vendredi 5 janvier 2007

Kernel: chronique d'une attaque

Beaucoup de travail au cours de ces dernières semaines et ceci, principalement en vue de réparer les dégâts causés par un hacker dénommé KERNEL qui a pris le malin plaisir de venir détruire en quelques minutes des centaines d'heures passées derrière mon PC à chercher des infos, les rédiger et les poster.

Résultat ? tous les messages et sujets du forum de zanzana.net ont été supprimés, et toutes les pages du blog de karimbenamor.com aussi. Manque de chance, pas de sauvegarde au niveau de l’hébergeur, et raison de plus sur mon poste de travail.

Alors, pour vous inviter à prendre toutes les précautions nécessaires pour ne pas vous faire pirater, voici mon témoignage.

Kernel s’est inscrit sur le forum sous plusieurs pseudos : DARK0 (adresse e-mail sys101@gmail.com, benladen (e-mail: kernel3.2@hotmail.com) et kernel (e-mail rush.billy@hotmail.com).

DARK0 m'a envoyé deux fois un Message Privé pour que j'aille consulter un site (http://www.metalmonastir.c.la/) concernant une association de Metal à Monastir : mardi 19 décembre et mercredi 20 décembre 2006 22:48. Je suis parti faire un tour sur ce site le jeudi 21 décembre au matin et j’ai été surpris de ne rien trouver de précis à cette adresse. En fait, Kernel m’a envoyé un logiciel cheval de Troie et a ainsi pu me dérober mon mot de passe administrateur. La preuve ? une heure à peine après avoir visité la page Metal Monastir, l’attaque du forum de la ZanZanA a commencé.

Kernel a changé mon mot de passe, s'est introduit dans la section administration, a autorisé l'upload de types de fichiers autres que images, a chargé les scripts puis les a exécuter. Heureusement que nous avions convenu avec mon hébergeur d'interdire toute exécution de scripts à partir des répertoires d'upload, destinés à recevoir uniquement des jpg ou gif ou png nécessaires aux avatars.

Malheureusement, après avoir passé au peigne fin les traces d’activité du site, j’ai déchanté lorsque j’ai trouvé que l’adresse IP de Kernel (141.76.45.34) correspond à un proxy allemand. Et lorsque Kernel s’est rendu compte que je disposais d’un second compte administrateur, il s’est connecté en utilisant un IP (41.201.250.168), provenant des îles Maurice.

Impossible donc de remonter la filière à moins que Google ne nous donnes toutes les adresses IP de sys101@gmail.com. Il ne me restait plus qu’à immobiliser le site de la ZANZANA le temps de mettre à jour la version WebWiz Forum, reconstruire les rubriques, changer la charte graphique, recharger les anciens messages du blog mais qui datent et faire mon deuil des messages les plus récents.

Je dois aussi signaler que dès les premières heures de l’attaque, j’ai demandé l’assistance de l’Agence Nationale de Sécurité Informatique et je dois remercier ses agents qui ont cherché à trouver des traces mais bon, le pirate n’en est certainement pas à son premier coup, il est donc difficile de remonter jusqu’à lui. Et pour demander l’aide de l’ANSI, rien de plus simple puisqu’il suffit d’envoyer un message électronique à : incident@ansi.tn.

Un dernier conseil, ayez toujours des anti virus à jour et téléchargez les derniers patchs des logiciels que vous utilisez, on n’est jamais à l’abris d’une attaque, je suis bien placé pour le savoir.


Bonne année 2007

PS: pour voir l'image d'un site détruit suite à une attaque pîrate, cliquer sur le lien suivant: http://img323.imageshack.us/img323/9226/alb8.jpg

 

Aucun commentaire: