Freedom Hosting, c'est quoi ?
Freedom Hosting est particulièrement connu dans le réseau Tor pour sa capacité à pourvoir de l'espace disque gratuit pour monter un site rapidement. La version 2 de ce service est apparue après que le FBI ai mené un raid contre les hébergeurs de la version 1. Nous avons appris par Sarah Jamie Lewis que celui-ci est sous le coup d'une opération de défacement (défiguration de sites) de tous les sites hébergés via leur plateforme. Opération qui, on va le voir, va évoluer en prise d'otage des données et finalement divulgation publique en partie !
L'étendue des dégâts est considérable, cela touche 10 613 sites, ce qui représente selon les dernières métriques de Tor, un peu plus de 12% des sites du réseau Tor.
Voici le message à l'intention des administrateur de Freedom Hosting II traduit en Français :
- Une précédente version de ce message indiquait selon The Verge que les pirates laissaient la possibilité aux administrateurs de récupérer leur base de données en échange de 0.1 BTC soit environ 100$. -
Les pirates ont visiblement changés d'avis sûrement après avoir découvert les sites de pédopornographie hébergés via cette plateforme. Rappelons qu'un des gros combats menés par les groupes se disant d'Anonymous, (collectif sans hiérarchie rassemblant sous un nom et une identité visuelle des membres partageant des idées et luttant pour| Mais comme tout le monde peut s'en réc, l'affiliation est hasardeuse ) c'est de lutter contre les contenus pédopornographiques.
Comment ont-ils fait ?
Ils nous l'expliquent dans un autre message traduit en Français :
Voici comment nous avons fait:
1. Création d'un nouveau site ou connexion sur un ancien
2. Connexion et paramétrage du mot de passe SFTP
3. Connexion via SFTP et création d'un lien symbolique sur la racine "/"
4. Désactivation de "DirectoryIndex" dans le ".htaccess"
5. Activation de "mod_autoindex" dans le ".htaccess"
6. Désactivation du moteur PHP dans le ".htaccess"
7. Ajout du type "text/plain" pour les fichiers ".php" dans le ".htaccess"
8. Prendre du bon temps durant la navigation dans les fichiers
9. Trouver le répertoire "/home/fhosting"
10. Regarder le contenu du fichier "index.php" file situé dans le répertoire" /home/fhosting/www/"
11. Trouver les paramétrages dans le fichier "/home/fhosting/www/_lbs/config.php"
12. Copier-coller les identifiants de connexion de base de données dans l'interface PhpMyAdmin
13. Trouver les utilisateurs actifs avec un accès shell dans le fichier "/etc/passwd"
14. Examiner les scripts et découvrez comment les réinitialisations de mot de passe fonctionnent
15. Déclencher manuellement la réinitialisation du mot de passe SFTP pour l'utilisateur 'user'
16. Connexion via SSH
17. Execution de la commande 'sudo -i'
18. Editer le paramétrage de SSH dans le fichier "/etc/ssh/sshd_config" pour autoriser la connexion avec l'utilisateur 'root'
19. Execution de la commande 'passwd' pour paramétrer le mot de passe pour l'utilisateur 'root'
20. Reconnexion via SSH en tant qu'utilisateur 'root' (cela signifie les pleins pouvoirs sur la machine)
21. Profiter
Ce qu'on peut immédiatement remarquer c'est l'inexistence de mesures de sécurité élémentaires, (étonnant que ce ne soit pas arrivé plus tôt d'ailleurs).
Que vont-ils faire de la base de données utilisateurs
A cette question, beaucoup d'inconnu. Cependant, vous pouvez déjà vérifier si vous êtes concernés par cette fuite de données qui va marquer le début de 2017 avec un grand coup via le site https://haveibeenpwned.com/PwnedWebs...eedomHostingII !
Comme quoi, les erreurs élémentaires peuvent faire tomber des géants !
Sources:
- https://twitter.com/SarahJamieLewis/...36301230551040
- https://metrics.torproject.org/hidse...end=2017-02-06
- https://haveibeenpwned.com/PwnedWebs...eedomHostingII
- https://www.bleepingcomputer.com/new...k-web-portals/
Freedom Hosting est particulièrement connu dans le réseau Tor pour sa capacité à pourvoir de l'espace disque gratuit pour monter un site rapidement. La version 2 de ce service est apparue après que le FBI ai mené un raid contre les hébergeurs de la version 1. Nous avons appris par Sarah Jamie Lewis que celui-ci est sous le coup d'une opération de défacement (défiguration de sites) de tous les sites hébergés via leur plateforme. Opération qui, on va le voir, va évoluer en prise d'otage des données et finalement divulgation publique en partie !
L'étendue des dégâts est considérable, cela touche 10 613 sites, ce qui représente selon les dernières métriques de Tor, un peu plus de 12% des sites du réseau Tor.
Voici le message à l'intention des administrateur de Freedom Hosting II traduit en Français :
Bonjour Freedom Hosting II, vous avez été piraté !
Nous sommes déçus ... Ceci est un extrait de votre page d'accueil «Nous avons une politique de tolérance zéro à la pornographie juvénile. - mais ce que nous avons trouvé lors de la recherche à travers votre serveur, c'est plus de 50% de contenu pédopornographique...
De plus, vous hébergez de nombreux sites d'escroquerie, dont certains sont évidemment gérés par vous afin de couvrir les frais d'hébergement.
Tous vos fichiers ont été copiés et votre base de données a été vidée. (74 Go de fichiers et 2,3 Go de base de données)
Jusqu'au 31 janvier, vous hébergez 10613 sites. Les clés privées sont incluses dans le dump. Voir la liste complète.
Nous sommes anonymes. Nous ne pardonnons pas. Nous n'oublions pas. Vous auriez dû nous (vous y ?) attendre.
Merci pour votre patience, vous n'avez pas à acheter des données nous avons créé un torrent de la base de données téléchargeable ici
Voici un autre torrent avec tous les fichiers système (à l'exception des données utilisateurs). Télécharger !
Vous pouvez toujours faire un don de BTC à 14iCDyeCSp12AmhVfJGxtrzXDabFop4QtU et nous soutenir.
Si vous avez besoin d'entrer en contact avec nous, notre mail est [email protected]
On nous demande répétitivement comment nous sommes entrés dans le système. Ce fût étonnamment facile. Voici comment nous avons fait: Traduit en dessous.
Edit: impossible de répondre aux mails provenant du clearnet (web commun) - ajout d'un nouveau courrier
Edit2: dump de base de données ajouté
Edit3: ajout des explications sur la façon dont nous sommes entrés dans le système
Edit4: dump fichiers système ajoutés
Nous sommes déçus ... Ceci est un extrait de votre page d'accueil «Nous avons une politique de tolérance zéro à la pornographie juvénile. - mais ce que nous avons trouvé lors de la recherche à travers votre serveur, c'est plus de 50% de contenu pédopornographique...
De plus, vous hébergez de nombreux sites d'escroquerie, dont certains sont évidemment gérés par vous afin de couvrir les frais d'hébergement.
Tous vos fichiers ont été copiés et votre base de données a été vidée. (74 Go de fichiers et 2,3 Go de base de données)
Jusqu'au 31 janvier, vous hébergez 10613 sites. Les clés privées sont incluses dans le dump. Voir la liste complète.
Nous sommes anonymes. Nous ne pardonnons pas. Nous n'oublions pas. Vous auriez dû nous (vous y ?) attendre.
Merci pour votre patience, vous n'avez pas à acheter des données nous avons créé un torrent de la base de données téléchargeable ici
Voici un autre torrent avec tous les fichiers système (à l'exception des données utilisateurs). Télécharger !
Vous pouvez toujours faire un don de BTC à 14iCDyeCSp12AmhVfJGxtrzXDabFop4QtU et nous soutenir.
Si vous avez besoin d'entrer en contact avec nous, notre mail est [email protected]
On nous demande répétitivement comment nous sommes entrés dans le système. Ce fût étonnamment facile. Voici comment nous avons fait: Traduit en dessous.
Edit: impossible de répondre aux mails provenant du clearnet (web commun) - ajout d'un nouveau courrier
Edit2: dump de base de données ajouté
Edit3: ajout des explications sur la façon dont nous sommes entrés dans le système
Edit4: dump fichiers système ajoutés
Les pirates ont visiblement changés d'avis sûrement après avoir découvert les sites de pédopornographie hébergés via cette plateforme. Rappelons qu'un des gros combats menés par les groupes se disant d'Anonymous, (collectif sans hiérarchie rassemblant sous un nom et une identité visuelle des membres partageant des idées et luttant pour| Mais comme tout le monde peut s'en réc, l'affiliation est hasardeuse ) c'est de lutter contre les contenus pédopornographiques.
Comment ont-ils fait ?
Ils nous l'expliquent dans un autre message traduit en Français :
Voici comment nous avons fait:
1. Création d'un nouveau site ou connexion sur un ancien
2. Connexion et paramétrage du mot de passe SFTP
3. Connexion via SFTP et création d'un lien symbolique sur la racine "/"
4. Désactivation de "DirectoryIndex" dans le ".htaccess"
5. Activation de "mod_autoindex" dans le ".htaccess"
6. Désactivation du moteur PHP dans le ".htaccess"
7. Ajout du type "text/plain" pour les fichiers ".php" dans le ".htaccess"
8. Prendre du bon temps durant la navigation dans les fichiers
9. Trouver le répertoire "/home/fhosting"
10. Regarder le contenu du fichier "index.php" file situé dans le répertoire" /home/fhosting/www/"
11. Trouver les paramétrages dans le fichier "/home/fhosting/www/_lbs/config.php"
12. Copier-coller les identifiants de connexion de base de données dans l'interface PhpMyAdmin
13. Trouver les utilisateurs actifs avec un accès shell dans le fichier "/etc/passwd"
14. Examiner les scripts et découvrez comment les réinitialisations de mot de passe fonctionnent
15. Déclencher manuellement la réinitialisation du mot de passe SFTP pour l'utilisateur 'user'
16. Connexion via SSH
17. Execution de la commande 'sudo -i'
18. Editer le paramétrage de SSH dans le fichier "/etc/ssh/sshd_config" pour autoriser la connexion avec l'utilisateur 'root'
19. Execution de la commande 'passwd' pour paramétrer le mot de passe pour l'utilisateur 'root'
20. Reconnexion via SSH en tant qu'utilisateur 'root' (cela signifie les pleins pouvoirs sur la machine)
21. Profiter
Que vont-ils faire de la base de données utilisateurs
A cette question, beaucoup d'inconnu. Cependant, vous pouvez déjà vérifier si vous êtes concernés par cette fuite de données qui va marquer le début de 2017 avec un grand coup via le site https://haveibeenpwned.com/PwnedWebs...eedomHostingII !
Comme quoi, les erreurs élémentaires peuvent faire tomber des géants !
Sources:
- https://twitter.com/SarahJamieLewis/...36301230551040
- https://metrics.torproject.org/hidse...end=2017-02-06
- https://haveibeenpwned.com/PwnedWebs...eedomHostingII
- https://www.bleepingcomputer.com/new...k-web-portals/
Commentaire