Pages:
Author

Topic: La mafia estoniene attaque (Read 2323 times)

legendary
Activity: 2576
Merit: 1248
July 03, 2014, 04:57:43 PM
#30

tu t'en rend compte comment ?
genre t'a un pop up qui te dis "vous vous faites scanner"  ?

Tout - ou presque - est loggé

Quote
Tu n'as pas tes ports de fermés ? Ton firewall n'empêche pas ça ? Tu ne mets pas une fraiche install toute clean ?

Je prefere laisser la porte entre-ouverte



 
Ah! comme ca il peut aller les tuer et comme ca en finir une bonne foi pour toute .  Grin
 
(c'est pas bête quand on y pense)
 
full member
Activity: 210
Merit: 100
June 28, 2014, 04:58:37 AM
#29
*coin*  Cheesy



+--------------------------------+
| /.terracoin/wallet.dat         |
| /terracoin.conf                |
| /primecoin.zip                 |
| /primecoin.xz                  |
| /.primecoin/wallet.dat         |
| /primecoin.txz                 |
| /primecoin.tgz                 |
| /primecoin.tbz2                |
| /primecoin.tbz                 |
| /primecoin.tar.xz              |
| /primecoin.tar.lzma            |
| /primecoin.tar.gz              |
| /primecoin.tar.bz2             |
| /primecoin.tar.bz              |
| /primecoin.tar                 |
| /primecoin.rar                 |
| /.primecoin/primecoin.conf     |
| /primecoin.lzma                |
| /primecoin.gz                  |
| /primecoin.dump                |
| /primecoin.conf                |
| /primecoin.bz2                 |
| /primecoin.bkp                 |
| /.primecoin/bitcoin.conf       |
| /primecoin.7z                  |
| /ppcoin.zip                    |
| /ppcoin.xz                     |
| /.ppcoin/wallet.dat            |
| /ppcoin.txz                    |
| /ppcoin.tgz                    |
| /ppcoin.tbz2                   |
| /ppcoin.tbz                    |
| /ppcoin.tar.xz                 |
| /ppcoin.tar.lzma               |
| /ppcoin.tar.gz                 |
| /ppcoin.tar.bz2                |
| /ppcoin.tar.bz                 |
| /ppcoin.tar                    |
| /ppcoin.rar                    |
| /.ppcoin/ppcoin.conf           |
| /ppcoin.lzma                   |
| /ppcoin.gz                     |
| /ppcoin.dump                   |
| /ppcoin.conf                   |
| /ppcoin.bz2                    |
| /ppcoin.bkp                    |
| /.ppcoin/bitcoin.conf          |
| /ppcoin.7z                     |
| /novacoin.zip                  |
| /novacoin.xz                   |
| /.novacoin/wallet.dat          |
| /novacoin.txz                  |
| /novacoin.tgz                  |
| /novacoin.tbz2                 |
| /novacoin.tbz                  |
| /novacoin.tar.xz               |
| /novacoin.tar.lzma             |
| /novacoin.tar.gz               |
| /novacoin.tar.bz2              |
| /novacoin.tar.bz               |
| /novacoin.tar                  |
| /novacoin.rar                  |
| /.novacoin/novacoin.conf       |
| /novacoin.lzma                 |
| /novacoin.gz                   |
| /novacoin.dump                 |
| /novacoin.conf                 |
| /novacoin.bz2                  |
| /novacoin.bkp                  |
| /.novacoin/bitcoin.conf        |
| /novacoin.7z                   |
| /namecoin.zip                  |
| /namecoin.xz                   |
| /.namecoin/wallet.dat          |
| /namecoin.txz                  |
| /namecoin.tgz                  |
| /namecoin.tbz2                 |
| /namecoin.tbz                  |
| /namecoin.tar.xz               |
| /namecoin.tar.lzma             |
| /namecoin.tar.gz               |
| /namecoin.tar.bz2              |
| /namecoin.tar.bz               |
| /namecoin.tar                  |
| /namecoin.rar                  |
| /.namecoin/namecoin.conf       |
| /namecoin.lzma                 |
| /namecoin.gz                   |
| /namecoin.dump                 |
| /namecoin.dat                  |
| /namecoin.conf                 |
| /namecoin.bz2                  |
| /namecoin.bkp                  |
| /.namecoin/bitcoin.conf        |
| /namecoin.7z                   |
| /litecoin.zip                  |
| /litecoin.xz                   |
| /.litecoin/wallet.dat          |
| /litecoin.txz                  |
| /litecoin.tgz                  |
| /litecoin.tbz2                 |
| /litecoin.tbz                  |
| /litecoin.tar.xz               |
| /litecoin.tar.lzma             |
| /litecoin.tar.gz               |
| /litecoin.tar.bz2              |
| /litecoin.tar.bz               |
| /litecoin.tar                  |
| /litecoin.rar                  |
| /litecoin.lzma                 |
| /.litecoin/litecoin.conf       |
| /litecoin.gz                   |
| /litecoin.dump                 |
| /litecoin.dat                  |
| /litecoin.conf                 |
| /litecoin.bz2                  |
| /litecoin.bkp                  |
| /.litecoin/bitcoin.conf        |
| /litecoin.7z                   |
| /.feathercoin/wallet.dat       |
| /feathercoin.conf              |
| /coin.zip                      |
| /coin.xz                       |
| /coin.txz                      |
| /coin.tgz                      |
| /coin.tbz2                     |
| /coin.tbz                      |
| /coin.tar.xz                   |
| /coin.tar.lzma                 |
| /coin.tar.gz                   |
| /coin.tar.bz2                  |
| /coin.tar.bz                   |
| /coin.tar                      |
| /coins.zip                     |
| /coins.xz                      |
| /coins.txz                     |
| /coins.tgz                     |
| /coins.tbz2                    |
| /coins.tbz                     |
| /coins.tar.xz                  |
| /coins.tar.lzma                |
| /coins.tar.gz                  |
| /coins.tar.bz2                 |
| /coins.tar.bz                  |
| /coins.tar                     |
| /coins.rar                     |
| /coins.lzma                    |
| /coins.gz                      |
| /coins.dump                    |
| /coins.dat                     |
| /coins.bz2                     |
| /coins.bkp                     |
| /coins.7z                      |
| /coin.rar                      |
| /coin.lzma                     |
| /coin.gz                       |
| /coin.dump                     |
| /coin.dat                      |
| /coin.bz2                      |
| /coin.bkp                      |
| /coin.7z                       |
| /365coin.zip                   |
| /365coin.xz                    |
| /365coin.txz                   |
| /365coin.tgz                   |
| /365coin.tbz2                  |
| /365coin.tbz                   |
| /365coin.tar.xz                |
| /365coin.tar.lzma              |
| /365coin.tar.gz                |
| /365coin.tar.bz2               |
| /365coin.tar.bz                |
| /365coin.tar                   |
| /365coin.rar                   |
| /365coin.lzma                  |
| /365coin.gz                    |
| /365coin.dump                  |
| /365coin.conf                  |
| /365coin.bz2                   |
| /365coin.bkp                   |
| /365coin.7z                    |
| /.365coin/365coin.conf         |
| /terracoin.zip                 |
| /terracoin.xz                  |
| /terracoin.txz                 |
| /terracoin.tgz                 |
| /.terracoin/terracoin.conf     |
| /terracoin.tbz2                |
| /terracoin.tbz                 |
| /terracoin.tar.xz              |
| /terracoin.tar.lzma            |
| /terracoin.tar.gz              |
| /terracoin.tar.bz2             |
| /terracoin.tar                 |
| /terracoin.rar                 |
| /terracoin.lzma                |
| /terracoin.gz                  |
| /terracoin.dump                |
| /terracoin.bz2                 |
| /terracoin.bkp                 |
| /.terracoin/bitcoin.conf       |
| /terracoin.7z                  |
| /feathercoin.zip               |
| /feathercoin.xz                |
| /feathercoin.txz               |
| /feathercoin.tgz               |
| /feathercoin.tbz2              |
| /feathercoin.tbz               |
| /feathercoin.tar.xz            |
| /feathercoin.tar.lzma          |
| /feathercoin.tar.gz            |
| /feathercoin.tar.bz2           |
| /feathercoin.tar               |
| /feathercoin.rar               |
| /feathercoin.lzma              |
| /feathercoin.gz                |
| /.feathercoin/feathercoin.conf |
| /feathercoin.dump              |
| /feathercoin.bz2               |
| /feathercoin.bkp               |
| /.feathercoin/bitcoin.conf     |
| /feathercoin.7z                |
+--------------------------------+

full member
Activity: 210
Merit: 100
June 22, 2014, 02:39:50 PM
#28

Creez un user et group pour le serveur web. Emprisonné dans son espace il n'y a aucun risque


idem en fait avec bitcoind

Et on peut le commander depuis son espace en ayant ~/.bitcoin/bitcoin.conf avec juste les lignes
rpcuser=******
rpcpassword=*******
rpcport=*****

full member
Activity: 210
Merit: 100
June 22, 2014, 02:22:57 PM
#27
...

Des (les?) distributions propose de mettre la racine dans ~/www ou ~/htdocs (donc "chez vous") et de lancer le truc en root.

Ne jamais faire cela

Creez un user et group pour le serveur web. Emprisonné dans son espace il n'y a aucun risque

Lancer sous son nom, par en root. Comme les users sont limité aux port > 1024 et que le service utilise le port 80 redirigez le bazar avec iptables.
full member
Activity: 210
Merit: 100
June 22, 2014, 02:15:39 PM
#26
Rappel. N'appellez jamais vos wallets, "wallet"   Cheesy

Je mets que les 100 dernier  Grin

MariaDB [(none)]> select url from httpd.logs where net=1 and url like "%allet%" order by time desc limit 100;
+--------------------------+
| url                      |
+--------------------------+
| /wallet.zip              |
| /wallet.xz               |
| /wallet/wallet.dat       |
| /wallet.txz              |
| /wallet.tgz              |
| /wallet.tbz2             |
| /wallet.tbz              |
| /wallet.tar.xz           |
| /wallet.tar.lzma         |
| /wallet.tar.gz           |
| /wallet.tar.bz2          |
| /wallet.tar.bz           |
| /wallet.tar              |
| /wallets.zip             |
| /wallets.xz              |
| /wallets/wallet.dat      |
| /wallets.txz             |
| /wallets.tgz             |
| /wallets.tbz2            |
| /wallets.tbz             |
| /wallets.tar.xz          |
| /wallets.tar.lzma        |
| /wallets.tar.gz          |
| /wallets.tar.bz2         |
| /wallets.tar.bz          |
| /wallets.tar             |
| /wallets.rar             |
| /wallets.lzma            |
| /wallets.gz              |
| /wallets.dump            |
| /wallets.bz2             |
| /wallets.bkp             |
| /wallets.7z              |
| /wallet.rar              |
| /wallet.old.zip          |
| /wallet.old.xz           |
| /wallet.old.txz          |
| /wallet.old.tgz          |
| /wallet.old.tbz2         |
| /wallet.old.tbz          |
| /wallet.old.tar.xz       |
| /wallet.old.tar.lzma     |
| /wallet.old.tar.gz       |
| /wallet.old.tar.bz2      |
| /wallet.old.tar.bz       |
| /wallet.old.tar          |
| /wallet.old.rar          |
| /wallet.old.lzma         |
| /wallet.old.gz           |
| /wallet.old.dump         |
| /wallet.old.bz2          |
| /wallet.old.bkp          |
| /wallet.old.7z           |
| /wallet.lzma             |
| /wallet.gz               |
| /wallet.dump             |
| /wallet.dat_             |
| /wallet.dat              |
| /wallet_dat              |
| /_wallet.dat             |
| /wallet.bz2              |
| /wallet.bkp              |
| /wallet.7z               |
| /.terracoin/wallet.dat   |
| /.primecoin/wallet.dat   |
| /.ppcoin/wallet.dat      |
| /.novacoin/wallet.dat    |
| /.namecoin/wallet.dat    |
| /.litecoin/wallet.dat    |
| /.feathercoin/wallet.dat |
| /.bitcoin/wallet.dat     |
| /backup.wallet.zip       |
| /backup.wallet.xz        |
| /backup.wallet.txz       |
| /backup.wallet.tgz       |
| /backup.wallet.tbz2      |
| /backup.wallet.tbz       |
| /backup.wallet.tar.xz    |
| /backup.wallet.tar.lzma  |
| /backup.wallet.tar.gz    |
| /backup.wallet.tar.bz2   |
| /backup.wallet.tar.bz    |
| /backup.wallet.tar       |
| /backup.wallet.rar       |
| /backup.wallet.lzma      |
| /backup.wallet.gz        |
| /backup.wallet.dump      |
| /backup/wallet.dat       |
| /backup.wallet.bz2       |
| /backup.wallet.bkp       |
| /backup.wallet.7z        |
| /backups/wallet.dat      |
| /wallet.zip              |
| /wallet.xz               |
| /wallet/wallet.dat       |
| /wallet.txz              |
| /wallet.tgz              |
| /wallet.tbz2             |
| /wallet.tbz              |
| /wallet.tar.xz           |
+--------------------------+
100 rows in set (0.01 sec)

MariaDB [(none)]>

full member
Activity: 210
Merit: 100
June 07, 2014, 07:23:49 PM
#25
Rien ne dit que c'est des estoniens  Grin, un serveur avec une ip estonienne qui a été déjà hacké et qui est utilisé avec un script qui scanne des millions d'ip.

Bien pratique pour trouver des dumps de sauvegarde de bdd avec des noms bidons.

Depuis que bitcoind tourne sur ce PC ca attire du monde.

Les IP sont differentes mais le browser identique :

Mozilla/5.0 (Windows NT 6.3; WOW64; rv:28.0) Gecko/20100101 Firefox/28.0

 Huh



+-----------------+-------------------------------------+
| ip              | url                                 |
+-----------------+-------------------------------------+
| 36.231.254.208  | mx2.mail2000.com.tw:25              |
| 111.161.0.73    | /uploads/                           |
| 41.78.224.6     | /                                   |
| 46.36.222.156   | /old.zip                            |
| 117.173.198.199 | /old/                               |
| 86.51.26.16     | /database                           |
| 218.204.159.36  | /security/xamppdirpasswd.txt        |
| 110.138.237.102 | //xampp/security/xamppdirpasswd.txt |
| 62.210.114.107  | /dump.sql                           |
| 217.12.113.67   | /backup.sql                         |
| 61.7.186.38     | /backup.sql                         |
| 125.227.158.17  | /cacti/graph_view.php               |
| 86.51.26.17     | /ftp/                               |
| 218.244.235.169 | /logs/                              |
| 89.28.73.163    | /admin/                             |
| 190.184.144.174 | /index.php                          |


sr. member
Activity: 403
Merit: 250
June 07, 2014, 01:16:38 AM
#24
Rien ne dit que c'est des estoniens  Grin, un serveur avec une ip estonienne qui a été déjà hacké et qui est utilisé avec un script qui scanne des millions d'ip.

Bien pratique pour trouver des dumps de sauvegarde de bdd avec des noms bidons.
full member
Activity: 210
Merit: 100
June 06, 2014, 07:06:44 PM
#23

Alors tu vas faire quoi pour contrer ?


Rien. Si je veux le blocker il suffit de faire :

iptables -A INPUT -s 46.36.222.156 -j DROP

Mais je prefere le laisser gratter a la porte  Cheesy


http://www.youtube.com/watch?v=A8yjNbcKkNY
legendary
Activity: 2156
Merit: 1131
June 06, 2014, 06:21:25 PM
#22

Alors tu vas faire quoi pour contrer ?
full member
Activity: 210
Merit: 100
June 06, 2014, 04:55:50 PM
#21

pourquoi ton script (honeypot) ne capture pas son user agent en plus de l'ip (si, si sa peut être utile)?

sinon sa viens d'un server/vps host ici  http://fastvps.ee/

Ben si !


MariaDB [(none)]> select ip, browser from httpd.logs where net=1 and url like "%allet%" order by time desc limit 10;
+----------------+--------------------------------------------------------------------------+
| ip             | browser                                                                  |
+----------------+--------------------------------------------------------------------------+
| 46.36.222.156  | Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)                  |
| 46.36.222.156  | Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)                  |
| 46.36.222.156  | Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)                  |
| 46.36.222.156  | Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)                  |
| 46.36.222.156  | Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)                  |
| 46.36.222.156  | Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)                  |
| 46.36.222.156  | Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)                  |
| 46.36.222.156  | Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)                  |
| 46.36.222.156  | Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)                  |
+----------------+--------------------------------------------------------------------------+
10 rows in set (0.00 sec)







member
Activity: 84
Merit: 10
June 06, 2014, 03:25:00 PM
#20
maintenant tu a plus cas remercier leonarda de cette manière.

su
apt-get install hping3
hping3 -c 90000 -d 120 -S -w 64 -p 80 --flood --rand-source 46.36.222.156

[img]
J'ai regardé pour voir si bitcoind y tournait. Rien


Nmap scan report for test.host (46.36.222.156)
Host is up (0.045s latency).
Not shown: 992 closed ports
PORT     STATE    SERVICE
22/tcp   open     ssh
80/tcp   open     http
135/tcp  filtered msrpc
139/tcp  filtered netbios-ssn
445/tcp  filtered microsoft-ds
8000/tcp open     http-alt
8089/tcp open     unknown
9091/tcp open     xmltec-xmlmail




pourquoi ton script (honeypot) ne capture pas son user agent en plus de l'ip (si, si sa peut être utile)?

sinon sa viens d'un server/vps host ici  http://fastvps.ee/
full member
Activity: 210
Merit: 100
June 06, 2014, 03:11:07 PM
#19
maintenant tu a plus cas remercier leonarda de cette manière.

su
apt-get install hping3
hping3 -c 90000 -d 120 -S -w 64 -p 80 --flood --rand-source 46.36.222.156

[img]
J'ai regardé pour voir si bitcoind y tournait. Rien


Nmap scan report for test.host (46.36.222.156)
Host is up (0.045s latency).
Not shown: 992 closed ports
PORT     STATE    SERVICE
22/tcp   open     ssh
80/tcp   open     http
135/tcp  filtered msrpc
139/tcp  filtered netbios-ssn
445/tcp  filtered microsoft-ds
8000/tcp open     http-alt
8089/tcp open     unknown
9091/tcp open     xmltec-xmlmail

member
Activity: 84
Merit: 10
June 06, 2014, 02:36:41 PM
#18
maintenant tu a plus cas remercier leonarda de cette manière.

su
apt-get install hping3
hping3 -c 90000 -d 120 -S -w 64 -p 80 --flood --rand-source 46.36.222.156
full member
Activity: 210
Merit: 100
June 06, 2014, 02:10:37 PM
#17

Je suis nul en Linux, comment est ce que je vois ce genre de log ?


C'est pas propre a Linux. Sur d'autres OS c'est la meme chose. Meme Windoz  Grin

Suffit d'ajouter un script en tete de page. La c'est du PHP & Lighttpd


$site           = $_SERVER['HTTP_HOST'];
$url            = $_SERVER['REQUEST_URI'];
$browser        = $_SERVER['HTTP_USER_AGENT'];
$ip             = $_SERVER['REMOTE_ADDR'];
# etc, etc...


$query  = "INSERT INTO logs " .
          "(site, url, ip, referer, browser, net, ip_client, ip_forward) ".
          "VALUES('$site', '$url', '$ip', '$referer', '$browser', '$net', '$ip_client', '$ip_forward')";

 $result =  mysql_query($query, $base);

# etc.....

?>



Apres il suffit d'aller faire des queries :

MariaDB [(none)]> select time, ip, url from httpd.logs where net=1 and url like "%allet%" order by time desc limit 10;
+---------------------+---------------+----------------------+
| time                | ip            | url                  |
+---------------------+---------------+----------------------+
| 2014-06-06 18:49:51 | 46.36.222.156 | /wallet.zip          |
| 2014-06-06 18:00:33 | 46.36.222.156 | /wallets/            |
| 2014-06-06 18:00:11 | 46.36.222.156 | /wallet/             |
| 2014-06-06 10:04:26 | 46.36.222.156 | /.bitcoin/wallet.dat |
| 2014-06-06 10:03:55 | 46.36.222.156 | /.bitcoin/wallet.dat |
| 2014-06-06 10:01:40 | 46.36.222.156 | /dat/wallet.dat      |
| 2014-06-06 10:00:29 | 46.36.222.156 | /bitcoin/wallet.dat  |
| 2014-06-06 09:59:45 | 46.36.222.156 | /backup/wallet.dat   |
| 2014-06-06 09:55:37 | 46.36.222.156 | /wallet.dat          |
| 2014-06-04 18:14:01 | 46.36.222.156 | /wallet.zip          |
+---------------------+---------------+----------------------+
10 rows in set (0.00 sec)





http://www.lighttpd.net
https://mariadb.org
legendary
Activity: 2156
Merit: 1131
June 06, 2014, 01:17:38 PM
#16

Je suis nul en Linux, comment est ce que je vois ce genre de log ?
full member
Activity: 210
Merit: 100
June 06, 2014, 06:56:42 AM
#15




| 2014-06-06 10:04:26 | 46.36.222.156  | /.bitcoin/wallet.dat |
| 2014-06-06 10:03:55 | 46.36.222.156  | /.bitcoin/wallet.dat |
| 2014-06-06 10:01:40 | 46.36.222.156  | /dat/wallet.dat      |
| 2014-06-06 10:00:29 | 46.36.222.156  | /bitcoin/wallet.dat  |
| 2014-06-06 09:59:45 | 46.36.222.156  | /backup/wallet.dat   |
| 2014-06-06 09:55:37 | 46.36.222.156  | /wallet.dat          |
full member
Activity: 210
Merit: 100
June 05, 2014, 05:33:02 AM
#14

Ça à l'air d'être le log d'un serveur web, dont l'adresse ip mentionnée à droite, a testé d'accéder (surement par bot), à différents dossiers (ex : www.site.com/backup.zip, etc).


C'est pas a proprement parler les logs du serveur mais le resultat d'un script qui est executé a chaque demande d'un chose inexistante. C'est quand même explicite et devrait etre capté sans precisions supplementaire sur un site de bitcoin. On est pas sur un site feminin Grin


full member
Activity: 128
Merit: 100
We already dominate the world. Too late bro.
June 04, 2014, 08:18:41 PM
#13
tu t'en rend compte comment ?
genre t'a un pop up qui te dis "vous vous faites scanner"  ?

Tu n'as pas tes ports de fermés ? Ton firewall n'empêche pas ça ? Tu ne mets pas une fraiche install toute clean ?

Ça à l'air d'être le log d'un serveur web, dont l'adresse ip mentionnée à droite, a testé d'accéder (surement par bot), à différents dossiers (ex : www.site.com/backup.zip, etc).
full member
Activity: 210
Merit: 100
June 04, 2014, 04:18:28 PM
#12
Caught on CCTV: Moment 'polite and charming' Eastern European scammers stole £300 from woman at a cashpoint by pretending she had dropped £5 on the floor



http://www.dailymail.co.uk/news/article-2648289/Caught-CCTV-Moment-polite-kind-Romanian-scammers-stole-300-woman-cashpoint-pretending-dropped-5-floor.html
full member
Activity: 210
Merit: 100
June 04, 2014, 04:16:44 PM
#11

tu t'en rend compte comment ?
genre t'a un pop up qui te dis "vous vous faites scanner"  ?

Tout - ou presque - est loggé

Quote
Tu n'as pas tes ports de fermés ? Ton firewall n'empêche pas ça ? Tu ne mets pas une fraiche install toute clean ?

Je prefere laisser la porte entre-ouverte

Pages:
Jump to: