Archives de catégorie : Sécurité

France Soir n’est plus un journal, c’est une usine a clic pour les complotistes.

Publié le par
Répondre

76 x served & 3 x viewed

France Soir n’est plus un journal, c’est une usine a clic pour les complotistes. Merci d’arreter de lire les articles ! Et merci d’arreter de les diffuser !

Merci de voir : https://www.newsguardtech.com/wp-content/uploads/2020/07/FranceSoir.fr_FrenchVersion-1.pdf

Le site de France-Soir, un ancien grand journal national qui a étérelancé en ligne en 2015, et qui a publié des allégations non fondéessur la pandémie de COVID-19.

Soyez vigilants : ce site web nerespecte pas plusieurs principesjournalistiques de base.

Voir : https://www.franceinter.fr/emissions/l-edito-m/l-edito-m-21-octobre-2019

A ceci près que France Soir se présente comme un « quotidien d’information général 100% numérique ». Sans journalistes ? Ça, c’est inadmissible.

Voir : https://www.liberation.fr/checknews/2020/11/10/francesoir-ceci-n-est-plus-un-journal_1803644 :

Depuis le début de la pandémie de Covid-19, le site FranceSoir, héritier du titre de presse du même nom, pèse dans le débat public à grands coups de tribunes sur l’hydroxychloroquine ou la fin de l’épidémie. Le tout sans journaliste, sans statut d’entreprise de presse, et avec un modèle économique atypique.

Voir : https://fr.wikipedia.org/wiki/France-Soir#Relance_de_France-Soir_en_version_num%C3%A9rique_et_d%C3%A9part_des_derniers_journalistes

Le 19 octobre 2019, il est annoncé que les quatre journalistes de la rédaction seront licenciés pour motif économique43,44. Malgré ces licenciements, le site web FranceSoir ambitionne de poursuivre la publication de contenus39. Le 21 octobre 2019, les licenciements sont confirmés et l’appellation « site d’information » de France-Soir est désormais publiquement dénoncée comme fallacieuse par la journaliste Sonia Devillers sur France Inter45.

Le site poursuit ses publications après 2019 sous le titre FranceSoir ; il fait dès lors l’objet de critiques pour avoir diffusé des informations fausses ou relayé des contenus complotistes.

Voir : https://www.rtl.fr/emission/fact-checking/coronavirus-non-le-confinement-n-a-pas-accelere-le-nombre-de-morts-dues-au-virus-7800605570 :

Repérée par le journal Le Monde, cette intox a été publiée début juin sur le site de France-Soir. Il s’agît d’un graphique classant les pays par mode de confinement démontrant soi-disant que les pays ayant confiné strictement sont aussi les pays où il y a le plus de morts.

Voir : https://www.newsguardtech.com/fr/coronavirus-misinformation-tracking-center/ : Centre de Suivi de la mésinformation sur le Coronavirus : Site avec désinformation

Voir : https://www.lefigaro.fr/actualite-france/covid-19-hold-up-le-documentaire-sur-un-complot-mondial-qui-fait-polemique-20201112 :

Certains écrivent pour France Soir, à l’image Xavier Alzabert, directeur de publication de cet ancien titre de presse aujourd’hui animé par des chroniqueurs bénévoles. D’autres sont des membres de l’association BonSens, un «lobby citoyen» fondé par la députée Marine Wonner pour «assurer la transparence des décisions» du gouvernement face à l’épidémie.

 

LiveBox Orange Pro : Tous les certificats sont deads …suite a une mise à jours ?!

Publié le par
Répondre

46 x served & 6 x viewed

Avec Orange c’est l’enfer, impossible de monter une architecture stable … toujours des problèmes.

Normalement j’ai un NAT vers une IP locale, et ce NAT fait que j’utilise le certificat mis sur l’IP locale.

Quand je fais sur l’IP publique :

openssl s_client -showcerts -connect 80.15.48.50:443
CONNECTED(00000003)
Can't use SSL_get_servername
depth=1 C = FR, O = Orange, CN = Orange Devices Generic27 CA
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 C = FR, O = Orange, CN = CCD42E-Livebox Fibre-JA20086CN001383
verify return:1
---
Certificate chain
 0 s:C = FR, O = Orange, CN = CCD42E-Livebox Fibre-JA20086CN001383
   i:C = FR, O = Orange, CN = Orange Devices Generic27 CA

Au vue du nmap c’est la gateway qui a une mauvaise information :

nmap -p 443 --script ssl-cert my.cyber-neurones.org

Starting Nmap 7.60 ( https://nmap.org ) at 2020-11-10 10:33 CET
Nmap scan report for my.cyber-neurones.org (80.15.48.50)
Host is up (0.0013s latency).
rDNS record for 80.15.48.50: laubervilliers-658-1-140-50.w80-15.abo.wanadoo.fr

PORT    STATE SERVICE
443/tcp open  https
| ssl-cert: Subject: commonName=CCD42E-Livebox Fibre-JA20086CN001383/organizationName=Orange/countryName=FR
| Subject Alternative Name: IP Address:192.168.1.1, DNS:livebox
| Issuer: commonName=Orange Devices Generic27 CA/organizationName=Orange/countryName=FR
| Public Key type: rsa
| Public Key bits: 2048
| Signature Algorithm: sha256WithRSAEncryption
| Not valid before: 2020-02-24T10:42:58
| Not valid after:  2035-02-24T10:42:58
| MD5:   d286 3014 37db 5f61 3200 bc17 1d06 f386
|_SHA-1: 8d58 ba94 db74 2d01 ca2c a1bd bcef b792 a558 bed1

Nmap done: 1 IP address (1 host up) scanned in 1.97 seconds

Par l’exterieur je n’ai pas de problème. C’est donc le DNS qui fait un mauvais routage :

# nmcli device show wlp64s0 | grep "IP4.DNS"
IP4.DNS[1]:                             80.10.246.2
IP4.DNS[2]:                             80.10.246.129

Quand je fais sur le nom de domaine (en local):

openssl s_client -showcerts -connect sat.cyber-neurones.org:443
CONNECTED(00000003)
depth=1 C = FR, O = Orange, CN = Orange Devices Generic27 CA
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 C = FR, O = Orange, CN = CCD42E-Livebox Fibre-JA20086CN001383
verify return:1
---
Certificate chain
 0 s:C = FR, O = Orange, CN = CCD42E-Livebox Fibre-JA20086CN001383
   i:C = FR, O = Orange, CN = Orange Devices Generic27 CA
-----BEGIN CERTIFICATE-----

Quand je fais sur l’IP locale j’ai le bon certificat (pareil si je passe par l’exterieur):

openssl s_client -showcerts -connect 192.168.1.42:443
CONNECTED(00000003)
Can't use SSL_get_servername
depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
verify return:1
depth=0 CN = sat.cyber-neurones.org
verify return:1
---
Certificate chain
 0 s:CN = sat.cyber-neurones.org
   i:C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3

Voici l’erreur que j’ai :

$ curl https://sat.cyber-neurones.org:443
curl: (60) SSL certificate problem: unable to get local issuer certificate
More details here: https://curl.haxx.se/docs/sslcerts.html

curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the web page mentioned above.

Le probleme a commencé vers 02h du matin par surement un reboot de la livebox :

Nov 10 02:22:18 cyber-neurones kernel: [228577.565640] r8169 0000:01:00.0 enp1s0: Link is Down
Nov 10 02:22:22 cyber-neurones kernel: [228582.503827] Generic PHY r8169-100:00: attached PHY driver [Generic PHY] (mii_bus:phy_addr=r8169-100:00, irq=IGNORE)
Nov 10 02:22:23 cyber-neurones kernel: [228582.603989] IPv6: ADDRCONF(NETDEV_UP): enp1s0: link is not ready
Nov 10 02:22:23 cyber-neurones kernel: [228582.810672] Generic PHY r8169-100:00: attached PHY driver [Generic PHY] (mii_bus:phy_addr=r8169-100:00, irq=IGNORE)
Nov 10 02:22:23 cyber-neurones kernel: [228582.911994] IPv6: ADDRCONF(NETDEV_UP): enp1s0: link is not ready
Nov 10 02:22:26 cyber-neurones kernel: [228586.152621] r8169 0000:01:00.0 enp1s0: Link is Up - 1Gbps/Full - flow control rx/tx
Nov 10 02:22:26 cyber-neurones kernel: [228586.152649] IPv6: ADDRCONF(NETDEV_CHANGE): enp1s0: link becomes ready
Nov 10 02:22:29 cyber-neurones kernel: [228588.543092] Generic PHY r8169-100:00: attached PHY driver [Generic PHY] (mii_bus:phy_addr=r8169-100:00, irq=IGNORE)
Nov 10 02:22:29 cyber-neurones kernel: [228588.644106] r8169 0000:01:00.0 enp1s0: Link is Down
Nov 10 02:22:29 cyber-neurones kernel: [228588.801614] Generic PHY r8169-100:00: attached PHY driver [Generic PHY] (mii_bus:phy_addr=r8169-100:00, irq=IGNORE)
Nov 10 02:22:29 cyber-neurones kernel: [228588.903773] IPv6: ADDRCONF(NETDEV_UP): enp1s0: link is not ready
Nov 10 02:22:32 cyber-neurones kernel: [228591.795592] r8169 0000:01:00.0 enp1s0: Link is Up - 1Gbps/Full - flow control rx/tx
Nov 10 02:22:32 cyber-neurones kernel: [228591.795621] IPv6: ADDRCONF(NETDEV_CHANGE): enp1s0: link becomes ready
Nov 10 02:23:26 cyber-neurones kernel: [228646.209283] r8169 0000:01:00.0 enp1s0: Link is Down
Nov 10 02:23:29 cyber-neurones kernel: [228649.207082] r8169 0000:01:00.0 enp1s0: Link is Up - 1Gbps/Full - flow control rx/tx
Nov 10 02:23:37 cyber-neurones kernel: [228656.568960] Generic PHY r8169-100:00: attached PHY driver [Generic PHY] (mii_bus:phy_addr=r8169-100:00, irq=IGNORE)
Nov 10 02:23:40 cyber-neurones kernel: [228660.165981] r8169 0000:01:00.0 enp1s0: Link is Up - 1Gbps/Full - flow control rx/tx
Nov 10 02:24:05 cyber-neurones kernel: [228684.699180] r8169 0000:01:00.0 enp1s0: Link is Down
Nov 10 02:24:08 cyber-neurones kernel: [228687.606366] r8169 0000:01:00.0 enp1s0: Link is Up - 1Gbps/Full - flow control rx/tx

Comment filtrer rapidement des IP qui attaquent via currentsetting.htm ( Faille de routeur Netgear)

Publié le par
Répondre

86 x served & 32 x viewed

J’ai donc fait la commande :

cat /var/log/apache2/access.*.log | grep currentsetting.htm | awk '{print $1}' | sort -n | uniq -c | sort -n
      1 103.87.167.253
      1 113.160.229.252
      1 113.170.143.127
      1 123.201.235.83
      1 156.221.147.68
      1 171.236.213.49
      1 176.240.226.165
      1 202.90.133.210
      1 216.104.201.88

J’ai donc fait :

iptables -A INPUT -s 103.87.167.253  -j DROP
iptables -A INPUT -s 113.160.229.252  -j DROP
iptables -A INPUT -s 113.160.229.252  -j DROP
iptables -A INPUT -s 123.201.235.83  -j DROP
iptables -A INPUT -s 156.221.147.68  -j DROP
iptables -A INPUT -s 171.236.213.49  -j DROP
iptables -A INPUT -s 176.240.226.165  -j DROP
iptables -A INPUT -s 202.90.133.210  -j DROP
iptables -A INPUT -s 216.104.201.88  -j DROP

Un grand merci à Netgear de faire des failles qui nous permet ensuite de repérer les IP des hackers.

Misère.

 

Serveur de moins d’une semaine … déjà attaqué !

Publié le par
Répondre

46 x served & 6 x viewed

Par qui ?

175.172.174.191 : CHINA UNICOM Liaoning province network (CN)
123.132.65.176 (via Ankit): China Unicom Shandong Province Network (CN)
103.145.13.43 (via libwww-perl/6.47) : CINTY EU WEB SOLUTIONS (NL)
175.21.153.128 (via Ankit) : China Unicom Jilin province network (CN)
178.63.34.189 (via http://mj12bot.com/) : Hetzner Online GmbH (DE)
74.120.14.36 (via https://about.censys.io/) : Censys, Inc. (MI)
34.240.212.8 (via https://developer.twingly.com) : Amazon (Irland)
167.248.133.52 (via CensysInspect/1.1; +https://about.censys.io/) : Censys, Inc. (MI)
162.142.125.52 (via CensysInspect/1.1; +https://about.censys.io/) : Censys, Inc. (MI)
197.53.220.102 : (EG : Egypte)
134.209.87.169 : (NY : New York : United States)
66.151.211.226 : (DE : : United States)
 

Je vous conseille donc de faire ceci après une nouvelle installation :

iptables -A INPUT -s 175.172.174.191  -j DROP
iptables -A INPUT -s 123.132.65.176 -j DROP
iptables -A INPUT -s 103.145.13.43  -j DROP
iptables -A INPUT -s 175.21.153.128  -j DROP
iptables -A INPUT -s 178.63.34.189  -j DROP
iptables -A INPUT -s 74.120.14.36  -j DROP
iptables -A INPUT -s 34.240.212.8  -j DROP
iptables -A INPUT -s 167.248.133.52  -j DROP
iptables -A INPUT -s 162.142.125.52  -j DROP
iptables -A INPUT -s 197.53.220.102  -j DROP
iptables -A INPUT -s 134.209.87.169  -j DROP
iptables -A INPUT -s 66.151.211.226  -j DROP

bref il me faut trouver un projet qui bloque via un script toutes les IP de Chine.

Misère.

J’ai eu 64 IP différentes :
# cat /var/log/apache2/access.*.log | awk ‘{print $1}’ | sort -n | uniq -c | sort -n | wc -l
64