Automatisation des attaques

Ca devient vraiment n’importe quoi… Pour les besoins de l’écriture de mon prochain bouquin, j’ai ouvert un cluster Docker Swarm sur un port 2375, donc sans passer par toute la tambouille des certificats, vu que ce n’est pas pour de la production mais pour des exercices sur quelques heures à peine.

A peine revenu de manger le midi, qu’est-ce que je trouve sur mon cluster ? Un processus pirate de minage de monnaie virtuelle :

image

Et impossible de se débarrasser de ce pou, à chaque fois que je kill le conteneur, un autre apparaît quelques minutes après au mieux.

Je jette un œil aux logs d’une application Node.js que j’ai exposée sur le 8080, et là, même chose : une série complète d’appels “de reconnaissance” sur des URL standards de PhpMyAdmin et Struts2 !

Comme je n’ai besoin du cluster que pour quelques heures, je ne vais pas me taper toute la procédure de sécurisation, mais quand même… ouvrir un port connu sur internet, c’est devenu une activité équivalente à se balader au milieu de hyènes avec un steak accroché au pantalon : il vaut mieux foncer si on n’est pas en 4×4 blindé.

About JP Gouigoux

Jean-Philippe Gouigoux est Architecte Logiciel, MVP Connected Systems Developer. Il intervient régulièrement à l'Université de Bretagne Sud ainsi qu'à l'Agile Tour. Plus de détails sur la page "Curriculum Vitae" de ce blog.
This entry was posted in Sécurité and tagged . Bookmark the permalink.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Captcha Captcha Reload