1. Recherche sur l`@ IP

Compte rendu sur l’usurpation d’identité sur le site http://ftbpower.free.fr
Toutes les infos sont issues de la base SQL du site.
Adresse IP soupsonnée : 84.4.0.53
1. Recherche sur l’@ IP
En allant sur le site www.DNSstuff.com on obtient en faisant une recherche sur l’ip
84.4.0.53, le résultat suivant :
% Information related to '84.4.0.0 - 84.7.216.255'
inetnum:
netname:
descr:
descr:
remarks:
remarks:
remarks:
remarks:
remarks:
remarks:
remarks:
remarks:
remarks:
country:
admin-c:
tech-c:
status:
mnt-by:
changed:
source:
84.4.0.0 - 84.7.216.255 2
CEGETEL-INTERNET-RESIDENTIEL 1
INTERNET RESIDENTIEL CEGETEL France
Bloc - 13
*****************************************
For Hacking, Spamming or Security problems
send mail to :
**************@cegetel.net
*****************************************
Pour les plaintes sur les aspects Securite
Merci d'envoyer un e-mail a :
**************@cegetel.net
*****************************************
FR
NST2-RIPE
NST2-RIPE
ASSIGNED PA
CEGETEL-ENTREPRISES
*******@esplanade3000.net 20050725
RIPE
role:
address:
address:
address:
phone:
e-mail:
remarks:
remarks:
remarks:
remarks:
remarks:
remarks:
remarks:
admin-c:
tech-c:
tech-c:
nic-hdl:
mnt-by:
changed:
source:
Network Support Team - DTI
Cegetel - DTI
1 place Carpeaux
92915 Paris La Defense Cedex
+33 1 71070707
**************@cegetel.net
*****************************************
For Hacking, Spamming or Security problems
send mail to **************@cegetel.net
*****************************************
For Technical Support
send mail to *******@sitadelle.com
*****************************************
PS9706-RIPE
OM520-RIPE
OL811-RIPE
NST2-RIPE
CEGETEL-ENTREPRISES
******************@neufcegetel.fr 20051214
RIPE
% Information related to '84.4.0.0/16AS8228'
route:
descr:
descr:
origin:
mnt-by:
changed:
source:
84.4.0.0/16
CEGETEL CIDR Block
CEGETEL France
AS8228
CEGETEL-ENTREPRISES
*************@cegetel.fr 20040907
RIPE
Interprétation :
L’adresse IP 84.4.0.53 est délivrée par un serveur DHCP géré par CEGETEL ( voir 1 ).
Ce DHCP délivre toutes les adresses IP compris dans le pool :
84.4.0.0 à 84.7.215.255 ( voir 2 )
Les baux sont effectifs environ 1 semaine. C’est à dire, qu’une Cbox ( connecté en
permanence, changera d’@ Ip tous les 7 jours )
2. @ IP recoupé avec la table SQL Stats_Visitors
Pour info, la table Stats_Visitors enregistre l’activité du site.
Une recherche a été faite sur la table, sur le pool IP 84.4.0.0 à 84.7.215.255 ( voir 2 )
Requête :
SELECT *FROM `nuked_stats_visitor` WHERE (`ip` like '84.4.%' or `ip` like '84.5.%' or `ip`
like '84.6.%' or `ip` like '84.7.%') and `user_id`!='' ORDER BY `date` ASC
Résultats et interpretations:
En filtrant sur l’@ IP 84.4.0.53, on obtient les données suivantes :
User_id
pp3y6.................45p9
pp3y6.................45p9
pp3y6.................45p9
pp3y6.................45p9
pp3y6.................45p9
pp3y6.................45p9
pp3y6.................45p9
0vXos................XX2fq
IP
84.4.0.53
84.4.0.53
84.4.0.53
84.4.0.53
84.4.0.53
84.4.0.53
84.4.0.53
84.4.0.53
Browser
Internet Explorer
Internet Explorer
Internet Explorer
Internet Explorer
Internet Explorer
Internet Explorer
Internet Explorer
Internet Explorer
OS
Day Month Year Hour
Windows XP 18
11 2006
2
Windows XP 19
11 2006
1
Windows XP 19
11 2006 18
Windows XP 19
11 2006 19
Windows XP 19
11 2006 23
Windows XP 21
11 2006
1
Windows XP 21
11 2006 13
Windows XP 21
11 2006 14
User_id : Identifiant unique correspondant au login (utilisateur) du site FTB.
Cette personne est venu 8 fois sur le site, dans la période du 18/11/2006 au 21/11/2006, sous
le user_id pp3y6.................45p9 MAIS EGALEMENT sous le user_id 0vXos................XX2fq.
90% de l’activité sur le site mené par l’adresse IP 84.4.0.53 est associé au User_ID
pp3y6.................45p9
Remarque : tout le monde peut avoir plusieurs identifiant sur un site, et les utiliser comme bon lui
semble, mais en général, ca cache un lapin !
1. User_ID recoupé avec la table USERS
Pour info, la table USERS contient tout un ensemble d’information sur les utilisateurs
enregistrés sur le site.
Une recherche a été faite sur les User_ID pp3y6.................45p9 et 0vXos................XX2fq
Requête1 : SELECT * FROM `nuked_users` WHERE `id`='pp3y6.................45p9'
Résultats et interpretations ( pas la peine ca parle tout seul ):
id
pp3y6.................45p9
rang
ordre
0
pseudo
0kenza
email
niveau
[email protected]
1
Requête2 : SELECT * FROM `nuked_users` WHERE `id`=' 0vXos................XX2fq'
Résultats et interpretations ( pas la peine ca parle tout seul ):
id
0vXos................XX2fq
rang
ordre
12
pseudo
11chiro-stef
mail
niveau
[email protected]
Remarque: ca veut dire quoi ! Sauf si stef a communiqué son password à kenza, que kenza
s’est connectée le 21/11/2006 à 14h sous le pseudo de stef….
La combinaison des colonnes rang, ordre et niveau, correspond essentiellement aux pouvoirs
d’administration du site. Plus le nombre est élevé, plus les pouvoir sont grand.
Sinon, cela correspond au moment ou sharon est venu faire un tour sur le site, mais les
adresses ip ne correspondent pas, car kenza est chez Cegetel, et sharon est chez Numericable.
On s’est apercu que sharon avait certain password. Comment ? je ne sais pas ! ou elle
disposait d’une ancienne sauvegarde SQL du site ftb, dans ce cas les password, meme si ils
sont cryptés, peuvent être retrouvé. Ou alors, il existe une faille ( c’est déjà arrivé, dans le
system NUKE) mais perso je ne pense pas, car depuis que nous avons changé nos mots de
passe, les usurpations d’identité ne se produisent plus….
4
1. Confirmation
Pour s’assurer du fait, et écarter toute erreur, je suis remonté dans les logs. ( pas trop loin ! )
La semaine du 11/11/2006 au 18/11/2006 :
@ IP Kenza => 84.4.2.225
En suivant le même raisonnement que les point 2 et 3 :
Connexion le 11/11/2006 sous le pseudo de Jocker
Plusieurs connexions entre le 12/11/2006 et le 17/11/2006 sous le pseudo de jocker
Connexion le 17/11/2006 sous le pseudo de Bad One
Bon j’arrête là !
Attention ! Si tu veux diffuser ces infos, dis le moi. Car certains elementc comme les user_id,
etc… doivent être partiellement caché. On est jamais trop prudent, avec tous les mickeys qui
trainent sur le net, y’en a qui pourrait s’en servir en exploitant des failles SQL.
A vos ordres mon général !
Lolo
Ps : suis un peu déçu, quand même !!! ou alors : il y a usurpation de Kenza, mais c’est
forcement chez elle que cela se passe….