Ce serveur est-il réaliste?

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Ce serveur est-il réaliste?

Messagepar Franck78 » 25 Juil 2010 13:47

Bonjour tous,

Dans un périmètre assez éloigné de mon taf actuel, j'ai une machine disposée ainsi sur internet. J'ai bien entendu mon avis personnel dessus mais ce qu'il me plairaît de lire, c'est le vôtre. Le sentiment qui se dégage, les raisons conduisant à cet état, bref tout ce qui vous passe par la tête.

Je ne demande ni solution ni d'action à entreprendre. Juste vos sentiments.


Situation
Le serveur est hébergé dans un datacenter standart.

Recherche
Code: Tout sélectionner
nmap -O -sS x.x.x.182

Starting Nmap 4.62 ( http://nmap.org ) at 2010-07-25 12:12 CEST
Interesting ports on :
Not shown: 1708 filtered ports
PORT     STATE  SERVICE
21/tcp   open   ftp
25/tcp   open   smtp
80/tcp   open   http
110/tcp  open   pop3
143/tcp  open   imap
443/tcp  closed https
3389/tcp open   ms-term-serv
Device type: general purpose
Running: Microsoft Windows 2003
OS details: Microsoft Windows Server 2003 SP1 or SP2

oh, 3389, bureau à distance ?!

Code: Tout sélectionner
rdesktop x.x.x.182

La fenêtre de login dans le serveur windows s'affiche (serveur 2003, pas de R2)
Compte 'invité' désactivé

Code: Tout sélectionner
ftp -n -e  x.x.x.182
Connected to x.x.x.182.
220-FileZilla Server version 0.9.23 beta
220-written by Tim Kosse (Tim.Kosse@gmx.de)
220 Please visit http://sourceforge.net/projects/filezilla/
Remote system type is UNIX.
ftp> user administrateur
331 Password required for administrateur
Password:
530 Login or password incorrect!
Login failed.
ftp> user anonymous
331 Password required for anonymous
Password:
530 Login or password incorrect!
Login failed.
ftp> user xxxxxxxxxxxxyui
331 Password required for xxxxxxxxxxxxyui
Password:
530 Login or password incorrect!
Login failed.
ftp> quit
221 Goodbye

Version filezilla 0.9.23 sortie le 2007-02-27

Extrait de la page index.html
Code: Tout sélectionner
<META NAME="ColdFusionMXEdition" CONTENT="ColdFusion DevNet Edition - Not for Production Use.">

Pas de license, la version développeur est utilisée.
Une recherche Google donne un maximum de réponses aux alentours de 2006, soit très probablement une version 6 ou 7 de coldfusion.


Code: Tout sélectionner
Missing Fuseaction
In circuit "home_main" the fuseaction "1" was not found.

The error occurred in F:\sites\xces.com\adm\com\securityManager.cfc: line 70
Called from F:\sites\xces.com\fusebox.init.cfm: line 77
Called from F:\sites\xces.com\fusebox4.runtime.cfmx.cfm: line 170
Called from F:\sites\xces.com\fusebox4.runtime.cfmx.cfm: line 2
Called from F:\sites\xces.com\fusebox4.runtime.cfmx.cfm: line 1
Called from F:\sites\xces.com\fusebox4.runtime.cfmx.cfm: line 1
Called from F:\sites\xces.com\index.cfm: line 9

68 :                <cfcatch type="expression">
69 :                     <cfthrow type="application" message="Missing Fuseaction"
70 :                          detail='In circuit "#thisCircuit#" the fuseaction "#thisFuseaction#" was not found.' />
71 :                </cfcatch>
72 :                </cftry>                   

Version développeur donc, toujours en mode debug.
Fusebox 4, actif en 2003,2004,2005

Code: Tout sélectionner
telnet x.x.x.182 25
Trying x.x.x.182...
Connected to x.x.x.182.
Escape character is '^]'.
IP y.y.y.5.47061 > x.x.x.182.25: S 2179442891:2179442891(0) win 5840 <mss 1460,sackOK,timestamp 43462229 0,nop,wscale 5>
IP x.x.x.182.25 > y.y.y.5.47061: S 2117104250:2117104250(0) ack 2179442892 win 5844 <mss 1960,sackOK,timestamp 568924409 43462229,nop,wscale 0>
IP y.y.y.5.47061 > x.x.x.182.25: . ack 1 win 183 <nop,nop,timestamp 43462232 568924409>
IP x.x.x.182.25 > y.y.y.5.47061: F 1:1(0) ack 1 win 5844 <nop,nop,timestamp 568924410 43462232>
Connection closed by foreign host.
IP y.y.y.5.47061 > x.x.x.182.25: F 1:1(0) ack 2 win 183 <nop,nop,timestamp 43462235 568924410>
test:~# IP x.x.x.182.25 > y.y.y.5.47061: . ack 2 win 5844 <nop,nop,timestamp 568924411 43462235>

Port ouvert avec rien derrière.
Idem pour 110 et 143.

Alors, vos impressions (pas solution)?
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar ccnet » 26 Juil 2010 11:39

Ma première impression est que ce serveur est peu sûr. Coldfusion 6.x et 7.x ont fait l'avis de plusieurs alertes publiées par le Certa. Il donne aussi l'impression que rien n'est à jour ni patché pour avoir des chances de résister à une exposition sur internet. A moins que ce soit volontaire ...
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar HP77 » 26 Juil 2010 14:44

Hello,

- Soit une machine de développement "oubliée" (ça se peut vraiment ça ?) ou "réhabilité" (on branche sur le réseau et on allume. On verra ensuite...)
- Soit un "petit" serveur officieux pour échanges de fichiers entre collègues. :roll:

Maintenant, comme je ne suis pas un expert en Win2003 Server et cie... [edit]Je n'ai pas encore idée de quelle(s) faille(s) de séccurité pouvant sauter aux yeux des connaisseurs. Sur ce, je me rendors.[/edit]

HP_
Dernière édition par HP77 le 26 Juil 2010 18:29, édité 1 fois au total.
Ma config perso : ATGC3-I (=Atom 330) + 1x 2GB RAM DDR2 + 2x HDD SATA 500 GB en RAID 1 logiciel
--> Mini-Serveur à la maison (derrière une "Box")
--> configuration réseau
A lire : The SME Server Developer's Guide (EN)
HP77
Contre-Amiral
Contre-Amiral
 
Messages: 491
Inscrit le: 25 Nov 2009 06:44
Localisation: Singapour

Messagepar Franck78 » 26 Juil 2010 18:00

HP77 a écrit:Hello,
- Soit un "petit" serveur officieux pour échanges de fichiers entre collègues. :roll:

Non, il est en ligne et héberge le site web.

@@ccnet,
pot de miel? pas assez à jour pour ça, pas assez réaliste.
Il donne aussi l'impression que rien n'est à jour ni patché pour avoir des chances de résister à une exposition sur internet
et qui est le signe ?
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar philippe_PMA » 27 Juil 2010 09:47

Mon premier sentiment était honeypot.
Mais puisque ça ne semble pas réaliste, je vote pour serveur de dév. oublié.

En tout cas, sauf si honeypot ou assimilé, ça montre une certaine négligence en matière de sécurité et / ou simplement de méconnaissance.

S'il y avait méconnaissance totale, il y aurait plus de ports ouverts.
Donc méconnaissance partielle et / ou négligence partielle.

Philippe, pas spécialiste, qui donne ça langue au chat ;-)
philippe_PMA
Major
Major
 
Messages: 73
Inscrit le: 18 Déc 2007 21:01

Messagepar philippe_PMA » 27 Juil 2010 09:56

Un serveur laissé comme ça par un ancien salarié et qui via un Port knocking permet d'ouvrir le https ...
?
philippe_PMA
Major
Major
 
Messages: 73
Inscrit le: 18 Déc 2007 21:01

Re: Ce serveur est-il réaliste?

Messagepar tomtom » 19 Août 2010 00:57

Hi,

Avant d'avoir lu les autres réponses, j'aurais dit honypot également. Des ports standard en écouté avec rien derrière, des versions éminemment vulnérables..... Mais honeypot ancien, plutôt fait a la main...


Ou alors en effet un serveur de dev oublie, mais j'ai du mal a voir alors pourquoi le smtp imap ouvert.
Quand au portknocking, ce serait bizarre alors d'y mettre un rdp. Que dit le fingerprinting nmap par curiosité ?

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Re: Ce serveur est-il réaliste?

Messagepar tomtom » 19 Août 2010 01:08

Intéressant aussi "remote system type : UNIX" sur un serveur winwin....
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Re: Ce serveur est-il réaliste?

Messagepar Franck78 » 19 Août 2010 01:49

C'est vraiment un serveur windows 2003 de prod. Pas honeypot, pas dev.
#nmap -O
Starting Nmap 5.00 ( http://nmap.org ) at 2010-08-19 01:31 CEST
Interesting ports on x.x.x.182:
Not shown: 992 filtered ports
PORT STATE SERVICE
...
Running: Microsoft Windows 2003
OS details: Microsoft Windows Server 2003 SP1 or SP2


Il est donc plutôt vulnérable, nous sommes d'accord.
Laisser RDP fonctionnel pour toutes les IP est complètement aberrant en soi.
Effectivement j'abonde l'hypothèse serveur dev passé en prod sans nettoyage.

La question que je me pose est "comment un tel serveur peut être mis en ligne?"
-service acheté au rabais?
-exploitant inconscient?
-propriétaire mené en bateau?
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Re: Ce serveur est-il réaliste?

Messagepar Stirner » 20 Août 2010 07:05

Salut,

La question que je me pose est "comment un tel serveur peut être mis en ligne?"
-service acheté au rabais?
-exploitant inconscient?
-propriétaire mené en bateau?


Les trois mon Amiral. Et je pense que ce n'est certainement pas le seul dans ce cas la, il suffit de regarder du coté du site http://www.elysee.fr/president/accueil.1.html qui tourne en parti sous IIS 5.0 est a couté environ 100 000€ no comment.
Avatar de l’utilisateur
Stirner
Vice-Amiral
Vice-Amiral
 
Messages: 777
Inscrit le: 06 Jan 2006 07:45
Localisation: Calva...Dos...

Re: Ce serveur est-il réaliste?

Messagepar HP77 » 20 Août 2010 07:21

Stirner a écrit:...
Les trois mon Amiral. Et je pense que ce n'est certainement pas le seul dans ce cas la, il suffit de regarder du coté du site http://www.elysee.fr/president/accueil.1.html qui tourne en parti sous IIS 5.0 est a couté environ 100 000€ no comment.

Tu veux dire "en partie" ou bien en parti... (politique) ou bien encore en "party" ? :-ooo:
:lol: :wink:

Well, well, well... :roll:
C'est bon, je connais la sortie... :arrow: []
Ma config perso : ATGC3-I (=Atom 330) + 1x 2GB RAM DDR2 + 2x HDD SATA 500 GB en RAID 1 logiciel
--> Mini-Serveur à la maison (derrière une "Box")
--> configuration réseau
A lire : The SME Server Developer's Guide (EN)
HP77
Contre-Amiral
Contre-Amiral
 
Messages: 491
Inscrit le: 25 Nov 2009 06:44
Localisation: Singapour

Re: Ce serveur est-il réaliste?

Messagepar jdh » 20 Août 2010 08:40

Ma petite expérience personnelle :

Dans une société (moyenne), j'ai participé, de loin ou de près, à 3 projets de sites web (il y a longtemps) :
- un site pour vendre : échec, coût ~60k€, raisons : très mauvaise architecture (mélange de windows et unix + mauvais moteur web), rôle entreprise : définition + trouver hébergeur + lien avec les serveurs internes.
- un site de communication : succès, coût : dév ~ 90k€, héb ~1,8k€/an, multilingues (7), iis + access, rôle entreprise : contenu + données + mise à jour, le tout en multilingue
- un site de communication + vente : succès, coût : dév = énauoooorme, héb = au début énauoooorme, multilingues, iis +sql, rôle entreprise : payer !, mon rôle : rapatrier l'hébergement : hardware ~60 k€ + ligne 3,3k€ /an (et j'ai pris confortable).
Comme me disait mon chef "on délègue quand on maitrise" (ou quand on connait rien !).
Là, quand on connait rien (ou on ne veut pas se servir des compétences internes), on se fie au nom de la ssii ou web agency et ... on se fait arnaquer ... plus ou moins selon la taille des participants !

Il faut savoir qu'un site web, c'est de la communication, et c'est donc forcément très cher ...


Bref, de mon point de vue, 100.000€ pour le site de l'élysée, c'est "assez rien" !
Rien à voir avec les 4M € dont on parle pour france.fr (qui est sous Drupal semble-t-il) ce qui serait assez incompréhensible pour le français moyen (~2000 €/mois).


Pour revenir au sujet,

supposons que le serveur correspondent à un site web, il peut correspondre alors à
- un serveur windows 2003 (il existe une version "web edition" cf http://fr.wikipedia.org/wiki/Microsoft_ ... erver_2003 )
- le service rdp est dispo et peut être utilisé pour lancer une appli de mise à jour de données (idiot mais possible : soit une partie web admin, soit un ftp, soit un pptp puis rdp),
- le service partage de fichier a été enlevé (logique),
- le serveur iis a été remplacé par ColdFusion qui a été "à la mode" (enfin un peu) il y a longtemps,

Le rôle de l'hébergeur consiste à
- fournir une machine,
- relier cette machine à Internet pour qu'elle soit accessible,
- alimenter électriquement (et "climatiquement"),
- maintenir hardwarement,
- sauvegarder les données,
- patcher l'OS et les services,
- MAIS pas upgrader (que se passerait-il si l'upgrade obligeait à modifier le site ?)

Bref un rôle assez limité passé le premiers mois lors de la mise en place.
Et surtout très visible si le site reste dispo pendant 5, 6, 7 ans ... (2003-2010 = 8 ans)
C'est pourquoi les sites changent tous les 3 ans ...

Si smtp et pop/imap sont ouverts et vides, c'est sans doute que iis est mal configuré ... Peut-être que c'était comme cela à l'époque ?
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Re: Ce serveur est-il réaliste?

Messagepar S0l0 » 27 Août 2010 15:13

tout de ce qui a de plus realiste :D

Le fait qui est autant de port ouvert est le fonctionnement par defaut de windows2003 dans les versions anterieur a R2 :P , et meme s'il n'y a rien de configurer derriere, les services sont presents et en attente d'etre exploiter :mrgreen: (du moins pour ce qui est des services reseaux )
Avatar de l’utilisateur
S0l0
Contre-Amiral
Contre-Amiral
 
Messages: 407
Inscrit le: 01 Déc 2005 20:52
Localisation: 21 55

Re: Ce serveur est-il réaliste?

Messagepar makhdodo » 28 Août 2010 17:16

On dirais un joli honey pot :oops:
makhdodo
Matelot
Matelot
 
Messages: 1
Inscrit le: 28 Août 2010 17:04

Re: Ce serveur est-il réaliste?

Messagepar loubard » 10 Sep 2010 10:08

un server de dev sur le web .... c'est franchement idiot. Je pense pour ma part que l'admin a coller cette bécane sur une DMZ sans le savoir et qu'il pense qu'elle est bien au chaud derrière un fw, sur le lan. Ou alors tout simplement une machine qui est là non pas en honeypot mais tout simplement pour analyser un maximum de faille de sécurité, mais franchement sur des versions datant de la guerre.
une possibilité de connaitre la véritable adresse (lan) de cette machine ?
Loub'
celeron 500 128Mo sdram -MONOWALL- no HDD
Lan+DMZ freeadsl Mb
Avatar de l’utilisateur
loubard
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 206
Inscrit le: 15 Jan 2004 01:00
Localisation: Lyon

Suivant

Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)