30/07-2003 à 01:47Bonjour,
En partant d'un lien sur Mémo, je suis tombé sur un post dans lequel un internaute se plaint que, à l'installation d'XP, celui-ci tente par plusieurs moyens de se connecter à 213.130.63.233 et il donne un relevé de log de type firewall (sans préciser lequel).
C'est à
sudedulor.lautre.net/spip/article.php3?id_article=226
Mais ça a piqué ma curiosité et j'ai donc noté l'avancement de mon investigation afin que cette "leçon de lecture" serve à tous.
Première chose :
Faire un Whois sur cette adresse IP (213.130.63.233) ce qui nous donne
Final results obtained from whois.ripe.net.
Results:
% This is the RIPE Whois server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html
inetnum: 213.130.63.232 - 213.130.63.239
netname: ULTSEARCH-NET
descr: Ultimate Search Inc.
country: GB
admin-c: XQ2-RIPE
tech-c: VIa6-RIPE
status: ASSIGNED PA
mnt-by: MAINT-VIPAR
notify: vipar@verio.net
changed: terig@verio.net 20030714
source: RIPE
role: Verio IP addressing
address: 8005 s. chester street
address: suite 200
address: englewood, CO 80112
address: United States
phone: +1 303 645-1900
e-mail: vipar@verio.net
trouble: Abuse/UCE: abuse@verio.net
trouble: Network: noc@verio.net
trouble: Security issues: security@verio.net
admin-c: TG7672-RIPE
tech-c: TG7672-RIPE
tech-c: TC2525-RIPE
tech-c: TF377-RIPE
nic-hdl: VIa6-RIPE
notify: vipar@verio.net
mnt-by: MAINT-VIPAR
changed: boudreat@eng.verio.net 20010522
changed: tcampbell@verio.net 20010620
changed: lyric@verio.net 20020530
changed: tfrancis@verio.net 20020717
source: RIPE
person: Xie Qun
address: GPO Box 7862
address: Central
address: Hong Kong
address: China
phone: +852 2537 9677
e-mail: dns@ultsearch.com
nic-hdl: XQ2-RIPE
notify: vipar@verio.net
mnt-by: MAINT-VIPAR
changed: terig@verio.net 20030714
source: RIPE
Donc :
Cette adresse IP est dans l'intervalle 213.130.63.232 - 213.130.63.239
Cet intervalle appartiend à
Ultimate Search Inc (également dite Ult. Search Inc)
Cette société est réellement basée à Hong Kong
On peut joindre le responsable à dns@ultsearch.com
Donc un des noms de domaine est ultsearch.com soit : http://www.ultsearch.com qui n'est qu'un annuaire de liens (portail) sans aucune référence à aucun propriétaire, webmaster, auteur du portail, rien, rien, rien.
En ragardant le source d'une page de ce site, on peut trouver qu'il commence par hijacker la "home page" (page de démarrage) de votre navigateur on y mettant un lien vers:
http://www.searching.net
qui correspond au même annuaire de liens (portail)
Toujours dans le source, les images de la page sont chargées depuis http://213.130.62.6
Faisons un Whois sur 213.130.62.6
inetnum: 213.130.62.0 - 213.130.62.31
netname: VERIO-UK
descr: Verio UK london facility
country: GB
admin-c: VERA1-RIPE
tech-c: VIa6-RIPE
status: ASSIGNED PA
remarks: INFRA-AW
remarks: Abuse/UCE: abuse@verio.net
remarks: Network: noc@verio.net
remarks: Security issues: security@verio.net
mnt-by: MAINT-VIPAR
notify: vipar@verio.net
changed: terig@verio.net 20030620
source: RIPE
role: Verio Europe Role Account
address: Verio/UK
address: The Quadrangle
address: 49 Atalanta Street
address: London SW6 6TU
address: United Kingdom
phone: +44 171 471 2124
fax-no: +44 171 471 2137
e-mail: vipar@verio.net
trouble: network: noc@verio.net
trouble: Abuse/UCE: abuse@verio.net
trouble: Security issues: security@verio.net
admin-c: VIa6-RIPE
tech-c: VIa6-RIPE
nic-hdl: VERA1-RIPE
notify: vipar@verio.net
mnt-by: MAINT-VIPAR
changed: randy@psg.com 19991018
changed: rbush@bainbridge.verio.net 19991029
changed: tcampbell@verio.net 20010614
changed: lyric@verio.net 20010628
source: RIPE
role: Verio IP addressing
address: 8005 s. chester street
address: suite 200
address: englewood, CO 80112
address: United States
phone: +1 303 645-1900
e-mail: vipar@verio.net
trouble: Abuse/UCE: abuse@verio.net
trouble: Network: noc@verio.net
trouble: Security issues: security@verio.net
admin-c: TG7672-RIPE
tech-c: TG7672-RIPE
tech-c: TC2525-RIPE
tech-c: TF377-RIPE
nic-hdl: VIa6-RIPE
notify: vipar@verio.net
mnt-by: MAINT-VIPAR
changed: boudreat@eng.verio.net 20010522
changed: tcampbell@verio.net 20010620
changed: lyric@verio.net 20020530
changed: tfrancis@verio.net 20020717
source: RIPE
La lecture de ce whois montre qu'il s'agit du registrar, FAI et hébergeur Verio et que l'IP 213.130.62.6 est dans l'intervalle 213.130.62.0 - 213.130.62.31
son nom de domaine étant "verio" sur le tld "net", on en conclu que son site est à http://www.verio.net/
C'est, comme par hasard, le régistrar et hébergeur de Ultimate Search Inc
Une tentative d'accès à http://213.130.62.6 renvoie immédiatement au portail sus mentionné à http://www.ultimatesearch.com/
Une interception de la page sise à http://213.130.62.6 montre le code source de redirection :
<html>
<head>
<title>404 Not Found</title>
<meta http-equiv="Refresh" content="0; URL=http://www.ultimatesearch.com">
</head>
<body><h2>The document you requested is not found. Please click <a href="http://www.ultimatesearch.com">here</a> to visit our home page</h2>
</body>
</html>
Une recherche sur Google avec "ultimate search inc"
http://www.google.fr/search?q=%22ultimate+search+inc%22&ie=UTF-8&oe=UTF-8&hl=fr&btnG=Recherche+Google&meta=
montre que cette société croule sous les procès pour usurpation de noms de domaines (cyber-squatting). Le principe consiste à se précipiter sur un nom de domaine ayant une bonne notoriété et à s'en faire transférer la propriété si son propriétaire légitime a, ne serais-ce qu'une minute de retard dans le renouvellement annuel de son achat de nom de domaine auprès de son registrar. Probablement avec la complicité rémunérée d'autres registrar. Ensuite ils mettent le nom de domaine en vente (espérant ainsi le revendre à son propriétaire d'origine). Il y a ainsi des centaines de noms de domaine en vente sur leur site y compris des noms de domaine bidon constitués de juxtaposition de mots clés, drainant ainsi les moteurs de recherches vers eux.
Cette société figure dans la hiérarchie DMOZ à
Top: Society: Issues: Business: Allegedly Unethical Firms
http://dmoz.org/Society/Issues/Business/Allegedly_Unethical_Firms/
pour 2 histoires d'appropriation de noms de domaine
On poursuit ensuite les whois sur les domaines déjà trouvés
Pour ultimatesearch.com on trouve les serveurs suivants
NS1.ULTSEARCH.COM 213.130.63.232
NS2.ULTSEARCH.COM 212.100.230.160
Pour ultsearch.com dito
L'adresse IP de NS1.ULTSEARCH.COM (soit 213.130.63.232) est dans un intervalle déjà identifié mais l'autre, 212.100.230.160, ne l'est pas, donc on lance un whois sur 212.100.230.160 et, bingo, on trouve que cette adresse est dans l'intervalle 212.100.230.160 - 212.100.230.167 alloué à, je vous le donne en mille : Ultimate Search, Inc.
Enfin, pour finir, on vérifie ces IPs sur les listes de spammeurs, comme la liste Spews
213.130.63.232 est, aussi, un spammeur
Il faudrait vérifier les IPs une par une pour tous les intervalles mais j'ai déjà passé trop de temps la-dessus. Sautons aux conclusions :
Bon, que faut-il conclure de tout ça.
Nous sommes parti d'un log de firewall relatant des tonnes de tentatives de connexions sortantes vers 213.130.63.233 à partir de plusieurs programmes.
Après ces investigations et un gros surf, je ne sais toujours pas pourquoi ces logiciels tentent de se connecter à ce serveur. Y aurrait-il un deal entre Microsoft et "ultimate search inc" qui est connu pour rémunérer au clic lors de l'usage de FindWhat qui, installé sous forme d'une Hotbar, hijack tous les programmes, sur votre ordinateur, se conectant au Net. Il a été remarqué que l'usage d'une recherche par la HotBar de FindWhat dirrigeait vers des sites affiliés à "ultimate search inc" tandis que l'outil espionne les mots clés utilisés pour usurper leur usage et détourner le traffic de sites normalement ciblés par ces mots clés - c'est un détournement de type thieathware conduisant au détournement ou à la captation de commissions ou de traffic commercial (direct ou par affiliation).
On ajoutera dans hosts
www.ultimatesearch.com
www.ultsearch.com
www.searching.net
NS1.ULTSEARCH.COM
NS2.ULTSEARCH.COM
On peut éventuellement blacklister aussi Vério qui est complice
www.verio.net
On ajoutera dans peerguardian, les intervales
213.130.63.232 - 213.130.63.239
212.100.230.160 - 212.100.230.167
On peut éventuellement blacklister aussi Vério qui est complice
213.130.62.0 - 213.130.62.31
Voila un de mes passe-temps. Je reprendrais ce post pour le mettre sur mon site et le présenter un peu plus proprement un de ces jours (et justifier mon adjonction à la liste PearGuardian).
Cordialement à tous
----------
Terdef
assiste.com
Sécurité informatique et protection de la vie privée sur Internet
assiste.com/manip.html
Procédure anti-malveillances gratuite, curative et préventive
[°)] [°)] ![[:D]](/medias/forum/images/smileys/4.gif)
