Megaupload : qui es tu 109.236.83.66 ?
Notre article d’hier suite à un tweet qui n’était qu’une mauvaise blague et que nous avons expliqué dans les minutes qui suivaient, expliquait déjà que nous avions plus que de forts soupçons sur une tentative de fishing utilisant la fermeture de Megaupload pour tromper les utilisateurs qui disposaient d’un compte payant sur ce site . Le phishing présumé serait opéré par un site, sans nom de domaine (enfin ça c’est que l’on peut croire à priori),
- hébergé sur une IP unique : 109.236.83.66
- Aux Pays-Bas, chez worldstream.nl
- Sur un serveur dont le reverse nous invite à penser qu’il s’agit d’un serveur mutualisé : customer.worldstream.nl
- megavideo.bz (IP : 109.236.83.66)
- satuno.net (IP : 109.236.83.66)
- www.ccebook.net (IP : 109.236.83.66)
- www.ccebook.org (IP : 109.236.83.66)
- www.ebks.cc (IP : 109.236.83.66)
- www.satuno.net (IP : 109.236.83.66)
Passons sur le domaine Satuno.net pour le moment et intéressons nous au domaine http://www.ccebook.net/… Ah là ça devient très intéressant : il s’agit d’un site de vente Chinois proposant des ebooks, (affichant dans le logo http://www.ccebook.cn/) … Domaine parqué chez Google App. Le .org est le même avec cette fois une navigation en anglais. Domaine suivant : http://www.ebks.cc/ encore le même site, donc on s’en fout.
Megaupload sur un hosting mutualisé (ou au mieux un VPS vu le reverse… ou alors si c’est un dédié, nous sommes face à un admin en carton)… je sais pas vous, mais nous déjà on trouve ça un peu louche nous chez Reflets.
Aujourd’hui, le CSS du site a été désactivé, et pour cause, avec plus de 135 000 « share » sur Facebook, des articles de presse dans le monde entier et de la pub TV, le mutualisé devait commencer à ramer.
Autre hypothèse pouvant expliquer la disparitions des fonctionnalités dynamiques et de l’habillage graphique du site, devant tant de succès, l’hébergement mutualisé (allez, c’est tout au mieux un VPS) est passé en « Over Quota », c’est à dire qu’il a consommé tout son crédit de trafic, car figurez vous que chez worldstream.net, le trafic n’est pas illimité. Il varie entre 10 et 50 terabits/mois pour des serveurs dédiés, donc évidemment bien moins pour du mutualisé. Nous retenons donc l’hypthèse du « Over Quota ». Mégaupload en « Over Quota »… ouais, ça commence à devenir drôle.
La presse télévision (BFM) et écrite, nous vous le disions à l’instant, a largement diffusé cette URL. Aujourd’hui c’est au tour de Marianne de linker directement dans un article cette arnaque.
Nous avons donc voulu en savoir un peu plus que ce que nous avions déjà remarqué d’un simple coup d’oeil. Pour ce faire, nous avons procédé à quelques vérifications d’usage, nous avons donc commencé un petit fuzzing de rien du tout, le serveur mutualisé de ce Megaupload en carton nous répond très poliment qu’il est hébergé sur une CentOS et nous révèle des URL intéressantes :
Rien d’extraordinaire, certes, mais c’est quand même relativement bavard pour un site « World Class » comme Megaupload, il y a en fait 7 lignes intéressantes, allons voir ce qui se cache derrière :
- http://109.236.83.66/admin/config.php : un fichier de config d’un cms dans une admin … tiens
- http://109.236.83.66/config.php : re un fichier de config
- http://109.236.83.66/index.php?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000 : un PHP info qui donne plein de bonnes informations sympas sur la nature du serveur, les versins de soft utilisées
- http://109.236.83.66/admin/ : notre fameuse admin… et là on risque d’avoir beaucoup de mal, chez Reflets, de gober qu’il s’agit là du CMS de Megaupload
- http://109.236.83.66/admin/upload.php :
- http://109.236.83.66/db.php :
- http://109.236.83.66/info.php : Un second file d’info… ça en fait des infos. Les « Loaded modules » sont relativement instructifs sur la nature supposée du type d’hébergement…
Tiens des Mx chez Google, c’est intéressant pour un site aussi énorme que Megaupload de ne pas opérer ses propres MX. Par ailleurs nous retrouvons bien notre adresse IP, on est bien à la maison…
Un petit whois nous apprendra que notre peut plaisantin a envie d’avoir la paix, on peut le comprendre.
Attention, nous maintenons que ce site est potentiellement une tentative de phishing. SVP amis journalistes : DEMENTEZ L’INFORMATION comme quoi « Megaupload serait en train de renaitre de ses cendres« !!! … les cendres de Megaupload on été jetées à la mer. Le site disponible sur l’IP http://109.236.83.66/ n’est pas du tout fiable, il ne s’agit au mieux que d’une blague, au pire, d’une tentative d’escroquerie des anciens clients de Megaupload.
Billets en relation :
136 
S'abonner
Si vous avez apprécié cet article, abonnez vous gratuitement pour ne plus rien manquer.
Tout ça pour trouver ce que tout le monde savait déjà…?
Un fake site de megaupload qui a voulu profiter du bordel ambiant pour pigeonner des gens…
Pas eu besoin de jouer les haxxor pour trouver ça…
L’info du pishing circulait 1/2h apres sa sortie..
Cet article n’a pour seul but que la presse mainstream arrête de diffuser cette URL à la TV ou sur le web. Et visiblement vu que ce matin ça continue, ça ne me semblait pas du tout inutile de publier ça.
Avertir les médias concernés ne serait-il pas une bonne idée ?
Mais montrer la démarche d’investigation minimum à mener avant de relayer une information douteuse, ça fait du sens…
C’est quoi le rôle d’un journaliste ? Relayer au plus vite une information douteuse ? Ou apporter dans les meilleurs délais une information de qualité, dont la source est sûre et vérifiée ?
Merci Bluetouff
Oserais-je ajouter que sur l’adresse http://109.236.83.66/admin/ on peut maintenant se connecter en admin/admin ?
(Hacked By Daftcrack)
krkrkkrr
mais lol. XD
je crois que pas mal de monde s’amuse avec la page d’admin, l’info à tourné. ^^
Il y a pas mal de gens qui te croient pas quand tu dis que c’est un hoax. Ils pensent qu’internet c’est magique. Ce genre d’explications détaillée est très utile pour argumenter un peu face aux gens qui pensent que la cloture de megaupload est une brèche dans nos libertés personnelles !
Si tu avais fait un coup de « afficher la source », tu aurais vu que les CSS étaient chargées directement sur le CDN de Megaupload (pourquoi se faire chier après tout ?), mais le code a été modifié depuis. J’avais d’ailleurs été surpris de voir que ce sous domaine (css.megaupload.com de mémoire) était toujours accessible après le bust.
en fait c’etait www-static.megupload.com qui pointe maintenant sur http://www.sedoparking.com/megupload.com
Merci pour les infos Bluetouff. Ca fait du bien de voir quelqu’un de méticuleux, et avisé. J’en devenais malade à force d’entendre tout ces gens dire que mu était de nouveau up. Toutes ces personnes, qui parce qu’elle pensait avoir des infos du « groupe anonymous » (lol) jouissait d’une sagesse, et d’une connaissance de l’internet. Comme si le fait qu’ils savaient que mu était down, qu’ils étaient au courant des attaques des anon, ils étaient devenus des grands manitous, des gens in et branchés u_u
It is a vps….actually only satuno.net and megavedio.bz hosted there,the other three are moved long ago. I thought the guy was using megavideo.bz, and seems now a chance to promo another megaxxx site…
Petite info que je laisse à vous de juger pertinente…
quand on va sur la page d’accueil du domaine Google apps satuno.net le domaine ilemi.eu est indiqué en nom d’organisation..
Ce fake est parti pour être une course à l’échalote!
https://docs.google.com/open?id=0B0jKNrBtX_yVZmFmZTYzMDctNWZkYi00OWRkLWJhZjktNzNhM2E4Y2FjZGNk
« beware to » au lieu de « beware of » « the » (maladroit mais bon) « pishing sites » au lieu de « fishing sites » ou « pishing sites ».
Les anglophones avaient sans doute flairé c’te bonne blague d’emblée.
Jeté à la mer ?
mince ils ont fait pareil que pour Ben Laden…
Bonjour tout le monde,
Très bon boulot, ça sentait le fake depuis le début mais c’est quand même bien de mettre les choses aux claires
Une petite question, étant passionné de réseaux-transmissions d’informations, j’aimerais savoir quelle commande ou quelle script as-tu utilisé pour la première image ?
Sa me tracasse, je cherche sur internet sans trouvaille,
je te remercie d’avance
Hello,
Moi aussi, j’aimerais vraiment avoir cette info.
Si tu pouvais partager, ça serais super!
Merci.
PS: J’ai trouvé un outils web, mais pas vraiment efficace à 100%
http://www.yougetsignal.com/tools/web-sites-on-web-server/
A vue de nez, je dirais Nikto.
Je connaissais pas, je le teste… Mais j’ai trouvé en 30 secondes sur Google… Faut faire de meilleures recherches
J’ai bien ri, mais purée, après ça, c’est facile d’accuser Reflets de n’être lisible que par de l’uber geek
et anonyupload.com les amis? Pouvez vous me certifier qu’il ne s’agit que d’une arnaque et pas d’un projet réeel?
109.236.83.66/admin nom d utilisateur et mot de pass « admin »