Tag Archives: DDoS

Staminus (boîte anti-DDoS) piraté

Via Brian Krebs :

La boîte de sécu Staminus qui offre des services de protection contre les attaques DDoS a été piraté avec de nombreuses informations volées comme on peut le voir dans un ezine baptisé Fuck’em all posté sur hastebin.

Les auteurs de l’attaque pointent du doigt les mauvaises pratiques de sécurité de l’entreprise notamment la présence de failles SQL sur leur site (pas d’utilisation des PDO), le non-chiffrement des informations bancaires stockées en base et la réutilisation d’un même mot de passe root sur toutes les machines…

Comme si ça ne suffisait pas pour l’image de Staminus, on découvre aussi qu’ils vendaient leur service au KKK

Le site officiel de l’entreprise affiche pour le moment une FAQ concernant l’attaque.

Analyse des attaques NTP de BlackEnergy

L’utilisation de la commande MONLIST de NTP pour lancer des attaques DDoS est connue depuis quelques temps mais peu de malwares Windows l’avaient implémenté avec succès jusqu’à présent.

Il faut dire que Windows ne facilite pas le travail quand il s’agit de forger des paquets pour spoofer une adresse…

Dans un rapport PDF, ARBOR s’est penché sur un plugin du bot BlackEnergy qui parvient à ses fins en utilisant WinPCap ainsi que l’API IPHelper de Windows.

CloudPiercer : découvrir quelle IP se cache derrière un CloudFlare, Prolexic et compagnie

Via un whitepaper et un outil baptisé CloudPiercer, des chercheurs démontrent comment à l’aide de différents moyens (plutôt évidents et simples à mettre en oeuvre) il est possible de retrouver l’adresse IP réelle d’un serveur protégé par une protection anti-DDoS / caching.

L’une des techniques consiste par exemple à tester la présence de sous-domaines et regarder si on y retrouve le même site pour une adresse IP différente de celle affichée par le CloudFlare (ou autre). Il s’avère qu’on retrouve régulièrement des sous domaines “ftp” qui leakent ainsi la véritable adresse IP.

A croire que certains admins utilisent encore FTP… nan mais allo quoi ! :p

DDoS : quoi ? Portmap ?

Via TheRegister :

Level 3 a observé une forte augmentation (x22) des scans sur le port UDP 111.
Ce port correspond à portmap qui est associé au client rpcinfo sur les systèmes Unix.
Quel intérêt pour les attaquants ? C’est un protocole basé sur UDP et il peut renvoyer une quantité plus ou moins importante de données ce qui le rend intéressant pour lancer une attaque DDoS. Ce qui est bien sûr connu depuis une éternité :p

Evidemment exposer ce port sur Internet est une bêtise mais il semble qu’avec la démocratisation de Linux de plus en plus d’utilisateurs insoucieux s’exposent à des attaques faciles.

Spamhauss : jugement rendu pour le pirate qui avait lancé le DDoS

Via V3 :

Le jeune britannique arrêté en 2013 qui avait lancé une large attaque DDoS contre Spamhauss a finalement été jugée.

Connu sous le pseudo Narko, Seth Nolan McDonagh, avait déjà plaidé coupable mais en raison de son age le jugement a attendu 2 ans qu’il obtienne la majorité.
Il a été découvert qu’il vendait des services de DDoS. Les enquêteurs ont trouvé 70.000£ (pas loin de 100.000 euros) en cash ainsi que des milliers d’informations bancaires chez lui.

Il a été condamné à 240 heures de travaux d’intérêt général.

Silk Road 1 avait été victime d’extorsion

Via ZDNet :

Nouvelles révélations dans le cadre du procès de Silk Road 1 : via les communications récupérées sur les machines de Ulbricht, il a été découvert que Silk Road a été victime d’extorsion, une fois suite à la découverte d’une faille sur le site et une autre fois pour des menaces de DDoS.
L’admin avait alors payé les sommes demandées.

DDoS : LizardSquad a t’il fait tomber Facebook ?

Via HN :

Différents sites très fréquentés (Facebook, Instagram, Tinder) étaient aux abonnés absent ce matin. Le groupe Lizard Squad revendique l’attaque qui aurait visé l’hébergeur de contenu Akamai sur lequel se trouve les CSS et JS de Facebook, rendant ainsi le site impraticable.

Pour le moment pas plus d’infos mais si c’est avéré c’est un coût dur pour Akamai.

EDIT : Démenti par Facebook