[Unbreakable][Challenge de sécurité]

[Blowup]

Excellent challenge félicitations je peux enfin tester les tools fournis dans backtrack sans soucis même si aucun ne fonctionne sur ton systeme mais je me doute que ca aurait été trop facile

tu pourrais nous parler plus du système que tu utilises ?

Quote:

Originally Posted by 0wnage

je rigole vraiment car tu as meme pas compris que le probleme venait de apache.. et pas d'autre chose. ceci est bien une faille sur ton serveur, meme si tu ne veux pas l'admettre.

A part montrer ton immaturité tu ne fais rien d'autre.

[SirPuffy]

Quote:

Originally Posted by Blowup

Excellent challenge félicitations je peux enfin tester les tools fournis dans backtrack sans soucis même si aucun ne fonctionne sur ton systeme mais je me doute que ca aurait été trop facile

tu pourrais nous parler plus du système que tu utilises ?

Je vais te donner quelques liens pour renseignements :

openbsd.org/fr/index.html

wiki.openbsd-france.org

(Il faut avoir fait 15 posts pour mettre un lien de site donc tu rajouteras ce qu'il faut devant).

Sinon pour résumer il s'agit d'un Unix de la famille des *BSD particulièrement orienté sécurité (gros audit des sources, si un service ne convient pas aux développeurs ils le recodent à partir de zéro ...).
C'est l'équipe OpenBSD qui a développé le fameux et de plus en plus utilisé Packet Filter.

Au final je dirai qu'une machine sous OpenBSD qui plus est avec une bonne stratégie de sécurité est presque (parce que le risque zéro n'existe pas) inviolable. Ce que ce Challenge démontre jours après jours d'ailleurs !

[Shemsu-Hor]

Quote:

Au final je dirai qu'une machine sous OpenBSD qui plus est avec une bonne stratégie de sécurité est presque (parce que le risque zéro n'existe pas) inviolable.

+1, C'est d'ailleurs AMA, la principale caractéristique d'un système OpenBSD. C'est aussi pourquoi je pense m'y mettre d'ici peu.

Quote:

je trouve debile ce que tu fait, surtout que ton site est down en ce moment meme, et probablement qu'il le restera. jmamuse a mettre down ton blog wordpress aussi c marrant! retourne jouer a wow Matthieu A.

C'est bien, tu sais chercher sur google au moins.

[~LCF~]

L'idée est excellente SirPuffy !

En ce qui concerne les attaques (D)DoS, je trouve la restriction parfaitement justifiée (en outre, sauf cas exceptionnel, un (D)DoS n'a aucun intérêt, sauf faire chier le peuple...). En l'occurence TheHacker, même si ta contribution est intéressante (scripts que tu as laissés), sache que SirPuffy est tout à fait en droit de porter plainte... Il a ton IP, l'heure de connexion, le nombre de fois où tu as essayé, et ce forum où il t'a directement contacté et prévenu... J'oserais te conseiller de filer doux. En outre, SirPuffy est déjà conscient de cette faiblesse, donc ta contribution est inutile. Une chose comme :

Quote:

Si vous n'arrivez plus à contacter ou avoir de réponses du serveur alors que vos amis oui c'est que vous avez abusé des possibilités offertes, attendez 24h pour que votre IP soit flushée du firewalling.

Indique que tu n'as pas bloqué le site, mais que tu t'es simplement fait inscrire sur la blacklist... Apache éprouve peut-être certaines faiblesses, mais pf veille...

[SirPuffy]

Dans le cas de DoS comme slowloris/nkiller et autres le principe est connu depuis longtemps et assez simple à limiter.

Le but de ces attaques est d'établir un maximum de connexions sur le serveur distant sans donner suite à la requête. La session reste en attente et d'autres s'accumulent derrière.

Ce qu'il faut savoir c'est qu'il n'existe pas au niveau d'Apache de patch contre ce problème il faut donc faire avec ce que l'on a. LigHTTPd est quant à lui bien immunisé contre ce genre d'attaque.

Pour palier à ce genre de dénis il existe deux techniques qui ont fait leurs preuves :

• Changer la valeur "Timeout" de votre fichier httpd.conf. Il est conseillé de la baisser fortement dans les 30s environ. Vous pouvez également baisser le nombre de MaxKeepAliveRequests mais il s'agit d'un équilibre à mesurer et c'est un choix personnel selon son serveur pour doser les performances.

• Régler Packet Filter (ou ipf, iptables ...) pour bloquer un nombre trop important de requêtes. Par exemple 60 requêtes en une minutes (max-src-conn-rate 60/60) restent très suffisantes pour un utilisateur lambda qui prend notamment le temps de lire le contenu du site.

Pour illustrer le cas d'avant-hier l'attaque n'a eu aucun effet notable n'ayant duré que très peu de temps, temps pour PF de détecter le dépassement des règles et de bloquer l'IP de l'attaquant.

[Blowup]

Merci alors je me suis documenté et ca a l'air vraiment bien comme système j'ai juste peur que ca soit difficile a prendre en main je ne connais que linux debian et ubuntu
en tout cas c'est pas avec metasploit que je vais arriver quelquechose vu le systeme

vais tester en tout cas ca a l'air vraiment d'être la référence en sécurité.

[SirPuffy]

Quote:

Originally Posted by 0wnage

arrete de pleurer parce que jtai fait peté ton site de noob.

de plus, tu me fait terriblement rire avec tes bans d'ip inutiles.

Oh mon Dieu oui regarde là il est inaccessible, saturé, on m'a rooté, le challenge est foutu ... ou pas tout va bien en fait depuis le départ et jusqu'à preuve du contraire (ah si tu l'as dit "olol mdr jé P.T ton serv jrosk", crédible quoi ...).

Allez je vais te faire plaisir à t'en faire péter tes boutons d'acné : J'avoue tu es complètement un Kévin Mitnick en puissance ...
Enfin plus Kévin que Mitnick quoi hinhin

Quote:

Originally Posted by Blowup

Merci alors je me suis documenté et ca a l'air vraiment bien comme système j'ai juste peur que ca soit difficile a prendre en main je ne connais que linux debian et ubuntu
en tout cas c'est pas avec metasploit que je vais arriver quelquechose vu le systeme

vais tester en tout cas ca a l'air vraiment d'être la référence en sécurité.

C'est vraiment pas compliqué si tu utilises déjà linux.
Après tu as juste quelques changements au niveau de la configuration du firewalling (PF à la place d'IPTables) et de certains services mais au final c'est assez identique.
Il y a juste l'install à prendre en main (et qui s'améliore grandement à la 4.6). Sachant qu'il s'agit d'un système très bien documenté tu devrais t'en sortir.

Puis bon tu as de plus en plus de tutos sur le wiki d'openbsd-france et la communauté est assez réactive sur IRC (#openbsd.fr@freenode). Voilà en gros

[Shemsu-Hor]

Ce qui me fait rire, c'est qu'il pense que personne n'a essayé avant lui en plus... Ça doit vraiment être LE boss.

[~LCF~]

Quote:

je lui ai downé son site

Pour ma part, j'ai pu constater que non...

Quote:

retourne t'acheté un OS, surtout que IIS de Krosoft n'est meme pas vulnerable a ce genre d'attaque.

Pas vulnérable aux (D)DOS ??! Qu'est-ce qu'on peut entendre comme connerie ! C'est vrai que cette fonction pourrait être implémentée au sein d'apache, mais
1) Ça devient redondant (quoiqu'en sécurité, cela devient plus discutable)
2) Si le serveur lui même DOIT se défendre, alors ton firewall ne sert à rien... Si une défense a été développée sur IIS (même si c'est bien du point de vu de la sécurité), c'est que des gens se sont plaint... Et dans ce cas, cela signifie qu'ils n'avaient pas de firewall potable...
3) Au pire, il existe des modules pour apache permettant de remplir cette fonction...
4) je ne connais pas bien IIS, mais s'il ne finit pas par bannir les IP sources du DDoS, alors il est tout bonnement merdique : si on est supposé pouvoir exécuter une certaine tâche, il faut pouvoir l'exécuter jusqu'au bout, sinon c'est de la perte de temps, d'argent et de l'abus de confiance.

Quote:

LCF d'un il a pas mon ip enfin mon ip reelle car je passe par vpn

Par vpn O_o... Tu as conscience de ce que signifie le "p" de vpn... Si par là tu veux dire botnet, alors là c'est autre chose (pris pour que SirPuffy ne porte pas plainte ou pour que tu n'ai fais AUCUNE erreur...)

Quote:

de 3 il a de lui meme dit qu'on a le droit de tenter un hack sur son serveur en clair tu dit carrement de la merde sur ce coup la. :-o

<<Objectif : Mettre à mal la sécurité du serveur par tous les moyens possibles.>>
Voici l'objectif, suivent les règles...
<<Pas de DoS/DDoS, quels qu'ils soient.>>
C'est clair non ? Et dans le reste des règles, rien ne t'y autorise... Mais bon, tu n'as sans doute pas compris que l'intérêt de ce challenge est de compromettre le serveur, pas de la mettre hors ligne... (en outre, les DDoS comme ceux mis en oeuvre dans tes scripts sont archi connus et n'ont donc aucune chance de fonctionner)

Quote:

PS: c'est pas parce que vous avez la haine parce que j'ai fait sauter son serveur pendant 2 ou 3 heures qu'il faut etre desagreable avec moi, vous etes nuls vous etes nul. c'est pas de ma faute..

Quelqu'un à remarqué que le site était down pendant deux trois heures pendant cette journée là ? Parce que moi, non...


@SirPuffy : je n'ai jamais eu l'occasion d'utiliser pf, d'après ce que j'en ai lu, les fonctions sont proches de netfilter/iptables... Est-il possible, dans le cas où une attaque est repérée, de modifier certaines règles de filtrage. Par exemple, tu bloques une IP ayant envoyé plus de 100 requêtes dans la minute, une fois l'IP bloquée, pf change automatiquement le nombre de requête max par minute à 40 pendant 30 secondes puis repasse en mode "normal" ? Je ne sais pas si c'est possible, mais ce genre de modification me semble utile dans le cas d'un DDos justement (pas forcément dans l'exemple que j'ai donné, mais c'est pour faire simple)...

[SirPuffy]

Quote:

Originally Posted by ~LCF~

Par vpn O_o... Tu as conscience de ce que signifie le "p" de vpn... Si par là tu veux dire botnet, alors là c'est autre chose (pris pour que SirPuffy ne porte pas plainte ou pour que tu n'ai fais AUCUNE erreur...)

Kévin a pas compris que la Hollande faisait partie de l'Europe ...

Quote:

Originally Posted by ~LCF~

@SirPuffy : je n'ai jamais eu l'occasion d'utiliser pf, d'après ce que j'en ai lu, les fonctions sont proches de netfilter/iptables... Est-il possible, dans le cas où une attaque est repérée, de modifier certaines règles de filtrage. Par exemple, tu bloques une IP ayant envoyé plus de 100 requêtes dans la minute, une fois l'IP bloquée, pf change automatiquement le nombre de requête max par minute à 40 pendant 30 secondes puis repasse en mode "normal" ? Je ne sais pas si c'est possible, mais ce genre de modification me semble utile dans le cas d'un DDos justement (pas forcément dans l'exemple que j'ai donné, mais c'est pour faire simple)...

Comme ça je pense pas non. De toute façon dans le cas d'un DDOS (pas DoS à deux ronds que nous a pondu kévin dans son état de script kiddie qui percute que dalle) la seule chose que l'on puisse faire est limiter les dégâts jusqu'à un certain stade.
Si le gars derrière a un vrai botnet et qu'il attaque ma connexion ADSL2+ une fois le cap des 20Mbit/s dépassés c'est terminé. Même si je bloque la totalité du trafic je ne peux pas empêcher de recevoir les packets même si je les drops à l'arrivée. Au final la connexion tombe et il n'y a plus qu'à attendre que le gars stoppe son attaque.

Par contre un outils très important en complément de PF est Snort. Lui analyse les packets reçus, émet des alertes et bloque l'attaquant. On a une vraie visibilité sur les attaques potentielles.

Enfin, PortSentry très utile pour détecter les scans de ports qui sont en général la première étape d'une attaque.