Skip navigation

 

En cette douce fin d’après-midi du 5 juillet, nous avons pu voir sur twitter et irc de nombreux liens vers le site pagesjaunes.com avec des commentaires comme « Pages jaunes hacké ! », « pages jaunes piraté ! » ou pour certains « pages jaunes hacked ». Pourtant, au dela du nom de domaine, il n’y a aucune trace de pagesjaunes.fr et de nombreux éléments troublants apparaissent.

Les faits

Comme dit un peu plus haut, pagesjaunes.com a « buzzé » après la découverte de son défaçage par un groupuscule pakistanais de script kiddies (screen). Une analyse rapide de la page nous montre qu’il s’agit d’une page en html, avec un petit bout de javascript bidon et une vidéo youtube incorporée (qui est d’ailleurs bloquée).


% file index.html
index.html: HTML document, Non-ISO extended-ASCII text, with CRLF line terminators

Comme on peut le voir ci dessus, ce document a été créé, au moins en partie (présence de CRLF pour terminer les lignes), sous windows.
De plus, dans les en-têtes HTTP envoyés par le serveur, on peut voir ceci :


Last-Modified: Sat, 02 Jul 2011 10:13:07 GMT

La page date donc au moins du Samedi 2 Juillet 2011 à 10h13 (GMT).

Voilà pour les faits.

Pas de pagesjaunes.fr

Nous avons trois informations principales qui nous amènent à dissocier totalement le site pagesjaunes.com du français
pagesjaunes.fr.

  • La première information provient d’un simple whois sur les deux noms de domaines à titre comparatif. Alors que pagesjaunes.fr affiche ceci, pagesjaunes.com affiche lui ceci. On voit donc nettement la différence. Les domaines n’appartenant pas aux mêmes personnes.
  • Le deuxième point est quand à lui judiciaire, comme on peut le voir ici et ici, pagesjaunes.com a été attaqué à plusieurs reprises par pagesjaunes.fr pour diverses raisons, s’en est suivi une interdiction d’utilisation du domaine pagesjaunes.com. De part l’interdiction d’utilisation, il est donc bizarre de voir ce nom de domaine ressurgir ainsi. Vous pouvez également noter qu’il n’y a aucune trace de pages pour ce nom de domaine sur google.
  • Le troisième point est celui des ip, pagesjaunes.fr pointe vers 193.252.242.25 et 193.252.242.125 (merci le round robin pour faire de la répartition de charge). Notez également que via un whois sur ces adresses ip, on peut voir qu’elles appartiennent à France-Télécom/Orange. Concernant pagesjaunes.com, tout est différent. Ce domaine pointe vers l’ip 64.13.232.176, le reverse de cette ip est acmkoieeoc.gs02.gridserver.com (notez bien ce domaine).

Ainsi, vous avez pu voir que ce « défaçage », n’était en rien lié à pagesjaunes.fr contrairement à ce qui était annoncé et relayé sur twitter, irc, facebook ou autre. Je sais que vous n’êtes pas là que pour ça, passons donc à une analyse plus technique de ce défaçage.

Analyse approfondie

Et si on cherchait une porte d’entrée ?

Une petite recherche sur google nous apprend que ce groupuscule n’en est pas à son coup d’essai. Penchons nous un peu sur les résultats de cette recherche, on y trouve de nombreux sites dont un, hostels.france.com, qui attire mon attention, de part son nom. Un petit coup d’host et on retrouve la même ip et le même reverse que précédemment. En tapant gs02.gridserver.com dans son navigateur, on tombe sur mediatemple.net, un hébergeur. On peut donc en déduire que acmkoieeoc.gs02.gridserver.com est un serveur d’hébergement mutualisé. Deux sites piratés par le même groupuscule sur une même plateforme d’hébergement, regardons si le chiffre n’est pas supérieur… Demandons à robtex de nous fournir une liste de noms de domaines à cette ip, nous obtenons ceci. Comme vous je suis faignant, j’ai donc fait un petit script qui, à partir de cette liste partielle (hostels.france.com n’y est pas, on peut donc penser que de nombreux autres sites n’y sont pas référencés), va regarder si cette page de défaçage est présente. Le script en question :

#!/bin/bash
while read url
do
echo -n "$url :"
wget -q -O- $url | grep "Hacked By KiLLerMiNd" > /dev/null 2>&1 && echo -e "33[1;31m yes 33[0m" || echo -e "33[1;32m no 33[0m"
done

On se fait un fichier contenant un nom de domaine par ligne, et on appelle le script comme ceci :

./check.sh < hosts

Ce script affiche un « yes » rouge si le site est défacé et un « no » vert s’il ne l’est pas, rien de bien compliqué. Concernant les résultats, nous avons ainsi pu voir que seul le site amerique.com était lui aussi défacé à l’heure actuelle. Cela nous fait donc un total de 3 sites piratés par ce groupuscule, ça commence à faire beaucoup. Regardons les headers HTTP. Surprise, nous retrouvons un header Last-Modified sur hostels.france.com, d’après lui la page a été modifié le…
Last-Modified: Sat, 02 Jul 2011 10:13:07 GMT
Bingo ! La même seconde que pour pagesjaunes.com. De là plusieurs hypothèses : le header est faux/erroné, c’est une pure coincidence ou un site chez cet hébergeur s’est fait pirater et ce groupuscule en a profité, via une politique de sécurité défaillante chez cet hébergeur, pour défacer d’autres sites hébergés.

C’est ici que se finit ce retour, je vous laisse faire votre propre conclusion concernant ce mini-buzz qui au final cachait quand même quelques petites surprises.

2 Comments

    • Ytther
    • Posted 5 juillet 2011 at 22 h 53 min
    • Permalink

    Chouette.
    Très intéressant, merci :>

  1. Plus efficace pour trouver les vhosts à partir d’une adresse IP :
    http://www.bing.com/search?q=ip%3A64.13.232.176


Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

What is 2 + 13 ?
Please leave these two fields as-is: