Ce serveur est-il réaliste?

par **Franck78** » 25 Juil 2010 13:47

Bonjour tous,

Dans un périmètre assez éloigné de mon taf actuel, j'ai une machine disposée ainsi sur internet. J'ai bien entendu mon avis personnel dessus mais ce qu'il me plairaît de lire, c'est le vôtre. Le sentiment qui se dégage, les raisons conduisant à cet état, bref tout ce qui vous passe par la tête.

Je ne demande ni solution ni d'action à entreprendre. Juste vos sentiments.

Situation
Le serveur est hébergé dans un datacenter standart.

Recherche

Code: Tout sélectionner: nmap -O -sS x.x.x.182 Starting Nmap 4.62 ( http://nmap.org ) at 2010-07-25 12:12 CEST Interesting ports on : Not shown: 1708 filtered ports PORT STATE SERVICE 21/tcp open ftp 25/tcp open smtp 80/tcp open http 110/tcp open pop3 143/tcp open imap 443/tcp closed https 3389/tcp open ms-term-serv Device type: general purpose Running: Microsoft Windows 2003 OS details: Microsoft Windows Server 2003 SP1 or SP2

oh, 3389, bureau à distance ?!

Code: Tout sélectionner: rdesktop x.x.x.182

La fenêtre de login dans le serveur windows s'affiche (serveur 2003, pas de R2)
Compte 'invité' désactivé

Code: Tout sélectionner: ftp -n -e x.x.x.182 Connected to x.x.x.182. 220-FileZilla Server version 0.9.23 beta 220-written by Tim Kosse (Tim.Kosse@gmx.de) 220 Please visit http://sourceforge.net/projects/filezilla/ Remote system type is UNIX. ftp> user administrateur 331 Password required for administrateur Password: 530 Login or password incorrect! Login failed. ftp> user anonymous 331 Password required for anonymous Password: 530 Login or password incorrect! Login failed. ftp> user xxxxxxxxxxxxyui 331 Password required for xxxxxxxxxxxxyui Password: 530 Login or password incorrect! Login failed. ftp> quit 221 Goodbye

Version filezilla 0.9.23 sortie le 2007-02-27

Extrait de la page index.html

Code: Tout sélectionner: <META NAME="ColdFusionMXEdition" CONTENT="ColdFusion DevNet Edition - Not for Production Use.">

Pas de license, la version développeur est utilisée.
Une recherche Google donne un maximum de réponses aux alentours de 2006, soit très probablement une version 6 ou 7 de coldfusion.

Code: Tout sélectionner: Missing Fuseaction In circuit "home_main" the fuseaction "1" was not found. The error occurred in F:\sites\xces.com\adm\com\securityManager.cfc: line 70 Called from F:\sites\xces.com\fusebox.init.cfm: line 77 Called from F:\sites\xces.com\fusebox4.runtime.cfmx.cfm: line 170 Called from F:\sites\xces.com\fusebox4.runtime.cfmx.cfm: line 2 Called from F:\sites\xces.com\fusebox4.runtime.cfmx.cfm: line 1 Called from F:\sites\xces.com\fusebox4.runtime.cfmx.cfm: line 1 Called from F:\sites\xces.com\index.cfm: line 9 68 : <cfcatch type="expression"> 69 : <cfthrow type="application" message="Missing Fuseaction" 70 : detail='In circuit "#thisCircuit#" the fuseaction "#thisFuseaction#" was not found.' /> 71 : </cfcatch> 72 : </cftry>

Version développeur donc, toujours en mode debug.
Fusebox 4, actif en 2003,2004,2005

Code: Tout sélectionner: telnet x.x.x.182 25 Trying x.x.x.182... Connected to x.x.x.182. Escape character is '^]'. IP y.y.y.5.47061 > x.x.x.182.25: S 2179442891:2179442891(0) win 5840 <mss 1460,sackOK,timestamp 43462229 0,nop,wscale 5> IP x.x.x.182.25 > y.y.y.5.47061: S 2117104250:2117104250(0) ack 2179442892 win 5844 <mss 1960,sackOK,timestamp 568924409 43462229,nop,wscale 0> IP y.y.y.5.47061 > x.x.x.182.25: . ack 1 win 183 <nop,nop,timestamp 43462232 568924409> IP x.x.x.182.25 > y.y.y.5.47061: F 1:1(0) ack 1 win 5844 <nop,nop,timestamp 568924410 43462232> Connection closed by foreign host. IP y.y.y.5.47061 > x.x.x.182.25: F 1:1(0) ack 2 win 183 <nop,nop,timestamp 43462235 568924410> test:~# IP x.x.x.182.25 > y.y.y.5.47061: . ack 2 win 5844 <nop,nop,timestamp 568924411 43462235>

Port ouvert avec rien derrière.
Idem pour 110 et 143.

Alors, vos impressions (pas solution)?

par **ccnet** » 26 Juil 2010 11:39

Ma première impression est que ce serveur est peu sûr. Coldfusion 6.x et 7.x ont fait l'avis de plusieurs alertes publiées par le Certa. Il donne aussi l'impression que rien n'est à jour ni patché pour avoir des chances de résister à une exposition sur internet. A moins que ce soit volontaire ...

par **HP77** » 26 Juil 2010 14:44

Hello,

- Soit une machine de développement "oubliée" (ça se peut vraiment ça ?) ou "réhabilité" (on branche sur le réseau et on allume. On verra ensuite...)
- Soit un "petit" serveur officieux pour échanges de fichiers entre collègues. :roll:

Maintenant, comme je ne suis pas un expert en Win2003 Server et cie... [edit]Je n'ai pas encore idée de quelle(s) faille(s) de séccurité pouvant sauter aux yeux des connaisseurs. Sur ce, je me rendors.[/edit]

HP_

par **Franck78** » 26 Juil 2010 18:00

HP77 a écrit:Hello,
- Soit un "petit" serveur officieux pour échanges de fichiers entre collègues.

Non, il est en ligne et héberge le site web.

@@ccnet,
pot de miel? pas assez à jour pour ça, pas assez réaliste.

Il donne aussi l'impression que rien n'est à jour ni patché pour avoir des chances de résister à une exposition sur internet

et qui est le signe ?

par **philippe_PMA** » 27 Juil 2010 09:47

Mon premier sentiment était honeypot.
Mais puisque ça ne semble pas réaliste, je vote pour serveur de dév. oublié.

En tout cas, sauf si honeypot ou assimilé, ça montre une certaine négligence en matière de sécurité et / ou simplement de méconnaissance.

S'il y avait méconnaissance totale, il y aurait plus de ports ouverts.
Donc méconnaissance partielle et / ou négligence partielle.

Philippe, pas spécialiste, qui donne ça langue au chat ;-)

par **philippe_PMA** » 27 Juil 2010 09:56

Un serveur laissé comme ça par un ancien salarié et qui via un Port knocking permet d'ouvrir le https ...
?

par **tomtom** » 19 Août 2010 00:57

Hi,

Avant d'avoir lu les autres réponses, j'aurais dit honypot également. Des ports standard en écouté avec rien derrière, des versions éminemment vulnérables..... Mais honeypot ancien, plutôt fait a la main...

Ou alors en effet un serveur de dev oublie, mais j'ai du mal a voir alors pourquoi le smtp imap ouvert.
Quand au portknocking, ce serait bizarre alors d'y mettre un rdp. Que dit le fingerprinting nmap par curiosité ?

t.

par **tomtom** » 19 Août 2010 01:08

Intéressant aussi "remote system type : UNIX" sur un serveur winwin....

par **Franck78** » 19 Août 2010 01:49

C'est vraiment un serveur windows 2003 de prod. Pas honeypot, pas dev.

#nmap -O
Starting Nmap 5.00 ( http://nmap.org ) at 2010-08-19 01:31 CEST
Interesting ports on x.x.x.182:
Not shown: 992 filtered ports
PORT STATE SERVICE
...
Running: Microsoft Windows 2003
OS details: Microsoft Windows Server 2003 SP1 or SP2

Il est donc plutôt vulnérable, nous sommes d'accord.
Laisser RDP fonctionnel pour toutes les IP est complètement aberrant en soi.
Effectivement j'abonde l'hypothèse serveur dev passé en prod sans nettoyage.

La question que je me pose est "comment un tel serveur peut être mis en ligne?"
-service acheté au rabais?
-exploitant inconscient?
-propriétaire mené en bateau?

par **Stirner** » 20 Août 2010 07:05

Salut,

La question que je me pose est "comment un tel serveur peut être mis en ligne?"
-service acheté au rabais?
-exploitant inconscient?
-propriétaire mené en bateau?

Les trois mon Amiral. Et je pense que ce n'est certainement pas le seul dans ce cas la, il suffit de regarder du coté du site http://www.elysee.fr/president/accueil.1.html qui tourne en parti sous IIS 5.0 est a couté environ 100 000€ no comment.

par **HP77** » 20 Août 2010 07:21

Stirner a écrit:...
Les trois mon Amiral. Et je pense que ce n'est certainement pas le seul dans ce cas la, il suffit de regarder du coté du site http://www.elysee.fr/president/accueil.1.html qui tourne en parti sous IIS 5.0 est a couté environ 100 000€ no comment.

Tu veux dire "en partie" ou bien en parti... (politique) ou bien encore en "party" ? :-ooo:

Well, well, well... :roll:

C'est bon, je connais la sortie... :arrow:

[]

par **jdh** » 20 Août 2010 08:40

Ma petite expérience personnelle :

Dans une société (moyenne), j'ai participé, de loin ou de près, à 3 projets de sites web (il y a longtemps) :
- un site pour vendre : échec, coût ~60k€, raisons : très mauvaise architecture (mélange de windows et unix + mauvais moteur web), rôle entreprise : définition + trouver hébergeur + lien avec les serveurs internes.
- un site de communication : succès, coût : dév ~ 90k€, héb ~1,8k€/an, multilingues (7), iis + access, rôle entreprise : contenu + données + mise à jour, le tout en multilingue
- un site de communication + vente : succès, coût : dév = énauoooorme, héb = au début énauoooorme, multilingues, iis +sql, rôle entreprise : payer !, mon rôle : rapatrier l'hébergement : hardware ~60 k€ + ligne 3,3k€ /an (et j'ai pris confortable).
Comme me disait mon chef "on délègue quand on maitrise" (ou quand on connait rien !).
Là, quand on connait rien (ou on ne veut pas se servir des compétences internes), on se fie au nom de la ssii ou web agency et ... on se fait arnaquer ... plus ou moins selon la taille des participants !

Il faut savoir qu'un site web, c'est de la communication, et c'est donc forcément très cher ...

Bref, de mon point de vue, 100.000€ pour le site de l'élysée, c'est "assez rien" !
Rien à voir avec les 4M € dont on parle pour france.fr (qui est sous Drupal semble-t-il) ce qui serait assez incompréhensible pour le français moyen (~2000 €/mois).

Pour revenir au sujet,

supposons que le serveur correspondent à un site web, il peut correspondre alors à
- un serveur windows 2003 (il existe une version "web edition" cf http://fr.wikipedia.org/wiki/Microsoft_ ... erver_2003 )
- le service rdp est dispo et peut être utilisé pour lancer une appli de mise à jour de données (idiot mais possible : soit une partie web admin, soit un ftp, soit un pptp puis rdp),
- le service partage de fichier a été enlevé (logique),
- le serveur iis a été remplacé par ColdFusion qui a été "à la mode" (enfin un peu) il y a longtemps,

Le rôle de l'hébergeur consiste à
- fournir une machine,
- relier cette machine à Internet pour qu'elle soit accessible,
- alimenter électriquement (et "climatiquement"),
- maintenir hardwarement,
- sauvegarder les données,
- patcher l'OS et les services,
- MAIS pas upgrader (que se passerait-il si l'upgrade obligeait à modifier le site ?)

Bref un rôle assez limité passé le premiers mois lors de la mise en place.
Et surtout très visible si le site reste dispo pendant 5, 6, 7 ans ... (2003-2010 = 8 ans)
C'est pourquoi les sites changent tous les 3 ans ...

Si smtp et pop/imap sont ouverts et vides, c'est sans doute que iis est mal configuré ... Peut-être que c'était comme cela à l'époque ?

par **S0l0** » 27 Août 2010 15:13

tout de ce qui a de plus realiste

Le fait qui est autant de port ouvert est le fonctionnement par defaut de windows2003 dans les versions anterieur a R2

, et meme s'il n'y a rien de configurer derriere, les services sont presents et en attente d'etre exploiter :mrgreen:

(du moins pour ce qui est des services reseaux )

par **makhdodo** » 28 Août 2010 17:16

On dirais un joli honey pot :oops:

par **loubard** » 10 Sep 2010 10:08

un server de dev sur le web .... c'est franchement idiot. Je pense pour ma part que l'admin a coller cette bécane sur une DMZ sans le savoir et qu'il pense qu'elle est bien au chaud derrière un fw, sur le lan. Ou alors tout simplement une machine qui est là non pas en honeypot mais tout simplement pour analyser un maximum de faille de sécurité, mais franchement sur des versions datant de la guerre.
une possibilité de connaitre la véritable adresse (lan) de cette machine ?

Ce serveur est-il réaliste?

Ce serveur est-il réaliste?

Re: Ce serveur est-il réaliste?

Re: Ce serveur est-il réaliste?

Re: Ce serveur est-il réaliste?

Re: Ce serveur est-il réaliste?

Re: Ce serveur est-il réaliste?

Re: Ce serveur est-il réaliste?

Re: Ce serveur est-il réaliste?

Re: Ce serveur est-il réaliste?

Re: Ce serveur est-il réaliste?

Qui est en ligne ?