[Sequanux-ml] comment reconnaîtreun connard?

Greg greg at sequanux.org
Jeu 26 Juin 09:17:02 CEST 2003


On Thu, 26 Jun 2003 08:53:52 +0200
CARRY Émile <e1000kry at nerim.net> wrote:

> Bonjour à tous,

plop milou,

> petite surprise au réveil, mon fw bloqué (plus d'écran, clavier et
> rézo) avec le hd qui gratte en boucle... Après un p'tit reboot, tout
> est ok. Après analyse des logs, y a mec qui a scanné les ports pendant
> 42mn puis manifestement mon fw à déconné 30mn plus tard...

mairde :/

> Mes p'tites questions:
> 	-quel sont les autres endroits où je pourrais regarder pour
> 	mieux
> savoir ce qui s'est passé (heure précise et causes du crash)

Tout ce qui se trouve sous /var/log/ : messages, daemon.log, et ton log
iptables (je ne connais pas le nom du fichier).

> 	-comment remonter jusqu'au mec qui est venu renifler, 
> c'est un abonnée modem de chez Tiscali (ip 212.83.181.20)? 

Si tu as l'heure et son IP (d'ailleurs une IP ne se donne pas en public,
netiquette, toussa, même si c'est un enfoiré), contacte Tiscali en leur
filant tous les logs. Ils peuvent très bien clore le compte du
malfaisant. Sinon, oublie toute vengeance personnelle, ça se retournera
contre toi.

> 	-est-ce que se reniflage peut avoir causé le crash?

Je ne crois pas qu'un snif puisse causer un crash, mais peut-être qu'il
a floodé ton fw, ou qu'il a pu entrer (aïe aïe aïe). Si il a pu entrer,
tu n'auras plus rien dans tes logs, sauf s'il est très con. Dans ce
cas, recherche tous les fichiers *et* exécutables modifiés après l'heure
de l'intrusion (man find).
Ensuite, je ne sais pas si on peut faire un DoS sur un fw mais ça peut
aussi être une raison.

Greg




Plus d'informations sur la liste de diffusion Sequanux-ml