[Linux-bruxelles] Signaler un abus
Jérôme Warnier
jwarnier at beeznest.net
Mar 28 Mar 11:36:17 CEST 2006
Le mardi 28 mars 2006 à 09:44 +0200, Free Ouyo a écrit :
> Bonjour,
>
> On 3/27/06, Christophe Aubry <christophe.aubry at belgacom.net> wrote:
> Bonsoir,
>
> Il y a deux jours une personne s'est introduite sur mon
> serveur linux en
> utilisant une attaque brute force, via un dictionnaire, sur le
> service
> ssh. La partie net-id de l'IP correspond au réseau tpnet.pl
> (provider
> polonais) j'ais également 4 kilomètres de logs remplis de
> tentatives de
> login avec des adresses provenant de se réseau.
>
> Je me demandais si il était utile que je demande à mon
> provider de faire
> quelque chose contre cette personne, et j'aurais aussi aimé
> savoir
> comment détecter de manière fiable un rootkit.
>
> Oui, il est utile de faire quelque chose.
> Ton provider ne devrait pas pouvoir faire grand chose pour l'instant,
> c'est uniquement un provider.
>
> Si tu souhaites poursuivre le hacker - en justice, il faut prendre des
> mesures :
> - préserver l'état actuel de la machine
> - conservation des logs
> - pas de delete du rootkit
> - shutdown forcé de la machine - on débranche la prise
> - avec un cd live - "système non compromis", récupération des logs de
> la machines et copies sur support externe - TOUS les logs
> - éventuelle détection de rootkit avec le boot cd
>
> - déposer une plainte à la police - police fédérale => RCCU -
> Régional Computer Crime Unit
Il saisisse alors la machine, et tu ne la revois plus pendant un an. Je
ne sais pas non plus s'il y a un résultat concret à espérer d'eux. C'est
pas facile, je sais, mais est-ce qu'on n'est pas en droit d'attendre au
moins une réponse plus rapide de leur part?
Autre chose: http://www.fccu.be tombe sur une page par défaut Plesk.
> - pour le dépot de plainte, c'est bien d'avoir les logs
> - les fichiers de configuration de la machine
> - description des services, ...
>
> - laisser faire la justice, l'attaque provient peut-être d'un autre PC
> piraté ...
>
> Pour le live-cd, le FCCU Gnu/Linux boot CD peut être une bonne
> solution et il propose un grand nombre d'outils - www.lnx4n6.be
Plus d'informations sur la liste de diffusion Linux-bruxelles