• Le fameux "hacker" du 23/12/2009 tombe le masque

    Le 23/12/2009, le serveur à été chamboulé par un petit malin qui voulait faire comme les grands. Le dérangement occasionné est monstrueux: kick, ban, slap à tour de bras, assaisonné de spam en tartine généreuse.
    Votre humble serviteur étant à votre service tous les jours, à chaque heure du jour ou de la nuit, le fait qu'aujourd'hui (24/12/2009) soit le reveillon de noël ne l'a pas empêché de mener son enquête qui aboutira finalement à un coupable insoupsonné.
    Comme le disait notre vieux copain Duke Nukem, "It's time to kick ass and chew bubble gum... and I'm all outta gum."

    L'ensemble de ce dossier étant composé de relevés de logs serveur, je vais essayer de commenter un maximum pour que tout le monde puisse être à même de comprendre.


        Line 2: L 12/23/2009 - 17:30:32: rcon from "93.0.219.226:52246": command "logaddress_add "93.0.219.226:7130"" <~~ Connection au serveur par HLSW avec le rcon
        Line 36: L 12/23/2009 - 17:30:53: rcon from "93.0.219.226:52246": command "say "salut je suis la console"" <~~ Debut du flood
    [...]<~~ Flood
        Line 377: L 12/23/2009 - 17:31:23: rcon from "93.0.219.226:52246": command "say "HACKED BY GALAKTIK"" <~~ Debut du flood
    [...] <~~ Flood
        Line 866: L 12/23/2009 - 17:35:18: rcon from "93.0.219.226:52246": command "say "je vais te ban"" <~~ Menace de ban
    [...]
        Line 880: L 12/23/2009 - 17:35:30: rcon from "93.0.219.226:52246": command "banid 5 STEAM_0:0:10422584" <~~ Bannissement 5 minutes du STEAM_0:0:10422584
    [...]
        Line 905: L 12/23/2009 - 17:36:14: rcon from "93.0.219.226:52249": command "say "c'est bon"" <~~ Visiblement c'est bon ^_^
        Line 910: L 12/23/2009 - 17:36:37: rcon from "93.0.219.226:52249": command "say "j'ai fini bon jeu à tous je lui ai réglé son compte "" <~~ Ah ? Regler son compte à qui ?
        Line 912: L 12/23/2009 - 17:36:44: rcon from "93.0.219.226:52249": command "say "à l'autre"" <~~ Ah. Apparament c'est de moi qu'il s'agit ;)

    ~ Coupure de quelques secondes ~

        Line 961: L 12/23/2009 - 17:39:20: rcon from "93.0.219.226:52316": command "say "bonjour"" <~~ Bonjour ?
        Line 969: L 12/23/2009 - 17:39:44: rcon from "93.0.219.226:52316": command "say "je suis le gestionnaire de sécurité du serv'"" <~~ Etrange, l'adresse IP n'a pas changé depuis tout à l'heure
        Line 971: L 12/23/2009 - 17:39:48: rcon from "93.0.219.226:52316": command "say "j'ai viré""
        Line 973: L 12/23/2009 - 17:39:50: rcon from "93.0.219.226:52316": command "say "la hacker""
        Line 975: L 12/23/2009 - 17:39:54: rcon from "93.0.219.226:52316": command "say "le ""
        Line 977: L 12/23/2009 - 17:39:57: rcon from "93.0.219.226:52316": command "say "hacker""
        Line 980: L 12/23/2009 - 17:40:11: rcon from "93.0.219.226:52316": command "say "dsl pour le déragement qu'il a pu causer""
        Line 982: L 12/23/2009 - 17:40:17: rcon from "93.0.219.226:52316": command "say "bon jeux"" <~~ Bon, tout ça, c'est de la parlotte.
        Line 1018: L 12/23/2009 - 17:42:01: rcon from "93.0.219.226:52316": command "removeid " <~~ Suppression des bans par ID
        Line 1025: L 12/23/2009 - 17:42:06: rcon from "93.0.219.226:52316": command "removeip 82.239.32.170" <~~ Suppression du ban par IP
        Line 1026: L 12/23/2009 - 17:42:06: rcon from "93.0.219.226:52316": command "removeid STEAM_0:0:10422584" <~~ Suppression du ban par STEAMID de tout à l'heure
        Line 1027: L 12/23/2009 - 17:42:06: rcon from "93.0.219.226:52316": command "exec banned_user.cfg" <~~ Execution du fichier de ban ID
        Line 1028: L 12/23/2009 - 17:42:07: rcon from "93.0.219.226:52316": command "exec banned_ip.cfg" <~~ Execution du fichier de ban IP
        Line 1029: L 12/23/2009 - 17:42:07: rcon from "93.0.219.226:52316": command "listid" <~~ Listage des ID
        Line 1030: L 12/23/2009 - 17:42:07: rcon from "93.0.219.226:52316": command "listip" <~~ Listage des IP
        Line 1073: L 12/23/2009 - 17:43:27: rcon from "93.0.219.226:52316": command "ma_slap "S h Ö o w  GirL" 99" <~~ Enleve 99hp au joueur
        Line 1094: L 12/23/2009 - 17:44:08: rcon from "93.0.219.226:52316": command "say "voulez vous changer de map ?""
        Line 1097: L 12/23/2009 - 17:44:19: rcon from "93.0.219.226:52316": command "say "laquelle""
        Line 1099: L 12/23/2009 - 17:44:20: rcon from "93.0.219.226:52316": command "say "?"" <~~ Alors, on veut faire le gentil ?
        Line 1114: L 12/23/2009 - 17:45:07: rcon from "93.0.219.226:52316": command "say "ah il a dit nn en comme nous sommes en démocratie je peux pas changer"" <~~ Ah ouais. Bon. Osef ?
        Line 1122: L 12/23/2009 - 17:45:36: rcon from "93.0.219.226:52316": command "say "tu veux que je tu fatality"" <~~ Ah? Reprise des hostilités ?

    ~ Coupure d'1/4 d'heure (pause pipi?) ~

        Line 1541: L 12/23/2009 - 18:02:53: rcon from "93.0.219.226:52449": command "rcon_password " <~~ Reconnection par rcon
    command "say "tu a vu Hypnotic, je suis gentil je t'ai déban mais fallait pas me dire 'abruti'"" <~~ Ah, tu nous manquais presque ;)
        Line 1915: L 12/23/2009 - 18:21:56: rcon from "93.0.219.226:52635": command "say "je ne suis pas un admn ""
        Line 1929: L 12/23/2009 - 18:22:37: rcon from "93.0.219.226:52635": command "say "j'ai hacké ce serv' "" <~~ Le bonhomme joue les Mitnick !
      
        Line 331: L 12/23/2009 - 18:35:34: rcon from "93.0.219.226:52732": command "ma_slap "S.Gaming | Hypnotic Rct" 99" <~~ Enleve 99hp au joueur
       Line 333: 12/23/2009 - 18:35:54: "S.Gaming | Hypnotic Rct<408><STEAM_0:1:21986248><CT>" say "tu t amuse bien maniac ?" <~~ Réaction du joueur en question. C'est pas bien d'accuser sans preuves Hypnotic ;)
        Line 341: L 12/23/2009 - 18:36:18: rcon from "93.0.219.226:52732": command "say "Maniac ?""
        Line 364: L 12/23/2009 - 18:37:32: rcon from "93.0.219.226:52732": command "say "c'est maniac l'admin a qui j'ao hack ce serv' ?""
        Line 368: L 12/23/2009 - 18:37:39: rcon from "93.0.219.226:52732": command "say "c'est maniac l'admin a qui j'ai hack ce serv' ?""
        Line 386: L 12/23/2009 - 18:37:56: rcon from "93.0.219.226:52732": command "say "il est nul en sécurité alors""
        Line 389: L 12/23/2009 - 18:38:04: rcon from "93.0.219.226:52732": command "say "il est nul en sécurité alors""
        Line 398: L 12/23/2009 - 18:38:28: rcon from "93.0.219.226:52732": command "say "non hack serv' ftp et récupération server.cfg""
        Line 405: L 12/23/2009 - 18:38:42: rcon from "93.0.219.226:52732": command "say "non hack serv' ftp et récupération server.cfg""
        Line 411: L 12/23/2009 - 18:39:06: rcon from "93.0.219.226:52732": command "say "je fais des études en sécurité informatique"" <~~ AHAHAHA ! Excusez-moi, mais je crois que je vais me faire pipi dessus xD

    Elément d'enquête #1: l'IP du "hacker" en herbe.

    Adresse IP du fameux "hacker": 93.0.219.226
    ~~> Une fois résolu, ça donne ça : 226.219.0-93.rev.gaoland.net

    Une brêve recherche sur cette IP me permet d'obtenir toutes sortes de précieuses informations, telles que son fournisseur d'accès à internet, son pays, et même sa ville.

    A partir de ces renseignements, je vais pouvoir commencer à orienter ma réflexion sérieusement.

    Elément d'enquête #2: Le SSH magique


    Pour récolter un peu plus d'informations sur ce petit malin, je décide de me connecter directement sur le serveur, grâce au logiciel Putty.
    "Last login: Tue Dec 22 15:50:24 2009 from 5.219.0-93.rev.gaoland.net"
    Zut, la dernière connection date de la veille du soit-disant hackage. L'adresse IP n'étant pas la mienne, je pense tout de suite qu'il s'agit probablement de celle de la seconde personne possédant le mot de passe d'accès au compte local, à savoir mon très cher ami de toujours: Appelons-le Monsieur X.
    Par simple curiosité, je lance la même résolution que précédemment, mais dans le sens inverse.

    Adresse IP de Monsieur X résolu : 5.219.0-93.rev.gaoland.net
    ~~> En brut, ça donne ça: 93.0.219.226

    Là aussi, après une brêve recherche, j'obtiens les fameuses informations personnelles.
    Et là, "SUPRISE! Dans ton lit, ça bouge!", les informations sont identiques à celles obtenues après la précédente recherche!
    Bon, pas d'excitation, je ne peux pas accuser mon ami de toujours après une simple comparaison de deux IP. Qu'est-ce qui me dit que la personne qui s'est connectée sur le serveur est bien Monsieur X ?
    J'ai besoin de concret: L'adresse IP de ce cher Monsieur X.

    Elément d'enquête #3: L'adresse IP de Monsieur X

    Notre enquête touche à sa fin, on va enfin savoir si Monsieur X est bien derrière tout ça.
    Je décide de jeter un coup d'oeil à un fichier de log datant d'un jour où nous avions joué ensemble, Monsieur X et moi.

    Adresse IP de Monsieur X: 93.0.220.48
    ~~> Une fois résolu, ça donne ça: 48.220.0-93.rev.gaoland.net

    La recherche sur cette IP est sans appel: Monsieur X est bien l'auteur de ce beau bordel. Tout concorde entre les 3 IPs, y compris les latitude et longitude.
    Je vous laisse imaginer l'étendue de ma déception à son égard.

    Pour résumer mes éléments d'enquête en une seule entité, regardez l'image qui suit:



    Mais alors, que faut-il retenir de ce beau jeu de piste?


    Grâce à ce "jeu de piste", vous avec pu constater la facilité déconcertante avec laquelle on obtient toutes sortes d'informations à partir d'une simple adresse IP: Pays, ville, fournisseur d'accès à internet, et même les  latitude et longitude de la maison qui héberge votre boîte magique.
    Internet est bien loin du monde merveilleux qu'il paraît être. A chaque fois que vous vous connectez à un site, celui-ci peut récupérer votre adresse IP sans votre consentement et avec une facilité qui, je pense, vous laisserait sans voix. Pour les quelques programmeurs PHP qui traînent dans le coin, voilà la variable magique qui vous permet d'obtenir le précieux sésame: Il s'agit de la superglobale $_SERVER["REMOTE-ADDR"]. Maintenant, vous savez ce qu'il vous reste à faire avec celle-ci ;)

    Mais alors, que faire ?

    Tout d'abord, sachez qu'il existe des sites qui vous servent de passerelle vers le web.

    Le client (vous) fait sa requête au site passerelle, appelé proxy. ~~> "Direction xipoons.com!"

    Celui-ci l'exécute et va donc chercher la page demandée et l'envoie au client. ~~> "Tiens, voila le site xipoons.com."

    L'adresse IP reçue par le serveur web (xipoons.com) est donc celle du proxy, et non celle du client (vous). Si le propriétaire dudit site essaie d'obtenir l'IP du visiteur, il obtiendra l'IP du proxy. Votre anonymat est ainsi concervé.

    Cependant, ne faites pas comme beaucoup font, c'est-à-dire se cacher derrière un proxy pour se sentir puissant, intouchable et se servir de leur simulâcre d'anonymat pour semer la terreur un peu partout sur le web, et s'en donner à coeur joie de spam, messages d'insultes et menaces de mort. Si la personne en question porte plainte, les autorités compétentes seront en droit de demander l'accès au proxy pour retrouver la personne responsable du préjudice.

    Pour conclure, conduis-toi comme un bon citoyen, honnête contribuable et caetera, et fais le bien autour de toi.


  • Commentaires

    Aucun commentaire pour le moment

    Suivre le flux RSS des commentaires


    Ajouter un commentaire

    Nom / Pseudo :

    E-mail (facultatif) :

    Site Web (facultatif) :

    Commentaire :