Alienwar. Nuked-Klan. Une grande histoire d'amour qui dure depuis longtemps ! Je dois avouer que dans le staff de Nuked-Klan on a caché certaines choses à la communauté pendant très longtemps. Sûrement parce que finalement nous sommes un peu responsable de la naissance de ce pirate. C'est parce qu'on a quelque chose à se reprocher que nous n'avons jamais avoué publiquement tout ce que nous savions à propos d'Alienwar.
Alienwar, les débuts
Nous sommes tous d'accord que les versions antérieur à la 1.7.9 de Nuked-Klan étaient un peu prise en proie aux injections. Encore elles n'étaient pas faciles à trouver et elles étaient dues à une erreur de programmation qui a été corrigé depuis. Mais rien ne permettait l'upload de fichier et le piratage était limité aux sites Nuked-Klan seulement.
A l'époque, au tout début, Alienwar était l'administrateur du site origine-hacking.com, et n'avait pas spécialement de mauvaises relations avec l'équipe officiel de Nuked-Klan. Il avait même failli rentrer dans l'équipe officielle de Nuked-Klan. Fce lui avait demandé de faire une version sécurisé de Nuked-Klan comme "test" d'entrée. La version proposé avait été refusé parce qu'elle serait mal codé / comportait des virus.
Mais voilà, Fce, l'un des administrateurs clé de Nuked-Klan s'était inscrit sur le site d'Alienwar avec le même mot de passe que sur le site officiel et sur sa messagerie. Les gros problèmes ont commencé à partir de ce moment là puisque Alienwar avait toutes les "clés" de NK et pouvait donc tout faire. Nous sommes du coup responsable de ce qu'est devenu Alienwar et c'est la raison pour laquelle nous n'avions jamais rien révélé à la communauté.
Alienwar, le piratage facile
L'une des premières choses effectués était bien sûr de modifier l'archive de NK en téléchargement sur le site officiel pour modifier le script d'installation et ajouter le fichier turkish.lang.php. Il faut savoir que NK fait 12Mo en zip et que l'upload sur le site officiel était limité à 2Mo. C'était physiquement impossible de modifier l'archive de NK via un script PHP, que se soit par une faille d'upload ou même par le panneau d'administration. Avec la version pirate, lors de l'installation de NK, le nom d'utilisateur et le mot de passe du fondateur du site étaient automatiquement envoyés par email à Alienwar, avec l'url du site dont il venait de gagner les accès. Et bien sûr le fichier turkish permettait d'uploader un script PHP pour faire ce que l'on veut avec le site.
Autrement dit n'importe qui aurait pu pirater un site avec des tels failles. Quand il arrivait sur un site, il avait déjà l'email du fondateur, son login, son mot de passe et un moyen d'uploader des fichiers PHP sur le FTP sans avoir à faire quoi que se soit de particulier. Le plus souvent le script uploadé était un script de shell qui récupérait les logins MySQL pour dumper la base de donnée. J'ai une copie du fameux shell si ça intéresse quelqu'un.
L'envoi du login / password du fondateur à Alienwar avait été trouvé par le staff de nkDeus. Vous pouvez les remercier pour ça. Quand au fichier turkish c'est moi même qui l'ai trouvé a mon arrivé dans le staff de Nuked-Klan. J'avais aussi identifié l'utilisation du FTP pour le piratage puisqu'il était impossible de changer l'archive officiel via un script PHP. Ca nous avait d'ailleurs posé des problèmes pour corriger l'archive puisque peu de membres du staff avait l'accès au FTP du site.
Nous étions encore sur l'ancien serveur et malheureusement nous n'avions pas tous les mots de passes. Les anciens administrateurs de Nuked-Klan étaient partis avec leur petits secrets. Nous ne pouvions donc pas changer le mot de passe du FTP, et nous étions contraint de continuer en sachant pertinemment que nous ne pouvions rien faire contre Alienwar. C'est la raison pour laquelle nous avons essayé de changer assez rapidement de serveur. En attendant le changement de serveur nous avions mis toutes les archives de NK sur le site d'evolution times pour éviter qu'elles soient de nouveau modifiés. Et oui c'était ça la réelle raison pour laquelle les archives de NK n'étaient plus sur le site officiel.
Alienwar, un annuaire ambulant
Je voulais bien croire le piratage des sites NK, mais je me demandais encore comment un pirate qui était obligé de s'envoyer les mots de passes des admins par email pouvait réussir à pirater des sites autre que NK. C'est alors que j'ai pensé à la base de donnée des utilisateurs. Bien évidemment je connaissais la vulnérabilité du MD5. C'est d'ailleurs parce que je connaissais sa vulnérabilité que sur la 1.7.9 le hashage des mots de passe se fait d'une toute autre façon. Alors j'ai voulu faire le test.
Le test était tout con. On prend un site (mon ancien blog que je n'utilisais plus). On choisit un mot de passe assez difficile tout en étant alphanumérique pour qu'il soit trouvable facilement par rambow table, on met ce mot de passe sur le FTP et MySQL du site ainsi que sur le site officiel de Nuked-Klan et on attends. Sur le blog il n'y avait aucun moyen d'uploader un fichier, il n'y avait aucun script d'upload. Sans upload, pas de shell, pas de login FTP / MySQL. Si notre pirate réussi à mettre un fichier sur ce site, alors il a réussi à avoir le mot de passe FTP. Là, le seul endroit où l'on trouve ce mot de passe est sur la base de donnée de Nuked-Klan, crypté en MD5.
J'ai fait ce test. J'ai choisi un mot de passe, je l'ai mis sur mon compte utilisateur sur Nuked-Klan et sur mon FTP. Ca a mis cinq mois avant de mordre à l’hameçon (j'avais fait le changement de mot de passe en novembre et le site a été piraté en mars), mais ça n'a pas loupé. Ce qui veut dire qu'Alienwar avait récupéré la base de donnée des utilisateurs sur Nuked-Klan et qu'il avait utilisé une rambow table pour avoir les mots de passe des utilisateurs. Il ne restait plus qu'à tester ces mots de passes récupéré sur les boites emails, les comptes sur les autres sites et les les FTP. Quand ça passait, ça permettait de pirater un site non NK. Le piratage de ces sites permettait sûrement de récupérer des nouveaux utilisateurs et compléter "l'annuaire des webmasters". Actuellement Alienwar pourrait bien avoir plus de 80.000 mots de passes.
La nouvelle méthode de cryptage des mots de passes empêche l'utilisation des rambow tables. Les bases de données des utilisateurs récupéré sur des NK 1.7.9 sont donc inexploitables. Mais comme nous savions qu'Alienwar avait tout les mots de passes de nos membres il fallait bien réagir. C'est pour cette raison que nous avons obligé tous les utilisateurs à changer de mot de passe à un moment.
Le dernier piratage du site officiel ?
Comme vous le savez Nuked-Klan s'est encore fait piraté. jeudi dernier. Les logs ont révélé que Alienwar avait crée un compte FTP pour mettre son petit shell habituel. Le seul moyen de créer un compte FTP est le panel Omega (le panneau de gestion de notre hébergement). Comme ce panel a le bannissement facile (banni 30 seconde dès la première erreur de mot de passe, 30mins à la seconde), c'est totalement impossible de faire un brute force dessus. Et sur le net le seul endroit où ce mot de passe était stocké est encore une fois la boite mail de Fce.
Comment ça se fait qu'il y ait toujours accès ? La première fois le mot de passe de la messagerie de Fce avait été récupéré quand Fce s'était inscrit sur le site d'Alienwar, la seconde fois sur le site de Nuked-Klan directement, de la même façon que pour récupérer le mien. Après avoir eu Fce au téléphone, il m'a avoué qu'il avait oublié de changer le mot de passe de sa messagerie quand nous avions vu qu'Alienwar exploitait les bases de données des utilisateurs. Et Fce avait mis le même mot de passe sur sa messagerie que sur le site officiel.
Maintenant tous les accès de Fce ont été révoqué donc il ne devrait plus y avoir de soucis de ce côté. Fce a aussi changé de messagerie où conserver ses mots de passes, et sur sa nouvelle messagerie il faut un token envoyé par SMS pour s'y connecter.
Alienwar continuera-t-il ?
Alienwar continuera sûrement sur sa lancé de piratage. Et vu la base de donnée de mot de passe qu'il doit avoir aujourd'hui, autant dire que même sans avoir ses petits accès sur le site officiel il est tranquille pendant un bon moment et va sûrement pouvoir pirater encore pas mal de sites.
Au moins sur le site officiel je pense qu'à peu prêt tout à été mis en place contre le piratage. Bien sûr un système n'est jamais fiable à 100%. Reste plus qu'au staff d'être plus soigneux avec ses mots de passes ;).
Quel est le but d'Alienwar ?
On est un peu chanceux, jeudi après son petit piratage nous avons pu parler avec Alienwar sur TeamSpeak. Le staff de Nuked-Klan lui a posé la question du but que recherchait Alienwar en piratant les sites Nuked-Klan. La petite "interview" a été enregistré par Alpha.
Jeudi dernier Alienwar nous a révélé son but. Il essaye de "lever une armée de zombi", c'est-à-dire d'implanter un virus sur le maximum de machines qui obéira à Alienwar pour faire une attaque groupé sur un système afin de le surcharger et le ralentir voir couper le système ciblé. C'est une attaque appelé DDoS, distributed denial of service. Alienwar s'était d'ailleurs vanté d'avoir une puissance d'attaque de 1To/s.
Qu'est-ce que cette attaque apporte au pirate ? Alors j'ai trouvé le "but" de cette attaque sur Wikipedia sur la page des DoS en vérifiant l'appellation de zombi pour les programmes esclaves (oui parce que Alienwar avait réussi à me faire douté de ma culture informatique jeudi dernier en me disant que les programmes esclaves n'étaient pas appelé des zombis). D'après Wikipedia le déni de service est utilisé soit par les pirates qui n'arrivent pas à faire un ip spoofing, soit pour faire du chantage, soit par vengeance. Autrement dit c'est l'attaque de dernier recours d'un pirate qui n'arrive pas à s'introduire dans un système et passe leur frustration en bloquant entièrement un système.
D'ailleurs les possibilités de DDoS d'Alienwar sont assez limités (je suis déjà tombé sur un de ses scripts esclave). Le déni de service s'effectue en tentant une surcharge du protocole HTTP. Autant dire que seul des serveurs peuvent être attaqué, et c'est l'attaque la plus inoffensive qui peut être faite via un DDoS. Ce genre d'attaque en DoS n'a aucune chance de bloquer un système. Personnellement je connais d'autres méthodes de DoS qui grilles les composants réseaux. Déjà rien qu'en DoS ça fait mal donc que vous laisse imaginer ma méthode en DDoS. J'ai un ami dans mon école d'ingénieur qui a un serveur minecraft et qui m'a dit que son hébergeur n'arrêtait pas de changer ses switchs parce qu'ils étaient à chaque fois grillé par un DDoS comme on les fait de nos jours. Son hébergeur menaçait ses clients de rompre le contrat avec tous les clients visés par les attaques xD.
Compétences alienwar
Bon j'ai peut-être l'habitude de ne voir que les incompétences de quelqu'un... Je ne pense pas que Alienwar est aussi compétent en informatique qu'il prétend l'être. Surtout après l'avoir écouté jeudi dernier.
Alors pour commencé il y a l'histoire des zombis qu'il paraîtrait que se sont des virus "pré-boot" d'après lui, et non les esclaves dans un DDoS. Il faut savoir qu'avant le boot sur un PC, c'est le BIOS. A l'époque c'est vrai qu'il y avait des virus sur les BIOS. On pouvait réécrire un BIOS via une application donc les pirates se faisaient plaisir. Mais cette méthode de piratage n'existe plus depuis 2002. Les fabricants de carte mère ont répondu en créant des BIOS impossible à réécrire. Le virus Tchernobyl effaçait le BIOS ce qui rendait le PC totalement inutilisable (avec impossibilité de formater).
Dans un PC, après le BIOS, c'est le boot qui est exécuté. C'est le programme sur le premier cylindre du disque. Certains virus allaient se mettre à la place du boot pour se lancer et infecter les disques connectés à l'ordinateur au démarrage puis lancer le système.
Le point commun avec ces deux types de virus, c'est que se sont effectivement des attaques DoS dans le sens où le but final est d'empêcher l'ordinateur de fonctionner contrairement à d'autres virus qui ne cherchent qu'à afficher un message ou changer la personnalisation d'un ordinateur. Par contre il n'y a pas encore de système POSIX lors du boot, ces virus ne peuvent donc pas fonctionner en parallèle avec une autre application. Ils ne peuvent donc pas être des zombi pour des DDoS contrairement à ce que laissait croire alienwar.
L'autre chose qui m'a fait réfléchir sur les compétences d'Alienwar, c'est la page pirate qu'il avait mis sur mon site après l'avoir piraté (quand j'avais fait mon petit test). J'avais trouvé ça tellement énorme que j'ai conservé sa page pirate ! Sa page pirate représentait une console linux et les commandes que le pirate taperait dessus. Seulement les commandes sont fausses et ne fonctionnerait pas sur un linux normalement constitué (il y a même plusieurs erreurs). Voilà la page pirate : http://remi.bonnetchangai.free.fr/pirate.html et une capture d'écran au cas où Alienwar modifierait ou effacerait les ressources utilisés dans sa page :
Voilà ce que donne la commande qu'il a écrit si on la tape dans une console linux (là ubuntu 11) :
Quand je rigole déjà devant la page pirate qui est censé être "l'image" d'Alienwar et donc censé être la page qui lui fait toute sa pub, forcément l'idée que je peux me faire de ses compétences ne sont pas bien hautes...
Finalement pour moi c'est quelqu'un de convaincant, sûrement aussi charismatique puisqu'il a même réussi à me faire douté de ma culture et me faire ouvrir wikipédia pour vérifier ce que j'avançais. Il arrive à nous persuader qu'il est connaisseur tout en ne l'étant pas ou nous dire des mensonges.
Encore aujourd'hui un utilisateur est venu me voir en me disant qu'Alienwar lui avait dit qu'il avait piraté le site officiel en faisant une injection. Qu'il a réussi à créer un compte FTP en faisant une injection SQL. Même moi en ayant le PhpMyAdmin du site officiel (donc je n'ai pas besoin d'injection pour modifier la base de donnée) je ne peux pas faire ça. En fait pour moi, ça me donne l'impression de celui qui a tout simplement menti pour sauvé le peu d'honneur qui lui reste après l'exploit d'avoir réussi à piraté un site en ayant le mot de passe du panneau d’hébergement.
Donc pour moi j'ai envi de dire après avoir bien rigolé sur les actions d'Alienwar, j'attends de voir les compétences. Des démonstration "regarde la faille d'upload !", hop je te rajoute un petit fichier via le compte FTP, "Tu as vu ? Il y a un nouveau fichier sur ton site !" ça ne prend pas avec moi. Moi quelque chose qui me prouve les compétences en piratage, c'est par exemple me dire "Quand tu mes en variable GET file=../../../../../../etc/passwd tu peux récupérer la liste des utilisateurs FTP".
Yo,
RépondreSupprimerBah l'histoire je la connaissais un peu. J'ai beau etre très discret, Alienwar m'en avait parlé.
Il a aussi piraté le site de l'ESL si tu souhaites compléter ton historique.
Par contre, je suis d'accord que sur certains coup le staff NK n'as pas totalement été exemplaire comme l'utilisation de mdp identique, SURTOUT SUR UN SITE PIRATE.
Enfin, est-ce qu'il recommencera??? Surement, ou pas.
Oui il y a ESL, il y a aussi RoxorGamers, et plusieurs autres. Mais toujours dans l'univers du jeu vidéo. Après personnellement je pense que c'est un administrateur qui a tenté une installation de NK en local avec son mot de passe de sa messagerie.
RépondreSupprimerSurtout que ESL n'étant pas réalisé avec un CMS, on ne peut pas connaître la structure de sa base de donnée, et donc on ne peut pas réaliser d'injection facilement.
Bien tout ça :)
RépondreSupprimerTrès intéressant ! J'espère qu'on le/la chopera.
Hello c'est Alpha,
RépondreSupprimerJe tiens a préciser que notre cher comique Alienwar nous a en quelque sorte "menacé" si jamais je dévoilais au grand publique l'enregistrement Team Speak que nous avons pris la dernière fois que nous avons parlé avec lui :D ... bontiv a bien résumé la chose, je n'ai rien a ajouté la dessus.
y sa mélange un peu les pinceau votre bonhomme
RépondreSupprimermerci pour le ptit cour d'informatique sur les différente attaque possible d'un système
et je confirme une attaque DDos peu faire très mal j'ai vu le premier site (serveur de jeu) de minecraft en subir une et résultat des course un hébergeur fou furieux qui c'est fait griller la machine et 300 personne sans serveur mais c'était pas 1to mais 20to pour le faire sauter d’ailleurs l'hébergeur a mis 2 semaine a ré ouvrir
mais c'est vrai qu’attaquer un site communautaire ne sert a rien
en tout ca gg a vous
et merci pour l'explication fort bien détailler
Oui un DDoS sur un serveur Minecraft déjà ça fonctionne largement mieux pour faire planter un système que un DDoS sur un protocole HTTP xD
RépondreSupprimerIntéressant cette petite histoire ...
RépondreSupprimerTrès enrichissant merci pour toute ces explications Bontiv :D
Et aujourd'hui ou en sommes nous ?
La dernière attaque sur Nuked a eu lieu ces derniers temps. Site en maintenance depuis plus d'un mois.
Aucune idée d'où en est Nuked-Klan. Ca fait maintenant 4/5 mois que j'ai quitté l'équipe de Nuked-Klan. Si ça se trouve ce n'est même pas à cause d'une attaque que le site est hors ligne.
RépondreSupprimerSa serait moche qu'il ai abandonné... Mais vu les problème de SQL sur tout les Nuked Klan en pré-install et la redirection vers un site pirate, me fait plus pense a une attaque malgré tout.
RépondreSupprimerEnfin attendons peut etre que ... L'espoir fait vivre :D
Franchement, ce n'est plus mon problème ce qu'il se passe chez eux. J'avais déjà donné un bon coup de pouce niveau sécurité quand j'y étais.
RépondreSupprimerJe ne suis plus du tout au courant de ce qu'il se passe chez eux. Et oui s'il y avait des redirections effectivement ils se sont fait piratés.