[Sequanux-ml] Re: comment reconnaîtreun connard?
Jonathan Chocron
chocronj_l at yahoo.fr
Jeu 26 Juin 10:14:50 CEST 2003
On Thu, 26 Jun 2003, CARRY Émile wrote:
> Le Thu, 26 Jun 2003 09:17:02 +0200
> Greg <greg at sequanux.org> à écrit:
>
> > On Thu, 26 Jun 2003 08:53:52 +0200
> > CARRY Émile <e1000kry at nerim.net> wrote:
> >
> > > Bonjour à tous,
> >
> > plop milou,
> >
> > > petite surprise au réveil, mon fw bloqué (plus d'écran, clavier et
> > > rézo) avec le hd qui gratte en boucle... Après un p'tit reboot, tout
> > > est ok. Après analyse des logs, y a mec qui a scanné les ports
> > > pendant 42mn puis manifestement mon fw à déconné 30mn plus tard...
> >
> > mairde :/
Même appréciation, cependant, sais tu quels services/ports il a scanné
spécifiquement, s'il en a scanné spécifiquement.
> > > Mes p'tites questions:
> > > -quel sont les autres endroits où je pourrais regarder pour
> > > mieux
> > > savoir ce qui s'est passé (heure précise et causes du crash)
> >
> > Tout ce qui se trouve sous /var/log/ : messages, daemon.log, et ton
> > log iptables (je ne connais pas le nom du fichier).
> J'ai déjà regardé mais rien de concrêt
> >
> > > -comment remonter jusqu'au mec qui est venu renifler,
> > > c'est un abonnée modem de chez Tiscali (ip xxx.xxx.xxx.xxx)?
> >
> > Si tu as l'heure et son IP (d'ailleurs une IP ne se donne pas en
> > public, netiquette, toussa, même si c'est un enfoiré)
> Oui, oui, j'étais un peu énervé, et j'ai un peu oublié la netiquette,
> bon, c'est une ip dynamique donc c'est peut-être déjà plus la même
> personne...
> contacte
> > Tiscali en leur filant tous les logs. Ils peuvent très bien clore le
> > compte du malfaisant. Sinon, oublie toute vengeance personnelle, ça se
> > retournera contre toi.
> Pour tiscali, c'est prévu, sinon rassure-toi pas de basse vengeance
> c'est pas mon genre, mais le pb, <Ma Vie> c'est que le type de
> connexion et l'heure "pourraient" correspondre à un ancien copain qui
> faisait parti de mon atelier Linux (Rha! je lui ai tout appris!) et avec
> lequel je me suis pris la tête y a pas longtemps, et lui la basse
> vengeance, c'est tout à fait son truc, donc dans le style apprenti
> cracker, ça colle </Ma Vie>
>
> > > -est-ce que se reniflage peut avoir causé le crash?
> >
> > Je ne crois pas qu'un snif puisse causer un crash, mais peut-être
> > qu'il a floodé ton fw, ou qu'il a pu entrer (aïe aïe aïe). Si il a pu
> > entrer, tu n'auras plus rien dans tes logs, sauf s'il est très con.
> > Dans ce cas, recherche tous les fichiers *et* exécutables modifiés
> > après l'heure de l'intrusion (man find).
> JE le f'rai ce soir, effectivement je ne pense pas que ce soit la cause
> mais la coïncidence me titille...
Même avis que Maître Oestreicher, un snif ne peut pas causer un
plantage machine, en tout cas, pas dans ces proportions (ça peut
ralentir ta connexion internet, c'est à peu près tout), à moins que :
- Tu utilises les patchs grsecurity pour le noyau, qui interdisent de
logger plus d'une certaine quantité d'information dans un certain
temps, dans ce cas, ça a pu planter car ces patchs ne sont pas
réellement stables.
Pour poursuivre sur l'avis de Greg, les symptomes de plantages
ressemblent effectivement plus à ce qu'on pourrait attendre d'une DoS.
En ce qui concerne la vengeance personnelle : attaquer est évidemment
légalement hors de question, par contre, paramétrer iptables en mirror
de sorte que le gars hack sa propre machine est possible et marrant.
> > Ensuite, je ne sais pas si on peut faire un DoS sur un fw mais ça peut
> > aussi être une raison.
On peut faire une DoS sur un fw, mais ça ne donne pas un réel denial
of service, ça donne un plantage noyau, plantage noyau certainement du
à une configuration partielle d'iptables, ou au fait que certains
modules sont inserés alors qu'ils ne servent à rien.
> Ok, thanks!
>
> mil
A mon tour de poser des questions : est-ce que tu te sers d'IPSEC ?
HTH,
Jtsbb,
Jonathan
--
A penny saved is a penny taxed.
-------------- section suivante --------------
Une pièce jointe autre que texte a été nettoyée...
Nom: non disponible
Type: application/pgp-signature
Taille: 189 octets
Desc: non disponible
URL: <http://sequanux.org/pipermail/sequanux-ml/attachments/20030626/be776aba/attachment.pgp>
Plus d'informations sur la liste de diffusion Sequanux-ml