[Sequanux-ml] comment reconnaîtreun connard?

Ven 27 Juin 11:23:37 CEST 2003

Le Thu, 26 Jun 2003 12:42:50 +0200
Fouinto MAX <fouinto at chez.com> à écrit:

Salut, désolé pour la traination...
> > >
> > > Tout ce qui se trouve sous /var/log/ : messages, daemon.log, et
> > > ton log iptables (je ne connais pas le nom du fichier).
> >J'ai déjà regardé mais rien de concrêt
> 
> euh tu pourrais peut-etre preciser... quel type de scan? que dit
> snort?
J'ai les logs de shorewall, mais je ne comprends pas tout, il y a des
tentatives en udp/tcp sur pleins de ports. mon erreur est de ne pas
avoir mis en place une politique de sécu suffisante, pas de snort et
autre nessus...

> > >
> > > >     -comment remonter jusqu'au mec qui est venu renifler,
> > > > c'est un abonnée modem de chez Tiscali (ip xxx.xxx.xxx.xxx)?
> 
> c'est pas moi ! moi je n'avais pas cette IP la :)
Oui, j'avais vu :)

> 
> > > Si tu as l'heure et son IP (d'ailleurs une IP ne se donne pas en
> > > public, netiquette, toussa, même si c'est un enfoiré)
> >Oui, oui, j'étais un peu énervé, et j'ai un peu oublié la netiquette,
> >bon, c'est une ip dynamique donc c'est peut-être déjà plus la même
> >personne...
> 
> ca ne se fait pas... mais en meme temps... je suis egalement d'avis
> que ca ne change rien compte tenu que l'IP est dynamique...
> et pis franchement... t'as l'impression que le connard en quesion l'a 
> repecte la netiquette?
> 
> >  contacte
> > > Tiscali en leur filant tous les logs. Ils peuvent très bien clore
> > > le compte du malfaisant. Sinon, oublie toute vengeance
> > > personnelle, ça se retournera contre toi.
> 
> alors la franchement... c'est dans la theorie... dans la pratique...
> il faut VRAIMENT menacer de plainte...

> >Pour tiscali, c'est prévu, sinon rassure-toi pas de basse vengeance
> >c'est pas mon genre, mais le pb, <Ma Vie> c'est que le type de
> >connexion et l'heure "pourraient" correspondre à un ancien copain qui
> >faisait parti de mon atelier Linux (Rha! je lui ai tout appris!) et
> >avec lequel je me suis pris la tête y a pas longtemps, et lui la
> >basse vengeance, c'est tout à fait son truc, donc dans le style
> >apprenti cracker, ça colle </Ma Vie>
> 
> pas cool tes potes...
C'est pour ça que c'est plus un pote :)

> > > >     -est-ce que se reniflage peut avoir causé le crash?
> > >
> > > Je ne crois pas qu'un snif puisse causer un crash, mais peut-être
> > > qu'il a floodé ton fw, ou qu'il a pu entrer (aïe aïe aïe). Si il a
> > > pu entrer, tu n'auras plus rien dans tes logs, sauf s'il est très
> > > con. Dans ce cas, recherche tous les fichiers *et* exécutables
> > > modifiés après l'heure de l'intrusion (man find).
> >JE le f'rai ce soir, effectivement je ne pense pas que ce soit la
> >cause mais la coïncidence me titille...
> 
> alors la je ne suis pas tt a fait d'accord... il me semble qu'on peut
> faire craher une machine avec un TCP SYN flood ameliore...
> et puis le but d'un scan ca peut-etr d'obtenir des vulnerabilite... et
> les scripts-kiddies (je ne suis pas sur de l'aurthaugraffe) peuvent
> lancer des attaques sans rien n'y comprendre (et donc ne pas effacer
> leur trace...)
> 
> > > Ensuite, je ne sais pas si on peut faire un DoS sur un fw mais ça
> > > peut aussi être une raison.
> 
> mais si on peut...
Bon en définitive pas de nouvelles tentatives hier soir, et pas
d'intrusions détectées... Ce week-end je vais me pencher sur la sécu du
rézo et les différentes solutions (IDS et autres), ça serait dommage que
sequanux se fasse cracker avait d'avoir existé ;-)

mil
-- 
Espoir: On a vu l'homme-araignée hier soir.  Les nuls