[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [HS] Attaque ssh. Que faire?



Le Wed, 17 Nov 2004 11:22:29 +0100
fra-duf-no-spam@tourde.org (François TOURDE) a écrit:

> Le 12738ième jour après Epoch,
> François Boisson écrivait:
> 
> > Le Tue, 16 Nov 2004 19:03:17 +0100
> > dlist <dlist@bluewin.ch> a écrit:
> >
>
> > Je suis allé au commissariat où on m'a écouté avec soin et intérêt et
> > où on m'a aiguillé vers un service à Paris (près de la place d'Italie
> > je crois ou dans le 15ème)... ouvert de 14h à 15h. Là, pbm, je bosse.
> > Je n'ai pas pu y aller.
> >
> > Voilà. Sache donc que la police a un service dédié avide de tous
> > renseignements (le fait d'avoir tout servi sur un plateau leur plait
> > bien)
> 
> Tu crois vraiment à ce que tu dis, là?

Ben  oui, c'est du vécu... Ils avaient l'air beaucoup plus intéressé que
par un vélo volé. Par ailleurs, l'adresse qu'on m'avait donnée était
effectivement l'adresse du service dédié.

> 
> Primo, l'adresse du mec en question est très probablement l'adresse
> d'une pauvre machine bêtement infectée. Ton "méchant" est sûrement un
> pauvre gentil qui se dépatouille mal d'une attaque qu'il a eu lui.

Oui, surement, j'avais écouté les ports des shells installés pour
récupérer des renseignements supplémentaires mais je n'ai rien eu. Mais
même si cela est le cas, il faut bien le mettre au courant le gentil et
c'est le rôle du FAI qu'il faut bien mettre au courant. J'avais fait un
script à une époque qui chaque fois qu'un vers OPASERV se connectait sur
mon parefeu, montait le disque du gars, lui laissait un message sur son
bureau sur c:\ (la plupart du temps, le disque se montait sans mot de
passe). Je laissais une adresse (opaserv@messagerie.net depuis écroulée
par les spams/virus). 30891 messages ont été écris (j'ai un échantillon
des noms des machines windows dans le monde assez fourni) et les retour
que j'ai eu me montre que la plupart des gens n'imaginait même pas pouvoir
avoir ce type de problème. Il en est de même pour les trojans et il faut
donc signaler une IP intrusive que ce soit un gentil ou un méchant.

> 
> Secundo, je pense que ce genre d'"affaire" n'intéresse qu'assez peu la
> police, et qu'ils doivent en recevoir tellement et du même genre que
> ça va les lasser assez vite.

Connais tu quelqu'un qui a effectivement été au bout de la démarche? Moi
non, puisque finalement j'ai laissé tombé. Je pense qu'ils en ont peu et
sans doute très peu de "fournie". Là encore, l'accueil auquel j'ai eu
droit m'incite à penser le contraire.


> Le temps qu'ils mettent en oeuvre les
> moyens de retrouver les infos, les logs des FAI des "méchants" auront
> disparu. Je n'imagine pas qu'une commission rogatoire soit faite pour
> chaque cas de machine infectée avec un vers par un script-kiddy !

Il ne s'agissait pas d'un vers ou d'un script-kiddy d'après les logs, mais
de quelque chose de beaucoup plus sérieux et plus solide. Ne rien faire
consiste à revient à laisser le champ libre et à masquer un éventuel
problème. Mais sur ce point, il vaut mieux attendre Vendredi et je ne suis
pas sur que ça soit rigolo comme débat.


François Boisson



Reply to: