[Sequanux-ml] comment reconnaîtreun connard?

Fouinto MAX fouinto at chez.com
Jeu 26 Juin 12:50:51 CEST 2003


At 09:36 26/06/2003 +0200, CARRY =?ISO-8859-15?Q?=C9mile?= wrote:
>Le Thu, 26 Jun 2003 09:17:02 +0200
>Greg <greg at sequanux.org> à écrit:
>
> > On Thu, 26 Jun 2003 08:53:52 +0200
> > CARRY Émile <e1000kry at nerim.net> wrote:
> >
> > > Bonjour à tous,
> >
> > plop milou,
> >
> > > petite surprise au réveil, mon fw bloqué (plus d'écran, clavier et
> > > rézo) avec le hd qui gratte en boucle... Après un p'tit reboot, tout
> > > est ok. Après analyse des logs, y a mec qui a scanné les ports
> > > pendant 42mn puis manifestement mon fw à déconné 30mn plus tard...
> >
> > mairde :/
> >
> > > Mes p'tites questions:
> > >     -quel sont les autres endroits où je pourrais regarder pour
> > >     mieux
> > > savoir ce qui s'est passé (heure précise et causes du crash)
> >
> > Tout ce qui se trouve sous /var/log/ : messages, daemon.log, et ton
> > log iptables (je ne connais pas le nom du fichier).
>J'ai déjà regardé mais rien de concrêt

euh tu pourrais peut-etre preciser... quel type de scan? que dit snort?



> > >     -comment remonter jusqu'au mec qui est venu renifler,
> > > c'est un abonnée modem de chez Tiscali (ip xxx.xxx.xxx.xxx)?

c'est pas moi ! moi je n'avais pas cette IP la :)
ok... je sors...


> > Si tu as l'heure et son IP (d'ailleurs une IP ne se donne pas en
> > public, netiquette, toussa, même si c'est un enfoiré)
>Oui, oui, j'étais un peu énervé, et j'ai un peu oublié la netiquette,
>bon, c'est une ip dynamique donc c'est peut-être déjà plus la même
>personne...

ca ne se fait pas... mais en meme temps... je suis egalement d'avis que ca 
ne change rien compte tenu que l'IP est dynamique...
et pis franchement... t'as l'impression que le connard en quesion l'a 
repecte la netiquette?


> >  contacte
> > Tiscali en leur filant tous les logs. Ils peuvent très bien clore le
> > compte du malfaisant. Sinon, oublie toute vengeance personnelle, ça se
> > retournera contre toi.

alors la franchement... c'est dans la theorie... dans la pratique... il 
faut VRAIMENT menacer de plainte... dans la plupart des cas ils ne font 
rien s'il n'y a pas de plainte deposer...


>Pour tiscali, c'est prévu, sinon rassure-toi pas de basse vengeance
>c'est pas mon genre, mais le pb, <Ma Vie> c'est que le type de
>connexion et l'heure "pourraient" correspondre à un ancien copain qui
>faisait parti de mon atelier Linux (Rha! je lui ai tout appris!) et avec
>lequel je me suis pris la tête y a pas longtemps, et lui la basse
>vengeance, c'est tout à fait son truc, donc dans le style apprenti
>cracker, ça colle </Ma Vie>

pas cool tes potes...


> > >     -est-ce que se reniflage peut avoir causé le crash?
> >
> > Je ne crois pas qu'un snif puisse causer un crash, mais peut-être
> > qu'il a floodé ton fw, ou qu'il a pu entrer (aïe aïe aïe). Si il a pu
> > entrer, tu n'auras plus rien dans tes logs, sauf s'il est très con.
> > Dans ce cas, recherche tous les fichiers *et* exécutables modifiés
> > après l'heure de l'intrusion (man find).
>JE le f'rai ce soir, effectivement je ne pense pas que ce soit la cause
>mais la coïncidence me titille...

alors la je ne suis pas tt a fait d'accord... il me semble qu'on peut faire 
craher une machine avec un TCP SYN flood ameliore...
et puis le but d'un scan ca peut-etr d'obtenir des vulnerabilite... et les 
scripts-kiddies (je ne suis pas sur de l'aurthaugraffe) peuvent lancer des 
attaques sans rien n'y comprendre (et donc ne pas effacer leur trace...)


> > Ensuite, je ne sais pas si on peut faire un DoS sur un fw mais ça peut
> > aussi être une raison.
>Ok, thanks!

mais si on peut...



Plus d'informations sur la liste de diffusion Sequanux-ml