| « Catastrophisme | La saga de l'été » |
Hacker vaillant
Le billet de ce jour attendra. Une urgence, j'ai un coup de gueule à lancer.
Ce matin, mon serveur était en drapeau. Pas planté, non, il fonctionnait juste à la vitesse d'un escargot arthritique avec une charge de plus de 75 ! Je veux bien croire qu'il n'est pas exactement ce qu'il est convenu d'appeler un foudre de guerre, mais tout de même, une charge de plus de 75 durant plusieurs heures pour une machine à deux voies sans la faire planter est un gage de stabilité du système. Il faut dire que je ne fais pas vraiment dans le bricolage :
$ show system/full
OpenVMS V8.3 on node DIRAC 10-AUG-2010 10:17:10.33 Uptime 281 07:52:21
Un sinistre individu que je qualifierais sans problème ni remords de sinistre imbécile s'est permis de lancer un « deny of service » sur les deux liens redondants connectant ce serveur au réseau internet. Ce type est un lecteur régulier des papiers présents sur ce site et ce n'est pas en réagissant ainsi qu'il m'empêchera de grincher.
Vous me demanderez certainement comment je puis affirmer qu'il est un lecteur régulier de ce blog. C'est très simple, ce serveur n'est pas un serveur hébergé quelque part sur la toile, c'est un serveur qui est chez moi. J'ai donc accès à tous les fichiers journaux et je connais d'adresse IP du responsable qui n'a même pas pris la peine de se cacher derrière une adresse IP dynamique ou un proxy quelconque. J'ai autre chose à faire aujourd'hui que de croiser les données pour trouver son identité, je le laisse avec sa conscience, mais au prochain DOS, je sévirai. Il paraît que la riposte graduée est à la mode !
Pour t'aider dans tes recherches, toi, petit minable d'internet, je vais te fournir de précieuses informations qui t'éviteront de perdre ton temps en vaines attaques. Le serveur en question est un AlphaServer 1200 avec deux processeurs Alpha ev56/533 MHz, 2 Go de mémoire et un ensemble de disques en plusieurs volumes Raid (neuf disques U320 SCSI). Son système d'exploitation est un OpenVMS 8.3 des familles à jour de ses patches de sécurité et muni d'un serveur WASD, un petit serveur web sans prétention dont Apache2 n'arrive même pas à la cheville — sous VMS, on peut programmer des interruptions qui sont largement plus efficaces que des threads. Il ne se présente comme un Apache tournant sous Linux que pour tromper l'ennemi et force est de constater que cela ne fonctionne pas si mal que ça puisque tu es tombé dans le panneau. Pour ton information aussi, ce serveur est derrière une passerelle qui, elle, fonctionne sous Debian/Sparc et fait tourner un « honey pot » ainsi qu'un système de banissement des adresses IP en fonction de leur activité légitime ou non. Le réseau en question est donc un peu plus compliqué et sécurisé que tu n'arrives à l'imaginer.
Lorsque tu essaieras la prochaine fois d'utiliser une faille d'Apache pour effectuer une injection de code, je te conseillerai d'injecter du code pour processeur Alpha, ce sera beaucoup plus efficace qu'une injection de code pour processeur i80386 comme celle que tu as essayée d'utiliser toute la nuit. Mais il faudra aussi que tu trouves une faille dans WASD et OpenVMS 8.3, ce qui est déjà une autre histoire.
Petit pirate deviendra — peut-être — grand. En attendant, je ne te salue pas.
2 commentaires
Et c’est pour quand une petite analyse technique de cette attaque ?-)
Là, tout de suite, je n’ai pas le temps d’autant qu’elle n’a pas abouti. J’ai tout de même archivé les fichiers journaux, on ne sait jamais.
Je n’ai pas le temps parce que j’ai un truc beaucoup plus grave à traiter avec le semget(IPC_PRIVATE, 1, IPC_CREAT | IPC_EXCL | SEM_R | SEM_A) de la klibc d’eComStation 2.0 qui me renvoie toujours une erreur aberrante : erreur 28, ‘disk full’.
