Re: [HS] Attaque ssh. Que faire?

To: debian-user-french@lists.debian.org
Subject: Re: [HS] Attaque ssh. Que faire?
From: dlist <dlist@bluewin.ch>
Date: Wed, 17 Nov 2004 14:07:23 +0100
Message-id: <[🔎] 41868E07000B8B71@mail21.bluewin.ch> (added by postmaster@bluewin.ch)
In-reply-to: <[🔎] 874qjoepwa.fsf@fermat.localhost>
References: <[🔎] 418884400013DAF7@mail2.bluewin.ch> <[🔎] 20041116215121.732a9560.user.anti-spam@maison.homelinux.net> <[🔎] 874qjoepwa.fsf@fermat.localhost>

Le mercredi 17 nov 2004 à 11 h 22, François a dit:

> Le 12738ième jour après Epoch,
> François Boisson écrivait:
> 
> > Le Tue, 16 Nov 2004 19:03:17 +0100
> > dlist <dlist@bluewin.ch> a écrit:
> >
> >> De ce fait j'en appelle à ceux qui ont de l'expérience en la
> >matière> et j'aimerai savoir leur modus operandi.
> >
> > J'avais en Décembre 2003 été victime d'une intrusion avec
> > installation de rootkit, etc sur mon parefeu.
> >
> > J'avais fait immédiatement une image du disque avant de remettre
> > la machine en état (sans réinstallation d'ailleurs), et j'avais pu
> > en l'analysant récupérer tous les logs relatifs à l'intrusion, ses
> > actions, etc. Par ailleurs, j'avais ses différentes IP et sa
> > localisation probable. Le gars était un "méchant": il avait
> > installé entre autres un système permettant de faire un flood et
> > deux (!?) shells.
> 
> Probablement parce que c'est l'amalgamme de plusieurs worms, chacun
> ayant son shell ;)
> 
> > Je suis allé au commissariat où on m'a écouté avec soin et intérêt
> > et où on m'a aiguillé vers un service à Paris (près de la place
> > d'Italie je crois ou dans le 15ème)... ouvert de 14h à 15h. Là,
> > pbm, je bosse. Je n'ai pas pu y aller.
> >
> > Voilà. Sache donc que la police a un service dédié avide de tous
> > renseignements (le fait d'avoir tout servi sur un plateau leur
> > plait bien)

as-tu une adresse (internet) pour contacter ce service?

> 
> Tu crois vraiment à ce que tu dis, là?
> 
> Primo, l'adresse du mec en question est très probablement l'adresse
> d'une pauvre machine bêtement infectée. Ton "méchant" est sûrement
> un pauvre gentil qui se dépatouille mal d'une attaque qu'il a eu
> lui.

donc une bonne chose serait de contacter l'ip en question afin de lui
suggérer que sa machine est infectée?

> 
> Secundo, je pense que ce genre d'"affaire" n'intéresse qu'assez peu
> la police, et qu'ils doivent en recevoir tellement et du même genre
> que ça va les lasser assez vite. Le temps qu'ils mettent en oeuvre
> les moyens de retrouver les infos, les logs des FAI des "méchants"
> auront disparu. Je n'imagine pas qu'une commission rogatoire soit
> faite pour chaque cas de machine infectée avec un vers par un
> script-kiddy !
> 

Je le pense aussi. Mais c'est quand même chiant qu'on ne puisse rien
faire (ou presque) dans ce genre de cas.  Le gars essaie quand même de
*pénétrer* chez moi sans invitation.. C'est les cambrioleurs qui
seraient contents si c'était ainsi dans leur "métier"..

En tout cas merci pour vos remarques.

Reply to:

References:
- [HS] Attaque ssh. Que faire?
  - From: dlist <dlist@bluewin.ch>
- Re: [HS] Attaque ssh. Que faire?
  - From: François Boisson <user.anti-spam@maison.homelinux.net>
- Re: [HS] Attaque ssh. Que faire?
  - From: fra-duf-no-spam@tourde.org (François TOURDE)

Prev by Date: Re: Changement de nom eth1 > eth0
Next by Date: Re: Unidentified subject!
Previous by thread: Re: [HS] Attaque ssh. Que faire?
Next by thread: Re: [HS] Attaque ssh. Que faire?
Index(es):
- Date
- Thread