[Linux-bruxelles] Signaler un abus

Mar 28 Mar 09:44:10 CEST 2006

Bonjour,

On 3/27/06, Christophe Aubry <christophe.aubry at belgacom.net> wrote:
>
> Bonsoir,
>
> Il y a deux jours une personne s'est introduite sur mon serveur linux en
> utilisant une attaque brute force, via un dictionnaire, sur le service
> ssh. La partie net-id de l'IP correspond au réseau tpnet.pl (provider
> polonais) j'ais également 4 kilomètres de logs remplis de tentatives de
> login avec des adresses provenant de se réseau.
>

Je me demandais si il était utile que je demande à mon provider de faire
> quelque chose contre cette personne, et j'aurais aussi aimé savoir
> comment détecter de manière fiable un rootkit.

Oui, il est utile de faire quelque chose.
Ton provider ne devrait pas pouvoir faire grand chose pour l'instant, c'est
uniquement un provider.

Si tu souhaites poursuivre le hacker - en justice, il faut prendre des
mesures :
- préserver l'état actuel de la machine
- conservation des logs
- pas de delete du rootkit
- shutdown forcé de la machine - on débranche la prise
- avec un cd live - "système non compromis", récupération des logs de la
machines et copies sur support externe - TOUS les logs
- éventuelle détection de rootkit avec le boot cd
  - déposer une plainte à la police - police fédérale => RCCU - Régional
Computer Crime Unit
- pour le dépot de plainte, c'est bien d'avoir les logs
- les fichiers de configuration de la machine
- description des services, ...
 - laisser faire la justice, l'attaque provient peut-être d'un autre PC
piraté ...

Pour le live-cd, le FCCU Gnu/Linux boot CD peut être une bonne solution et
il propose un grand nombre d'outils - www.lnx4n6.be

--
> Aubry Christophe
> christophe.aubry at belgacom.net

--
Jean-Francois BECKERS
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: </pipermail/linux-bruxelles/attachments/20060328/d8ae20b7/attachment-0002.html>