Autopsie d’un PC troufigné…

Aug 30, 05 Autopsie d’un PC troufigné…

Un jour de l’été 2004, j’ai reçu des spams venant d’un PC sur un abonnement Wanadoo. Avec un peu de curiosité, voilà ce que j’ai trouvé. Cela m’a permis à l’époque de me moquer du délai de réactivité de Wanadoo. Surtout que j’en connaissait la raison: le manque de moyen humains dans la cellule abuse qui travaillait alors en sous-effectif.

Nmap mon ami

Scannons avec nmap cette machine zombie dont l’IP nous signale quelle appartient au réseau Wanadoo [1] :


Starting nmap 3.55 ( http://www.insecure.org/nmap/ ) at 2004-09-01 11:53 CEST
Interesting ports on alyon-110-1-1-63.w217-128.abo.wanadoo.fr (217.128.4.63):
(The 4989 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
21/tcp open ftp
80/tcp open http
135/tcp filtered msrpc
139/tcp open netbios-ssn
445/tcp filtered microsoft-ds
1025/tcp open NFS-or-IIS
1026/tcp open LSA-or-nterm
1028/tcp open unknown
3008/tcp open unknown
3372/tcp open msdtc
3389/tcp open ms-term-serv
Nmap run completed — 1 IP address (1 host up) scanned in 88.744 seconds

La machine du Neu^2 lyonnais héberge donc et sans doute à l’insu du plein gré de ce dernier :

- un serveur FTP anonyme en lecture/écriture


- un serveur HTTP dont la page par défaut est celle qui trompe le Neu^2 made in USA..


- quelques ports TCP ouverts par des trojans windows, qui doivent expliquer que ce PC serve de zombie.

- un port 139 ouvert, ce qui veut dire qu’il y a des partages de données ou d’imprimante.

- le port de gestion d’IIS le serveur à trous made in M$

- des ports 135 & 445 filtrés , une étude approfondie avec hping nous montre qu’ils sont filtrés au niveau du BAS France Télécom, sage décision de la part de Wanadoo ;o)

Sur ce serveur HTTP tourne aussi un deamon PHP. En effet les formulaires de saisie de numéro de carte bancaire, code pin et autres informations sont renvoyées vers un script php.


<form method="post" action="verify.php" autocomplete="off" onsubmit="return checkFields()">

les informations demandées étant :

- le numéro de carte bancaire

- le code de securité de la carte
- le numéro de sécurité sociale du client US :ce qui est là bas, le sésame absolu en terme de vie privée..

- l’adresse email de contact

- le nom inscrit sur la carte

- la date d’expiration

- le code pin de la carte …

- User ID Citibank

- Mot de passe de cet User ID

Si un Neu^2 tombe dans le piège, les pirates auront donc de quoi générer un clone de la carte bancaire du neu^2 et s’en servir a leur guise. De plus en ayant l’ID/Pw de gestion citibank du Neu^2 ils pourront à loisir utiliser la vraie interface de CitiBank pour y soustraire de l’argent ( virements etc…)

Des curieux ont découvert que ce code PHP était géré par Vdaemon , et envoyé ensuite à une machine située ailleurs.. et sans doute elle aussi Zombifiée.

Dans des cas récents , ils s’agissaient même de machines Linux qui avaient été hackés via des r00tKit : comme quoi la sécurité ce n’est pas qu’une question d’OS. Un N3uN3u sous Linux peut prendre autant de risques, si ce n’est plus que sous Windows.

Ainsi donc , en laissant son PC sous Windows se faire troufigner , notre Neu^2 lyonnais est il placé dans une chaîne où des délinquants récupèrent des informations bancaires et les utilisent au travers d’autres PC zombifiés.
Le Neu^2 devient donc un maillon indispensable pour le criminel du Net.

Pour l’instant, aucune banque française n’a été officiellement victime de ce genre d’escroquerie .. mais :

- le bug Iframe d’IE est universel : Citibank ou Crédit lyonnais sont concernés aussi.

- l’universalité du Neu^2 est un fait établi.

- les outils, trojans, scripts php utilisés par les hackers sont très faciles à trouver : il suffit de laisser une machine se faire troufigner et ensuite de récupérer le tout.

- le look & Feel d’un site bancaire français se copie aussi facilement que celui d’un site US.

A suivre…

Mise à jour du 2 Sept 2004 à 17H20

24 heures après la publication de cet article, et après avoir signalé cela à Wanadoo qui nous a précisé que cet abonné etait dans leurs pates, l’IP est toujours UP et le site est toujours là.

Etrange non ? Plutôt que de se donner des stocks options, les cadres de FT devraient donner plus de moyens à Wanadoo pour lutter contre ce genre d’abonnés.

Pire encore, la machine heberge désormais un “apache” pour Win32 avec PHP, cela veut donc dire qu’un tiers est intervenu sur cette machine…


21/tcp open ftp Microsoft ftpd 5.0
80/tcp open http Apache httpd 2.0.50 ((Win32) PHP/5.0.0)

On y trouve en FTP des commentaires sur son propriétaire et même des fakes, comme un fichier “CapturedVisa.zip” qui s’avère etre un trojan camouflé, et un très beau “Cardgen.exe” dont on imagine qu’il doit attirer le neuneu trop curieux…

Bref, tout le monde s’amuse la dedans, et certains se moquent même de Wanadoo ;o) Cela n’est pas sympa, quand on connait abuse@wanadoo.fr qui est quelqu’un de très bien, et de fort sympathique.

Une lettre part ce soir au PDG de Wanadoo à ce sujet : il est anormal qu’un FAI prévenu par plusieurs internautes laisse une machine aussi vérolée se connecter à Internet.
Dans ce courrier, Neuneu.org prévient Wanadoo de la publication de ces infos en ligne, ici même.

Update : 3 septembre 2004

6H30
La machine est toujours UP, le serveur repond toujours, le FTP aussi comme le montre cet extrait d’un Nmap sur l’IP en question..


Starting nmap 3.55 ( http://www.insecure.org/nmap/ ) at 2004-09-03 06:37 CEST
Interesting ports on alyon-110-1-1-63.w217-128.abo.wanadoo.fr (217.128.4.63):
(The 3989 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE VERSION
21/tcp open ftp Microsoft ftpd 5.0
80/tcp open http Apache httpd 2.0.50 ((Win32) PHP/5.0.0)
135/tcp filtered msrpc
139/tcp open netbios-ssn
445/tcp filtered microsoft-ds

9H30
Ca ne répond plus , voici les hypothèses possibles :

- Wanadoo a coupé la connexion ADSL de ce client, suite à l’action tardive de sa celulle abuse [2]
- Wanadoo filtre les connexions vers cette IP, n’ayant pas réussi à joindre le client.

- Le client s’il était sur une adresse IP dynamique a pu changer d’IP tout seul : le site est alors sur une autre adresse…

- le Windows du client a pu être victime d’un DoS ou son client PPPoE n’a pas réussi à gérer la coupure hebdo/quotidienne du lien ppp sur les BAS FT.

A suivre…


[1] abuse@wanadoo.fr a été mis au courant de tout cela bien sûr

[2] coucou Alain si tu lis ça, j’ai dit du bien de toi à Monsieur le PDG dans ma lettre

ca troue le cul, et ils ne font rien ? tsss

Comments

comments

Powered by Facebook Comments

Leave a Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

%d bloggers like this: