1. Recherche sur l`@ IP
Transcription
1. Recherche sur l`@ IP
Compte rendu sur l’usurpation d’identité sur le site http://ftbpower.free.fr Toutes les infos sont issues de la base SQL du site. Adresse IP soupsonnée : 84.4.0.53 1. Recherche sur l’@ IP En allant sur le site www.DNSstuff.com on obtient en faisant une recherche sur l’ip 84.4.0.53, le résultat suivant : % Information related to '84.4.0.0 - 84.7.216.255' inetnum: netname: descr: descr: remarks: remarks: remarks: remarks: remarks: remarks: remarks: remarks: remarks: country: admin-c: tech-c: status: mnt-by: changed: source: 84.4.0.0 - 84.7.216.255 2 CEGETEL-INTERNET-RESIDENTIEL 1 INTERNET RESIDENTIEL CEGETEL France Bloc - 13 ***************************************** For Hacking, Spamming or Security problems send mail to : **************@cegetel.net ***************************************** Pour les plaintes sur les aspects Securite Merci d'envoyer un e-mail a : **************@cegetel.net ***************************************** FR NST2-RIPE NST2-RIPE ASSIGNED PA CEGETEL-ENTREPRISES *******@esplanade3000.net 20050725 RIPE role: address: address: address: phone: e-mail: remarks: remarks: remarks: remarks: remarks: remarks: remarks: admin-c: tech-c: tech-c: nic-hdl: mnt-by: changed: source: Network Support Team - DTI Cegetel - DTI 1 place Carpeaux 92915 Paris La Defense Cedex +33 1 71070707 **************@cegetel.net ***************************************** For Hacking, Spamming or Security problems send mail to **************@cegetel.net ***************************************** For Technical Support send mail to *******@sitadelle.com ***************************************** PS9706-RIPE OM520-RIPE OL811-RIPE NST2-RIPE CEGETEL-ENTREPRISES ******************@neufcegetel.fr 20051214 RIPE % Information related to '84.4.0.0/16AS8228' route: descr: descr: origin: mnt-by: changed: source: 84.4.0.0/16 CEGETEL CIDR Block CEGETEL France AS8228 CEGETEL-ENTREPRISES *************@cegetel.fr 20040907 RIPE Interprétation : L’adresse IP 84.4.0.53 est délivrée par un serveur DHCP géré par CEGETEL ( voir 1 ). Ce DHCP délivre toutes les adresses IP compris dans le pool : 84.4.0.0 à 84.7.215.255 ( voir 2 ) Les baux sont effectifs environ 1 semaine. C’est à dire, qu’une Cbox ( connecté en permanence, changera d’@ Ip tous les 7 jours ) 2. @ IP recoupé avec la table SQL Stats_Visitors Pour info, la table Stats_Visitors enregistre l’activité du site. Une recherche a été faite sur la table, sur le pool IP 84.4.0.0 à 84.7.215.255 ( voir 2 ) Requête : SELECT *FROM `nuked_stats_visitor` WHERE (`ip` like '84.4.%' or `ip` like '84.5.%' or `ip` like '84.6.%' or `ip` like '84.7.%') and `user_id`!='' ORDER BY `date` ASC Résultats et interpretations: En filtrant sur l’@ IP 84.4.0.53, on obtient les données suivantes : User_id pp3y6.................45p9 pp3y6.................45p9 pp3y6.................45p9 pp3y6.................45p9 pp3y6.................45p9 pp3y6.................45p9 pp3y6.................45p9 0vXos................XX2fq IP 84.4.0.53 84.4.0.53 84.4.0.53 84.4.0.53 84.4.0.53 84.4.0.53 84.4.0.53 84.4.0.53 Browser Internet Explorer Internet Explorer Internet Explorer Internet Explorer Internet Explorer Internet Explorer Internet Explorer Internet Explorer OS Day Month Year Hour Windows XP 18 11 2006 2 Windows XP 19 11 2006 1 Windows XP 19 11 2006 18 Windows XP 19 11 2006 19 Windows XP 19 11 2006 23 Windows XP 21 11 2006 1 Windows XP 21 11 2006 13 Windows XP 21 11 2006 14 User_id : Identifiant unique correspondant au login (utilisateur) du site FTB. Cette personne est venu 8 fois sur le site, dans la période du 18/11/2006 au 21/11/2006, sous le user_id pp3y6.................45p9 MAIS EGALEMENT sous le user_id 0vXos................XX2fq. 90% de l’activité sur le site mené par l’adresse IP 84.4.0.53 est associé au User_ID pp3y6.................45p9 Remarque : tout le monde peut avoir plusieurs identifiant sur un site, et les utiliser comme bon lui semble, mais en général, ca cache un lapin ! 1. User_ID recoupé avec la table USERS Pour info, la table USERS contient tout un ensemble d’information sur les utilisateurs enregistrés sur le site. Une recherche a été faite sur les User_ID pp3y6.................45p9 et 0vXos................XX2fq Requête1 : SELECT * FROM `nuked_users` WHERE `id`='pp3y6.................45p9' Résultats et interpretations ( pas la peine ca parle tout seul ): id pp3y6.................45p9 rang ordre 0 pseudo 0kenza email niveau [email protected] 1 Requête2 : SELECT * FROM `nuked_users` WHERE `id`=' 0vXos................XX2fq' Résultats et interpretations ( pas la peine ca parle tout seul ): id 0vXos................XX2fq rang ordre 12 pseudo 11chiro-stef mail niveau [email protected] Remarque: ca veut dire quoi ! Sauf si stef a communiqué son password à kenza, que kenza s’est connectée le 21/11/2006 à 14h sous le pseudo de stef…. La combinaison des colonnes rang, ordre et niveau, correspond essentiellement aux pouvoirs d’administration du site. Plus le nombre est élevé, plus les pouvoir sont grand. Sinon, cela correspond au moment ou sharon est venu faire un tour sur le site, mais les adresses ip ne correspondent pas, car kenza est chez Cegetel, et sharon est chez Numericable. On s’est apercu que sharon avait certain password. Comment ? je ne sais pas ! ou elle disposait d’une ancienne sauvegarde SQL du site ftb, dans ce cas les password, meme si ils sont cryptés, peuvent être retrouvé. Ou alors, il existe une faille ( c’est déjà arrivé, dans le system NUKE) mais perso je ne pense pas, car depuis que nous avons changé nos mots de passe, les usurpations d’identité ne se produisent plus…. 4 1. Confirmation Pour s’assurer du fait, et écarter toute erreur, je suis remonté dans les logs. ( pas trop loin ! ) La semaine du 11/11/2006 au 18/11/2006 : @ IP Kenza => 84.4.2.225 En suivant le même raisonnement que les point 2 et 3 : Connexion le 11/11/2006 sous le pseudo de Jocker Plusieurs connexions entre le 12/11/2006 et le 17/11/2006 sous le pseudo de jocker Connexion le 17/11/2006 sous le pseudo de Bad One Bon j’arrête là ! Attention ! Si tu veux diffuser ces infos, dis le moi. Car certains elementc comme les user_id, etc… doivent être partiellement caché. On est jamais trop prudent, avec tous les mickeys qui trainent sur le net, y’en a qui pourrait s’en servir en exploitant des failles SQL. A vos ordres mon général ! Lolo Ps : suis un peu déçu, quand même !!! ou alors : il y a usurpation de Kenza, mais c’est forcement chez elle que cela se passe….