[Linux-bruxelles] Signaler un abus

Jérôme Warnier jwarnier at beeznest.net
Mar 28 Mar 11:36:17 CEST 2006 

Le mardi 28 mars 2006 à 09:44 +0200, Free Ouyo a écrit :
> Bonjour,
> 
> On 3/27/06, Christophe Aubry <christophe.aubry at belgacom.net> wrote:
>         Bonsoir,
>         
>         Il y a deux jours une personne s'est introduite sur mon
>         serveur linux en
>         utilisant une attaque brute force, via un dictionnaire, sur le
>         service
>         ssh. La partie net-id de l'IP correspond au réseau tpnet.pl
>         (provider
>         polonais) j'ais également 4 kilomètres de logs remplis de
>         tentatives de
>         login avec des adresses provenant de se réseau.
> 
>         Je me demandais si il était utile que je demande à mon
>         provider de faire
>         quelque chose contre cette personne, et j'aurais aussi aimé
>         savoir 
>         comment détecter de manière fiable un rootkit.
> 
> Oui, il est utile de faire quelque chose. 
> Ton provider ne devrait pas pouvoir faire grand chose pour l'instant,
> c'est uniquement un provider.
> 
> Si tu souhaites poursuivre le hacker - en justice, il faut prendre des
> mesures :
> - préserver l'état actuel de la machine
> - conservation des logs
> - pas de delete du rootkit
> - shutdown forcé de la machine - on débranche la prise
> - avec un cd live - "système non compromis", récupération des logs de
> la machines et copies sur support externe - TOUS les logs
> - éventuelle détection de rootkit avec le boot cd
> 
>  - déposer une plainte à la police - police fédérale => RCCU -
> Régional Computer Crime Unit
Il saisisse alors la machine, et tu ne la revois plus pendant un an. Je
ne sais pas non plus s'il y a un résultat concret à espérer d'eux. C'est
pas facile, je sais, mais est-ce qu'on n'est pas en droit d'attendre au
moins une réponse plus rapide de leur part?

Autre chose: http://www.fccu.be tombe sur une page par défaut Plesk.

> - pour le dépot de plainte, c'est bien d'avoir les logs
> - les fichiers de configuration de la machine
> - description des services, ...
> 
> - laisser faire la justice, l'attaque provient peut-être d'un autre PC
> piraté ...
> 
> Pour le live-cd, le FCCU Gnu/Linux boot CD peut être une bonne
> solution et il propose un grand nombre d'outils - www.lnx4n6.be

Plus d'informations sur la liste de diffusion Linux-bruxelles