Journal d'investigation en ligne et d'information‑hacking
par bluetouff

Megaupload : qui es tu 109.236.83.66 ?

Notre article d'hier suite à un tweet qui n'était qu'une mauvaise blague et que nous avons expliqué dans les minutes qui suivaient, expliquait déjà que nous avions plus que de forts soupçons sur une tentative de fishing utilisant la fermeture de Megaupload pour tromper les utilisateurs qui disposaient d'un compte payant sur ce site . Le phishing présumé serait opéré par un site, sans nom de domaine (enfin ça c'est que l'on peut croire à priori), hébergé sur une IP unique : 109.236.83.

Notre article d'hier suite à un tweet qui n'était qu'une mauvaise blague et que nous avons expliqué dans les minutes qui suivaient, expliquait déjà que nous avions plus que de forts soupçons sur une tentative de fishing utilisant la fermeture de Megaupload pour tromper les utilisateurs qui disposaient d'un compte payant sur ce site . Le phishing présumé serait opéré par un site, sans nom de domaine (enfin ça c'est que l'on peut croire à priori),

  • hébergé sur une IP unique : 109.236.83.66
  • Aux Pays-Bas, chez worldstream.nl
  • Sur un serveur dont le reverse nous invite à penser qu'il s'agit d'un serveur mutualisé : customer.worldstream.nl

Comme nous sommes un peu curieux, nous avons voulu savoir quels autres domaines pouvait cacher cette adresse IP, en voici donc la liste :

Tiens, un Megavideo enregistré en .bz (Belize). Le Belize c'est ce petit truc entre le Mexique et le Guatemala. Ce premier résultat nous laisse penser que ce domaine appartient bien au même petit plaisantin qui a berné toute la presse mondiale.

Passons sur le domaine Satuno.net pour le moment et intéressons nous au domaine http://www.ccebook.net/... Ah là ça devient très intéressant : il s'agit d'un site de vente Chinois proposant des ebooks, (affichant dans le logo http://www.ccebook.cn/) ... Domaine parqué chez Google App. Le .org est le même avec cette fois une navigation en anglais. Domaine suivant : http://www.ebks.cc/ encore le même site, donc on s'en fout.

Megaupload sur un hosting mutualisé (ou au mieux un VPS vu le reverse... ou alors si c'est un dédié, nous sommes face à un admin en carton)... je sais pas vous, mais nous déjà on trouve ça un peu louche nous chez Reflets.

Aujourd'hui, le CSS du site a été désactivé, et pour cause, avec plus de 135 000 "share" sur Facebook, des articles de presse dans le monde entier et de la pub TV, le mutualisé devait commencer à ramer.

Autre hypothèse pouvant expliquer la disparitions des fonctionnalités dynamiques et de l'habillage graphique du site, devant tant de succès, l'hébergement mutualisé (allez, c'est tout au mieux un VPS) est passé en "Over Quota", c'est à dire qu'il a consommé tout son crédit de trafic, car figurez vous que chez worldstream.net, le trafic n'est pas illimité. Il varie entre 10 et 50 terabits/mois pour des serveurs dédiés, donc évidemment bien moins pour du mutualisé. Nous retenons donc l'hypthèse du "Over Quota". Mégaupload en "Over Quota"... ouais, ça commence à devenir drôle.

La presse télévision (BFM) et écrite, nous vous le disions à l'instant, a largement diffusé cette URL. Aujourd'hui c'est au tour de Marianne de linker directement dans un article cette arnaque.

Nous avons donc voulu en savoir un peu plus que ce que nous avions déjà remarqué d'un simple coup d'oeil. Pour ce faire, nous avons procédé à quelques vérifications d'usage, nous avons donc commencé un petit fuzzing de rien du tout, le serveur mutualisé de ce Megaupload en carton nous répond très poliment qu'il est hébergé sur une CentOS et nous révèle des URL intéressantes :

Rien d'extraordinaire, certes, mais c'est quand même relativement bavard pour un site "World Class" comme Megaupload, il y a en fait 7 lignes intéressantes, allons voir ce qui se cache derrière :

Allons tout de suite à  l'essentiel, la page http://109.236.83.66/admin/ (vous aurez noté l'absence d'auth https) nous affiche des champs d'identification au CMS, et surtout, un nom de domaine : "Satuno.net". Et que se passe t-il quand on visite http://satuno.net/ : et oui, on tombe encore sur notre Megaupload en carton. Allez juste pour rire maintenant, faisons un petit host sur ce domaine.

Tiens des Mx chez Google, c'est intéressant pour un site aussi énorme que Megaupload de ne pas opérer ses propres MX. Par ailleurs nous retrouvons bien notre adresse IP, on est bien à la maison...

Un petit whois nous apprendra que notre peut plaisantin a envie d'avoir la paix, on peut le comprendre.

Attention, nous maintenons que ce site est potentiellement une tentative de phishing. SVP amis journalistes : DEMENTEZ L'INFORMATION comme quoi "Megaupload serait en train de renaitre de ses cendres"!!! ... les cendres de Megaupload on été jetées à la mer. Le site disponible sur l'IP http://109.236.83.66/ n'est pas du tout fiable, il ne s'agit au mieux que d'une blague, au pire, d'une tentative d'escroquerie des anciens clients de Megaupload.

 

 

 

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée