agency
140.22.0.0 Defense Information Systems Agency
140.23.0.0 Defense Information Systems Agency
140.24.0.0 ASIC ALLIANCE-MARLBORO
140.25.0.0 Defense Information Systems Agency
140.26.0.0 Defense Information Systems Agency
140.27.0.0 Defense Information Systems Agency
140.28.0.0 Defense Information Systems Agency
140.29.0.0 Defense Information Systems Agency
140.30.0.0 Defense Information Systems Agency
140.31.0.0 Defense Information Systems Agency
140.32.0.0 Defense Information Systems Agency
140.33.0.0 Defense Information Systems Agency
140.34.0.0 Defense Information Systems Agency
140.35.0.0 Defense Information Systems Agency
140.36.0.0 Defense Information Systems Agency
140.37.0.0 Defense Information Systems Agency
140.38.0.0 Defense Information Systems Agency
140.39.0.0 Defense Information Systems Agency
140.40.0.0 Defense Information Systems Agency
140.41.0.0 Defense Information Systems Agency
140.42.0.0 Defense Information Systems Agency
140.43.0.0 Defense Information Systems Agency
140.44.0.0 Defense Information Systems Agency
140.45.0.0 Defense Information Systems Agency
140.46.0.0 Defense Information Systems Agency
140.47.0.0 – 140.47.255.255 Defense Information Systems Agency
140.47.0.0 – 140.48.255.255 DOD Network Information Center
140.48.0.0 – 140.48.255.255 Defense Information Systems Agency
140.49.0.0 Defense Information Systems Agency
140.50.0.0 Defense Information Systems Agency
140.51.0.0 Defense Information Systems Agency
140.52.0.0 Defense Information Systems Agency
140.53.0.0 Defense Information Systems Agency
140.54.0.0 Defense Information Systems Agency
140.55.0.0 Defense Information Systems Agency
140.56.0.0 Defense Information Systems Agency
140.57.0.0 Defense Information Systems Agency
140.58.0.0 Defense Information Systems Agency
140.59.0.0 Defense Information Systems Agency
140.60.0.0 Defense Information Systems Agency
140.61.0.0 Defense Information Systems Agency
140.62.0.0 Defense Information Systems Agency
140.63.0.0 Defense Information Systems Agency
140.64.0.0 Defense Information Systems Agency
140.65.0.0 Defense Information Systems Agency
140.66.0.0 Defense Information Systems Agency
140.67.0.0 Defense Information Systems Agency
140.68.0.0 Defense Information Systems Agency
140.69.0.0 Defense Information Systems Agency
140.70.0.0 Defense Information Systems Agency
140.71.0.0 Defense Information Systems Agency
140.72.0.0 Defense Information Systems Agency
140.73.0.0 Defense Information Systems Agency
140.74.0.0 – 140.74.255.255 Defense Information Systems Agency
140.100.0.0 Naval Sea Systems Command
140.139.0.0 HQ US Army Medical Research and Development Command
140.154.0.0 HQ 5th Signal Command
140.155.0.0 HQ, 5th Signal Command
140.156.0.0 HQ, 5th Signal Command
140.175.0.0 Scott Air Force Base
140.178.0.0 Naval Undersea Warfare Center Division, Keyport
140.187.0.0 Fort Bragg
140.194.0.0 US Army Corps of Engineers
140.195.0.0 Naval Sea Systems Command
140.199.0.0 Naval Ocean Systems Center
140.201.0.0 HQ, 5th Signal Command
140.202.0.0 106TH SIGNAL BRIGADE

RANGE 143
143.45.0.0 58th Signal Battalion
143.46.0.0 U.S. Army, 1141st Signal Battalion
143.68.0.0 Headquarters, USAISC
143.69.0.0 Headquarters, USAAISC
143.70.0.0 Headquarters, USAAISC
143.71.0.0 Headquarters, USAAISC
143.72.0.0 Headquarters, USAAISC
143.73.0.0 Headquarters, USAAISC
143.74.0.0 Headquarters, USAAISC
143.75.0.0 Headquarters, USAAISC
143.76.0.0 Headquarters, USAAISC
143.77.0.0 Headquarters, USAAISC
143.78.0.0 Headquarters, USAAISC
143.79.0.0 Headquarters, USAAISC
143.80.0.0 Headquarters, USAAISC
143.81.0.0 Headquarters, USAAISC
143.82.0.0 Headquarters, USAAISC
143.84.0.0 Headquarters, USAAISC
143.85.0.0 Headquarters, USAAISC
143.86.0.0 Headquarters, USAAISC
143.87.0.0 Headquarters, USAAISC
143.232.0.0 NASA Ames Research Center

RANGE 144
144.99.0.0 United States Army Information Systems Command
144.109.0.0 Army Information Systems Command
144.143.0.0 Headquarters, Third United States Army
144.144.0.0 Headquarters, Third United States Army
144.146.0.0 Commander, Army Information Systems Center
144.147.0.0 Commander, Army Information Systems Center
144.170.0.0 HQ, 5th Signal Command
144.192.0.0 United States Army Information Services Command-Campbell
144.233.0.0 Defense Intelligence Agency
144.234.0.0 Defense Intelligence Agency
144.235.0.0 Defense Intelligence Agency
144.236.0.0 Defense Intelligence Agency
144.237.0.0 Defense Intelligence Agency
144.238.0.0 Defense Intelligence Agency
144.239.0.0 Defense Intelligence Agency
144.240.0.0 Defense Intelligence Agency
144.241.0.0 Defense Intelligence Agency
144.242.0.0 Defense Intelligence Agency
144.252.0.0 U.S. Army LABCOM

RANGE 146
146.17.0.0 HQ, 5th Signal Command
146.80.0.0 Defence Research Agency
146.98.0.0 HQ United States European Command
146.154.0.0 NASA/Johnson Space Center
146.165.0.0 NASA Langley Research Center

RANGE 147
147.35.0.0 HQ, 5th Signal Command
147.36.0.0 HQ, 5th Signal Command
147.37.0.0 HQ, 5th Signal Command
147.38.0.0 HQ, 5th Signal Command
147.39.0.0 HQ, 5th Signal Command
147.40.0.0 HQ, 5th Signal Command
147.42.0.0 Army CALS Project
147.103.0.0 Army Information Systems Software Center
147.104.0.0 Army Information Systems Software Center
147.159.0.0 Naval Air Warfare Center, Aircraft Division
147.168.0.0 Naval Surface Warfare Center
147.169.0.0 HQ, 5th Signal Command
147.198.0.0 Army Information Systems Command
147.199.0.0 Army Information Systems Command
147.238.0.0 Army Information Systems Command
147.239.0.0 1112th Signal Battalion
147.240.0.0 US Army Tank-Automotive Command
147.242.0.0 19th Support Command
147.248.0.0 Fort Monroe DOIM
147.254.0.0 7th Communications Group

RANGE 148
148.114.0.0 NASA, Stennis Space Center

RANGE 150
150.113.0.0 1114th Signal Battalion
150.114.0.0 1114th Signal Battalion
150.125.0.0 Space and Naval Warfare Command
150.133.0.0 10th Area Support Group
150.144.0.0 NASA Goodard Space Flight Center
150.149.0.0 Army Information Systems Command
150.157.0.0 USAISC-Fort Lee
150.184.0.0 Fort Monroe DOIM
150.190.0.0 USAISC-Letterkenny
150.196.0.0 USAISC-LABCOM

RANGE 152
152.82.0.0 7th Communications Group of the Air Force
152.151.0.0 U.S. Naval Space & Naval Warfare Systems Command
152.152.0.0 NATO Headquarters
152.154.0.0 Defense Information Systems Agency
152.229.0.0 Defense MegaCenter (DMC) Denver

RANGE 153
153.21.0.0 USCENTAF/SCM
153.22.0.0 USCENTAF/SCM
153.23.0.0 USCENTAF/SCM
153.24.0.0 USCENTAF/SCM
153.25.0.0 USCENTAF/SCM
153.26.0.0 USCENTAF/SCM
153.27.0.0 USCENTAF/SCM
153.28.0.0 USCENTAF/SCM
153.29.0.0 USCENTAF/SCM
153.30.0.0 USCENTAF/SCM
153.31.0.0 Federal Bureau of Investigation

RANGE 155
155.5.0.0 1141st Signal Bn
155.6.0.0 1141st Signal Bn
155.7.0.0 American Forces Information
155.8.0.0 U.S. ArmyFort Gordon
155.9.0.0 – 155.9.255.255 United States Army Information Systems Command
155.74.0.0 PEO STAMIS
155.75.0.0 US Army Corps of Engineers
155.76.0.0 PEO STAMIS
155.77.0.0 PEO STAMIS
155.78.0.0 PEO STAMIS
155.79.0.0 US Army Corps of Engineers
155.80.0.0 PEO STAMIS
155.81.0.0 PEO STAMIS
155.82.0.0 PEO STAMIS
155.83.0.0 US Army Corps of Enginers
155.84.0.0 PEO STAMIS
155.85.0.0 PEO STAMIS
155.86.0.0 US Army Corps of Engineers
155.87.0.0 PEO STAMIS
155.88.0.0 PEO STAMIS
155.96.0.0 Drug Enforcement Administration
155.149.0.0 1112th Signal Battalion
155.155.0.0 HQ, 5th Signal Command
155.178.0.0 Federal Aviation Administration
155.213.0.0 USAISC Fort Benning
155.214.0.0 Director of Information Management
155.215.0.0 USAISC-FT DRUM
155.216.0.0 TCACCIS Project Management Office
155.217.0.0 Directorate of Information Management
155.218.0.0 USAISC
155.219.0.0 DOIM/USAISC Fort Sill
155.220.0.0 USAISC-DOIM
155.221.0.0 USAISC-Ft Ord

RANGE 156
156.9.0.0 U. S. Marshals Service

RANGE 157
157.150.0.0 United Nations
157.153.0.0 COMMANDER NAVAL SURFACE U.S. PACIFIC FLEET
157.202.0.0 US Special Operations Command
157.217.0.0 U. S. Strategic Command

RANGE 158
158.1.0.0 Commander, Tooele Army Depot
158.2.0.0 USAMC Logistics Support Activity
158.3.0.0 U.S. Army TACOM
158.4.0.0 UASISC Ft. Carson
158.5.0.0 1112th Signal Battalion
158.6.0.0 USAISC-Ft. McCoy
158.7.0.0 USAISC-FLW
158.8.0.0 US Army Soldier Support Center
158.9.0.0 USAISC-CECOM
158.10.0.0 GOC
158.11.0.0 UASISC-Vint Hill
158.12.0.0 US Army Harry Diamond Laboratories
158.13.0.0 USAISC DOIM
158.14.0.0 1112th Signal Battalion
158.15.0.0 – 158.15.255.255 Defense Megacenter Huntsville
158.16.0.0 Rocky Mountain Arsenal (PMRMA)
158.17.0.0 Crane Army Ammunition Activity
158.18.0.0 Defense Finance & Accounting Service Center
158.19.0.0 DOIM
158.20.0.0 DOIM
158.235.0.0 Marine Corps Central Design and Programming Activity
158.243.0.0 Marine Corps Central Design and Programming Activity
158.244.0.0 Marine Corps Central Design and Programming Activity
158.245.0.0 Marine Corps Central Design and Programming Activity
158.246.0.0 Marine Corps Central Design and Programming Activity

RANGE 159
159.120.0.0 Naval Air Systems Command (Air 4114)

RANGE 160
160.132.0.0 US Army Recruiting Command
160.135.0.0 36th Signal BN
160.138.0.0 USAISC
160.139.0.0 USAISC
160.140.0.0 HQ, United States Army
160.143.0.0 USAISC
160.145.0.0 1101st Signal Brigade
160.146.0.0 USAISC SATCOMSTA-CAMP ROBERTS
160.150.0.0 Commander, Moncrief Army Hospital

RANGE 161
161.124.0.0 NAVAL WEAPONS STATION

RANGE 162
162.32.0.0 Naval Aviation Depot Pensacola
162.45.0.0 Central Intelligence Agency
162.46.0.0 Central Intelligence Agency

RANGE 163
163.205.0.0 NASA Kennedy Space Center
163.206.0.0 NASA Kennedy Space Center

RANGE 164
164.45.0.0 Naval Ordnance Center, Pacific Division
164.49.0.0 United States Army Space and Strategic Defense
164.158.0.0 Naval Surface Warfare Center
164.217.0.0 Institute for Defense Analyses
164.218.0.0 Bureau of Naval Personnel
164.219.0.0 HQ USAFE WARRIOR PREPARATION CENTER
164.220.0.0 – 164.220.255.255 NIMIP/TIP/NEWNET
164.221.0.0 – 164.221.255.255 Information Technology
164.223.0.0 Naval Undersea Warfare Center
164.224.0.0 Secretary of the Navy
164.225.0.0 U.S. Army Intelligence and Security Command
164.226.0.0 Naval Exchange Service Command
164.227.0.0 Naval Surface Warfare Center, Crane Division
164.228.0.0 USCINCPAC J21T
164.229.0.0 NCTS-NOLA
164.230.0.0 Naval Aviation Depot
164.231.0.0 Military Sealift Command
164.232.0.0 – 164.232.255.255 United States Southern Command

RANGE 167
167.44.0.0 Government Telecommunications Agency

RANGE 168
168.68.0.0 USDA Office of Operations
168.85.0.0 Fort Sanders Alliance
168.102.0.0 Indiana Purdue Fort Wayne

RANGE 169
169.252.0.0 – 169.253.0.0 U.S. Department of State

RANGE 195
195.10.* Various – Do not scan

RANGE 199
199.121.4.0 – 199.121.253.0 Naval Air Systems Command, VA

RANGE 203
203.59.0.0 – 203.59.255.255 Perth Australia iiNET

RANGE 204
204.34.0.0 – 204.34.15.0 IPC JAPAN
204.34.0.0 – 204.37.255.0 DOD Network Information Center
204.34.16.0 – 204.34.27.0 Bureau of Medicine and Surgery
204.34.32.0 – 204.34.63.0 USACOM
204.34.64.0 – 204.34.115.0 DEFENSE FINANCE AND ACCOUNTING SERVICE
204.34.128.0 DISA-Eucom / BBN-STD, Inc.
204.34.129.0 Defense Technical Information Center
204.34.130.0 GSI
204.34.131.0 NSA NAPLES ITALY
204.34.132.0 NAVSTA ROTA SPAIN
204.34.133.0 NAS SIGONELLA ITALY
204.34.134.0 Naval Air Warfare Center Aircraft Division
204.34.135.0 GSI
204.34.136.0 Naval Undersea Warfare Center USRD – Orlando
204.34.137.0 Joint Spectrum Center
204.34.138.0 GSI
204.34.139.0 HQ, JFMO Korea, Headquarters
204.34.140.0 DISA D75
204.34.141.0 U. S. Naval Air Facility, Atsugi Japan
204.34.142.0 Naval Enlisted Personnel Management Center
204.34.143.0 Afloat Training Group Pacific
204.34.144.0 HQ Special Operations Command – Europe
204.34.145.0 Commander Naval Base Pearl Harbor
204.34.147.0 NAVSEA Information Management Improvement Program
204.34.148.0 Q112
204.34.149.0 Ctr. for Info. Sys.Security,CounterMeasures
204.34.150.0 Resource Consultants, Inc.
204.34.151.0 Personnel Support Activity, San Diego
204.34.152.0 NAVAL AIR FACILITY, ADAK
204.34.153.0 NAVSEA Logistics Command Detachment
204.34.154.0 PEARL HARBOR NAVAL SHIPYARD
204.34.155.0 PEARL HARBOR NAVAL SHIPYARD
204.34.156.0 Defense Photography School
204.34.157.0 – 204.34.160.0 Defense Information School
204.34.161.0 Naval Air Systems Command
204.34.162.0 Puget Sound Naval Shipyard
204.34.163.0 Joint Precision Strike Demonstration
204.34.164.0 Naval Pacific Meteorology and Ocean
204.34.165.0 Joint Precision Strike Demonstration
204.34.167.0 USAF
204.34.168.0 Commander
204.34.169.0 Naval Air Warfare Center
204.34.170.0 Naval Air Systems Command
204.34.171.0 NAVSTA SUPPLY DEPARTMENT
204.34.173.0 SUBMEPP Activity
204.34.174.0 COMMANDER TASK FORCE 74 YOKOSUKA JAPAN
204.34.176.0 DISA-PAC,IPC-GUAM
204.34.177.0 Satellite Production Test Center
204.34.181.0 940 Air Refueling Wing
204.34.182.0 Defense Megacenter Warner Robins
204.34.183.0 GCCS Support Facility
204.34.184.0 Nav Air Tech Serv Facility-De
204.34.185.0 NAVAL SUPPORT FACILITY, DIEGO GARCIA
204.34.186.0 Defense Logistics Agency – Europe
204.34.187.0 NAVMASSO
204.34.188.0 Commander-In-Chief, US Pacific Fleet
204.34.189.0 Defense MegaCenter – St Louis
204.34.190.0 NAVMASSO
204.34.192.0 HQ SOCEUR
204.34.193.0 Second Marine Expeditionary Force
204.34.194.0 Second Marine Expeditionary Force

Netfilter est un module du noyau Linux (depuis la version 2.4) qui offre la possibilité de contrôler, modifier et filtrer les paquets IP, et de suivre les connexions. Il fournit ainsi les fonctions de pare-feu, de partage de connexions internet et d’autorisation du trafic réseau.
Iptables est l’interface « ligne de commande » permettant de configurer Netfilter.

Ce document contient les informations de base à propos de iptables, pour ceux qui souhaitent mettre en place un firewall et/ou un partage de connexion sanspasser par une interface graphique. Les lecteurs désirant approfondir leur recherche trouveront des dizaines de tutoriels sur iptables & netfilter.

Théorie Firewall

Nous allons configurer notre firewall de la manière suivante :
-> On bloque tout le trafic entrant par défaut
-> On autorise au cas par cas : le trafic appartenant ou lié à des connexions déjà établies, et le trafic à destinations des serveurs (web, ssh, …) que nous souhaitons mettre à disposition.

Afin de ne pas avoir de problème au moment où on crée ces règles, nous allons d’abord créer les autorisations, puis nous enverrons le reste en enfer.

En tapant:

une liste de vos règles actuelles est affichée. Si vous (ou un logiciel) n’avez encore jamais touché à iptables, les chaînes sont vides, et vous devriez voir:

Pour l’instant, tout passe dans toutes les directions (//policy ACCEPT//).
Pour cette configuration basique, seul le trafic entrant (chaîne input) nous intéresse.

Autoriser le trafic entrant d’une connexion déjà établie

Nous pouvons permettre à une connexion déjà ouverte de recevoir du trafic:

Permettre le trafic entrant sur un port spécifique

Pour permettre le trafic entrant sur le port 22 (traditionnellement utilisé par SSH, vous devrez indiquer à iptables tout le trafic TCP sur le port 22 de votre adaptateur réseau.

Cette commande ajoute une règle (//-A//) à la chaîne contrôlant le trafic entrant //INPUT//, pour autoriser le trafic (//-j ACCEPT//), vers l’interface (//-i//) //eth0// et à destination du port (//–dport//) //SSH// (on aurait pu mettre 22).

Maintenant vous pouvez vérifier vos règles iptables:

Maintenant, acceptons tout le trafic web (www) entrant:

En regardant nos règles, nous avons:

Nous avons exceptionnellement autorisé le trafic tcp pour ssh et les ports web, mais comme nous n’avons rien bloqué, tout le trafic passe quand même.

Bloquer le trafic

Maintenant que nous avons fini avec les autorisations, il faut maintenant bloquer le reste.
Nous allons en fait modifier la « politique par défaut » (//policy//) de la chaîne //INPUT// : cette décision (//DROP//) s’applique lorsqu’aucune règle n’a été appliqué à un paquet. Donc, si la tentative de connexion n’est permise par aucune des règles précédentes, elle sera rejetée.

**Un autre moyen de procéder** est l’ajout en fin de chaîne d’une règle supprimant les paquets (les paquets autorisés par les règles précédentes n’atteindraient pas celle-ci), via //iptables -P INPUT -j DROP//, mais il faudrait alors faire attention à la positions des futures règles.

Autoriser le trafic local

Un petit problème de notre configuration est que même l’interface locale (loopback) est bloquée.
Nous pourrions avoir écrit les règles de rejet seulement pour eth0 en spécifiant -i eth0, mais nous pouvons aussi ajouter une règle pour loopback. Par exemple, nous pourrions l’insérer en 2ème position :

Fini !

Pour lister les règles plus en détail.

Tester votre Firewall

__**Attention**__ un scan de port sur un serveur qui ne vous appartient pas est considéré comme une attaque.

Afin de savoir si votre firewall fonctionne, vous pouvez utiliser l’utilitaire nmap (http://insecure.org/nmap/).
Avec nmap vous allez chercher à savoir quel est l’état de vos ports.

Il y a 3 états possibles :
* open : Le port est ouvert et un service écoute le port.
* closed : Le port est ouvert mais il n’y a aucun service qui écoute le port.
* filtered : Le port est fermé.

Pour utiliser nmap, vous devez vous situer sur un autre serveur (ou de chez vous) et procéder ainsi :

Pratique Firewall

Nous allons voir à présent dans un exemple pratique comment vous pouvez configurer un firewall simple sur votre dedibox.

Créer un fichier firewall en root dans /etc/init.d/firewall

Entrer dans ce fichier le script bash suivant :

Donner lui les droits d’éxécutions

Lancer le script

Votre firewall est configuré et fonctionnel. Enjoy :)

Informations supplémentaires

* Tutoriel Iptables
* How To Iptables
* Documentation Multilingue de Netfilter et Iptables
* IPtables HOWTO français
* Bible française pour apprendre les bases de la sécurité sous Linux
* Rusty’s Remarkably Unreliable Guides
* Tutorial Labo-Linux de l’école Supinfo
* Tutorial de Arnaud sur Lea linux

On peux installer fail2ban après avoir maj les listes de packages

Passons à la config fail2ban. Depuis je ne sais plus quelle version elle ne se fait plusdans le fichier jail.conf (j’ai d »ailleurs galéré car tous les tutos sur le net parlent de ce fichier). Elle se fera dans un fichier jail.local qui supplante les instructions de jail.conf, Ce dernier pouvant être modifié par une Maj…
Voici donc mon fichier jail.conf, qui est – je le rapelle car c’est très important – le seul a modifier !

C’est ici mon fichier de config, ajusté en fonction de mes besoins… ce n’est pas forcément ce qu’il vous faut ! Ajustez en conséquence !
Tout est suffisament commenté pour que je n’ai pas besoin d’en dire plus ;)

On redémarre fail2ban-client :

On vérifie comme ceci :

Et encore comme ça:

Ok, ça roule ! :]

Every sysadmin will try its best to secure the system/s he is managing. Hopefully you never had to restore your own system from a compromise and you will not have to do this in the future. Working on several projects to restore a compromised Linux system for various clients, I have developed a set of rules that others might find useful in similar situations. The type of hacks encountered can be very variate and you might see very different ones than the one I will present, or I have seen live, but even so, this rules might be used as a starting point to develop your own recovery plan.

In most cases if you have a system compromise at root level, you will hear that you have to fully reinstall the system and start fresh because it will be very hard to remove all the hidden files the attacker has placed on the system. This is completely true and if you can afford to do this then you should do it. Still even in this case the compromised system contains valuable information that can be used to understand the attack and prevent it in the future.

Here is a short overview of the steps that I will present:

* Don’t panic. Keep your calm and develop a plan of actions
* Disconnect the system from the network
* Discover the method used to compromise the system
* Stop all the attacker scripts and remove his files
* Restore not affected services
* Fix the problem that caused the compromise
* Restore the affected services
* Monitor the system

Don’t panic. Keep your calm and develop a plan of actions.

Ok. You have just found out that you have to restore a hacked system. My first suggestion is to remain calm. Don’t rush and do something you will regret later. Why? Of course you will have to take action as soon as possible, but you can assume that the compromise is probably active for some time and if you act in second 1 or minute 10 this will probably not make much of a difference. If you have experience with such situations and have a proper plan in your mind, go for it, and don’t waste any time. If not, just relax, take 5 minutes to think about what you should do and how to solve this problem.
Example of bad actions during this time: you will rush and kill all the running scripts the attacker has launched and then have a timeout when you will think what to do next… In this time the attacker might see you have discovered him (for example from his irc bot, etc.) and might become upset and clean up the system for you…
Of course you should not go on with your planned trip and take care of this when you get back, I am just saying to use 5-10 minutes to think on this and develop a short action plan. There should be no timeout in your actions and you should always know what is the next step.

Disconnect the system from the network

This might not always be possible. But if you have physical access to the system or even if you are remotely on a system in a datacenter that provides a way to connect from a console (either a regular remote console, or a KVM, or a DRAC card in Dell servers, etc.), then this should be the next step. Connect to the remote console and bring down the network interface.
If you don’t have a remote console, here are some other ideas: you might be able to rent a KVM for a limited time from your datacenter, or you might have to write some iptables rules to block any kind of access besides your own IP.
After this your system will appear down to everyone, including the attacker that will see that the system is completely down.
Discover the method used to compromise the system

This step in my opinion is the most important one and you should not proceed any further until you have a proper answer to the question: “How did the attacker get in?” This step will be probably the most time consuming as the type of attacks can be quite variate. Still if you don’t find out how the attacker got in, then you will risk that you place the system online and he will be able to compromise the system in a matter of minutes. And this time he might not be so nice and you will not have anything to restore… So even if there is not a general method for this, here are some ideas to get you started:

Depending from what tools you have already configured, you need to identify the files uploaded on the system:

* if you have a system like tripwire configured use it to find out what files where added/changed.
* if you don’t have any such system installed, you might have to use the find command to search for the files newer than x days that were added to the system (also changed files in the respective interval).

Who owns the uploaded files?

* finding out the owner of the files will probably show you what application was used to get in. For example files uploaded as the web user will indicate that the web service was used to get in.

Investigate the uploaded files.

* the files that were uploaded on the system might provide valuable information about the attack. For example the attacker might use the same exploit to attack other systems from your compromised server. This can quickly show you what exploit he is using.

Get as much information from the running scripts launched by the attacker.

* as you have seen I have not recommended to stop yet the running scripts that the attacker might have launched. Why? Because they contain invaluable information to identify the attack. Use lsof on them (lsof -p PID) to see useful details. Where are they located? what user owns them? You might find the source of the attack from this information.

Use Rootkit detection tools.

* you might want to run some rootkit detections tools like rkhunter or chkrootkit to quickly identify common attacks.

Investigate system logs.

* with the information gathered by now you might reduce the size of the log information you have to investigate.

Hopefully you have found the source of the attack by now. Again this is very dependent of the type of attack. The most common one you might see these days is an exploit using a vulnerable web application and an attacker that will launch various scripts (irc bots, scanning tools, attacks on other systems, etc.). Still you might see something different like an attacker not launching any script, loading kernel modules to hide its tracks, to make it more difficult to identify or even see the compromise.

Stop all the attacker scripts and remove his files

Once you have identified the cause of the attack you can safely kill all the running scripts launched by the attacker and remove all his files (save them in a different location for further investigation). At this point we no longer need the scripts running as we got the information we could find from them. The system is still unavailable at this point and no service is available to the world.

Don’t forget to clean-up also the locations that the attacker might have entered to start his scripts on system reboot. Look in init scripts, rc.local, cron tabs for this.

Restore not affected services

Once we know the service used for the attack we can stop it and restore the network connection and all the unaffected services the system might provide. For example if the web server was used to get in, we can stop it, and restore other services like mail, dns, to minimize the downtime of the system.

Fix the problem that caused the compromise

Before starting the service used to compromise the system you should fix the problem so this will not happen again once the service is open to the public… Depending on the problem this might involve: patching a vulnerable daemon, upgrading a vulnerable web application (or temporary disable it), writing some special rulers to block it (for ex. mod_security rules might help in case of no patch available for a web application), etc.
Restore the affected services

Once you have fixed the problem you can restart the service used to get inside the system.

Monitor the system

Now is the time to monitor closely the system and see if the fix you have implemented is working. Most certainly the attacker will try to get in again as he will see he has ‘lost’ the system. If you notice any problem stop the service at once and reiterate again to the step to fix the problem (stop the service, fix it, restore it).

Conclusion

These steps are obviously not usable all the time because of the variety of attacks you might encounter, but they can be used as a baseline to develop your own plan of actions. Again in such situations, keep your calm, don’t rush, and work to restore the system based on a clear set of steps.
If you had similar experiences please feel free to share your own tips to help others that might find themselves in such a situation.

Le but de ce document est de fournir quelques astuces pour sécuriser sa Débian.

Le minimum

Moins il y a de services qui fonctionnent, mois la machine est sensible aux attaques, et évidement, plus elle est performante. Vous ne gagnerez pas beaucoup en désactivant quelques services non utilisé, mais c’est toujours ca de gagné. Le fait d’avoir une installation propre rend l’administration plus agréable et plus efficace :)

Commencons déja par mettre à jours notre distribution. Pour plus de sécurité, si vous êtes vraiment très frileux, restez en « stable », sinon vous pouvez passer sans trop de crainte en « unstable » afin d’avoir des mises à jours des packages plus régulieres pour vos applications.

Nous gardons ici les mirroirs dédibox, pour bénéficier de la bonne bande passante :)
Penser a executer # apt-get update si vous modifier le fichier: /etc/apt/sources.list

Pensez à ne jamais dire « oui/yes » lorsqu’on vous propose de passer un applicatif en suid.

Continuons par supprimer les services/packages non nécessaire:

Vous remarquerez que je n’utilise pas atd … cela n’engage que moi :)

Notons que la plupart des services fonctionnent de nos jours en standalone, donc sauf cas particulier de controle au niveau des connexions (que vous pouvez faire par exemple avec iptables la plupart du temps) inetd n’est pour moi plus nécessaire. On va tout de même le laisser installer, de toute manière il installera un autre super demon si on tente de le supprimer.

Petite touche personnelle, qui n’apporte rien à la sécurité, mais étant donné que c’est un dédié en location, rien ne sert d’avoir 25 consoles de disponibles, donc:

et modifier les lignes suivantes:

Vous gagnerez un peu de mémoire, c’est toujours ca de fait.

Il faut bien évidement rebooter la machine ou lancer un « init q » (merci Sunix) pour que ce soit pris en compte

sshd

Un des premiers reflexes à avoir avec SSH est de désactiver la connexion pour root. Cela se fait simplement, en modifiant /etc/ssh/sshd_config avec la ligne suivante suivante:

Si vous poussèdez plusieurs utilisateurs systèmes, mais pour des raisons obscures vous ne voulez pas qu’ils puissent se connecter via SSH, vous avez la possibilité via la directive AllowUsers de spécifier qui à le droit de se connecter en SSH. Il existe aussi la directive AllowGroups, pour appliquer cette restriction aux groupes d’utilisteurs.

Vous pouvez de plus spécifier l’host, sous la forme user@host. SSH vérifira donc la provenance, ce qui permet de rajouter une sécurité simplémentaire.

A noter qu’il existe les directives DenyUsers et DenyGroups, pour faire l’inverse.

/proc, ou comment titiller le kernel

Je ne rentrerais pas dans les détails, ce n’est pas le but, mais voici quelques modifications que vous pouvez apporter à votre machine pour la sécuriser et la rendre plus stable.

Il existe bien d’autres valeurs à modifier/changer pour tweaker son systeme, cela n’est qu’un échantillon de ce qu’il est possible de faire avec sysctl.

Smurf Attack

Se protéger contre les Smurf Attack:

Ressources:

* http://www.cert.org/advisories/CA-1998-01.html
* http://en.wikipedia.org/wiki/Smurf_attack
* http://www.networksorcery.com/enp/protocol/icmp/msg0.htm
* http://en.wikipedia.org/wiki/ICMP_Echo_Reply
* http://www.cert.org/tech_tips/denial_of_service.html
* http://en.wikipedia.org/wiki/Denial_of_service

Source routing

Eviter le source routing:

Ressources:

* http://www.iss.net/…/Underground/Hacking/Methods/Technical/Source_Routing/default.htm

Syn Flood

Se protéger des attaques de type Syn Flood:

Ressources:

* http://www.cert.org/advisories/CA-1996-21.html
* http://www.iss.net/security_center/advice/Exploits/TCP/SYN_flood/default.htm
* Documentation du kernel: Documentation/networking/ip-sysctl.txt

Redirects

Désactivez l’autorisation des redirections ICMP:

Bad error messages

Eviter le log des paquets icmp erroné:

Log Martians

Active le logging des packets aux adresses sources falficiées ou non routable: