[Sequanux-ml] comment reconnaîtreun connard?

CARRY Émile e1000kry at nerim.net
Jeu 26 Juin 09:36:02 CEST 2003 

Le Thu, 26 Jun 2003 09:17:02 +0200
Greg <greg at sequanux.org> à écrit:

> On Thu, 26 Jun 2003 08:53:52 +0200
> CARRY Émile <e1000kry at nerim.net> wrote:
> 
> > Bonjour à tous,
> 
> plop milou,
> 
> > petite surprise au réveil, mon fw bloqué (plus d'écran, clavier et
> > rézo) avec le hd qui gratte en boucle... Après un p'tit reboot, tout
> > est ok. Après analyse des logs, y a mec qui a scanné les ports
> > pendant 42mn puis manifestement mon fw à déconné 30mn plus tard...
> 
> mairde :/
> 
> > Mes p'tites questions:
> > 	-quel sont les autres endroits où je pourrais regarder pour
> > 	mieux
> > savoir ce qui s'est passé (heure précise et causes du crash)
> 
> Tout ce qui se trouve sous /var/log/ : messages, daemon.log, et ton
> log iptables (je ne connais pas le nom du fichier).
J'ai déjà regardé mais rien de concrêt
> 
> > 	-comment remonter jusqu'au mec qui est venu renifler, 
> > c'est un abonnée modem de chez Tiscali (ip xxx.xxx.xxx.xxx)? 
> 
> Si tu as l'heure et son IP (d'ailleurs une IP ne se donne pas en
> public, netiquette, toussa, même si c'est un enfoiré)
Oui, oui, j'étais un peu énervé, et j'ai un peu oublié la netiquette,
bon, c'est une ip dynamique donc c'est peut-être déjà plus la même
personne...
 contacte
> Tiscali en leur filant tous les logs. Ils peuvent très bien clore le
> compte du malfaisant. Sinon, oublie toute vengeance personnelle, ça se
> retournera contre toi.
Pour tiscali, c'est prévu, sinon rassure-toi pas de basse vengeance
c'est pas mon genre, mais le pb, <Ma Vie> c'est que le type de
connexion et l'heure "pourraient" correspondre à un ancien copain qui
faisait parti de mon atelier Linux (Rha! je lui ai tout appris!) et avec
lequel je me suis pris la tête y a pas longtemps, et lui la basse
vengeance, c'est tout à fait son truc, donc dans le style apprenti
cracker, ça colle </Ma Vie>

> > 	-est-ce que se reniflage peut avoir causé le crash?
> 
> Je ne crois pas qu'un snif puisse causer un crash, mais peut-être
> qu'il a floodé ton fw, ou qu'il a pu entrer (aïe aïe aïe). Si il a pu
> entrer, tu n'auras plus rien dans tes logs, sauf s'il est très con.
> Dans ce cas, recherche tous les fichiers *et* exécutables modifiés
> après l'heure de l'intrusion (man find).
JE le f'rai ce soir, effectivement je ne pense pas que ce soit la cause
mais la coïncidence me titille...

> Ensuite, je ne sais pas si on peut faire un DoS sur un fw mais ça peut
> aussi être une raison.
Ok, thanks!

mil
-- 
Nagasaki ne profite jamais

Plus d'informations sur la liste de diffusion Sequanux-ml