Re: [HS] Attaque ssh. Que faire?
Le 12738ième jour après Epoch,
François Boisson écrivait:
> Le Tue, 16 Nov 2004 19:03:17 +0100
> dlist <dlist@bluewin.ch> a écrit:
>
>> De ce fait j'en appelle à ceux qui ont de l'expérience en la matière
>> et j'aimerai savoir leur modus operandi.
>
> J'avais en Décembre 2003 été victime d'une intrusion avec installation de
> rootkit, etc sur mon parefeu.
>
> J'avais fait immédiatement une image du disque avant de remettre la
> machine en état (sans réinstallation d'ailleurs), et j'avais pu en
> l'analysant récupérer tous les logs relatifs à l'intrusion, ses actions,
> etc. Par ailleurs, j'avais ses différentes IP et sa localisation probable.
> Le gars était un "méchant": il avait installé entre autres un système
> permettant de faire un flood et deux (!?) shells.
Probablement parce que c'est l'amalgamme de plusieurs worms, chacun
ayant son shell ;)
> Je suis allé au commissariat où on m'a écouté avec soin et intérêt et où
> on m'a aiguillé vers un service à Paris (près de la place d'Italie je
> crois ou dans le 15ème)... ouvert de 14h à 15h. Là, pbm, je bosse. Je n'ai
> pas pu y aller.
>
> Voilà. Sache donc que la police a un service dédié avide de tous
> renseignements (le fait d'avoir tout servi sur un plateau leur plait
> bien)
Tu crois vraiment à ce que tu dis, là?
Primo, l'adresse du mec en question est très probablement l'adresse
d'une pauvre machine bêtement infectée. Ton "méchant" est sûrement un
pauvre gentil qui se dépatouille mal d'une attaque qu'il a eu lui.
Secundo, je pense que ce genre d'"affaire" n'intéresse qu'assez peu la
police, et qu'ils doivent en recevoir tellement et du même genre que
ça va les lasser assez vite. Le temps qu'ils mettent en oeuvre les
moyens de retrouver les infos, les logs des FAI des "méchants" auront
disparu. Je n'imagine pas qu'une commission rogatoire soit faite pour
chaque cas de machine infectée avec un vers par un script-kiddy !
Reply to: