Tentatives d'intrusions

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Tentatives d'intrusions

Messagede dan29 » 06 Sep 2004, 15:55

Bonjour,

Voilà, je suis pas très calée en informatique, surtout en piratage, mais je voudrais savoir s'il existe des logiciels permettant de traquer un pirate de manière plus détaillée et complète que Trace route ou Whois, et si c'est le cas comment puis-je me les procurer ?

Je suis sous windows XP, IE, Zone Alarm, Antivir, Spy Bot, Ad Aware.

En fait, c'est un policier qui ma conseillée de faire cette recherche, parce que les tentatives d'intrusions dont je fais l'objet viennent de quelqu'un qui m'a piraté mes deux forums et mes deux comptes de messagerie ; cette affaire est entre les mains de la justice, mais ils n'ont pas les outils nécessaires concernant les tentatives d'intrusions.

Voilà, j'espère que vous pourrez faire quelque chose pour moi, et en tout cas merci d'avance.

Dan
dan29
 
Messages: 15
Inscription: 06 Sep 2004, 15:34

Messagede Jim Rakoto » 06 Sep 2004, 21:56

Salut,

VisualRoute est renommé pour ce travail

le site http://www.visualware.com


Une autre solution ou en tout cas complémentaire serait d'installer OutpostPro comme pare-feu. Il contient plusieurs plugins notamment un de détection d'intrusion qui note heure, port accédé et surtout IP qui a tenté d'accéder
certains plugins peuvent être ajoutés qui complètent comme Blockpost et surtout PC Flank Whoeasy (PC Flank est reconnu en matière de sécurité)
PC Flank WhoEasy

PC Flank WhoEasy is a plug-in that finds information about any computer in the world based on its IP address or name. Such info includes the name of the network provider, admin and network contact details such as city, state or province, country and even the phone number and street address.

Outpost users will find WhoEasy useful for pinpointing a cracker attacking their computer and contacting his ISP's abuse department to stop the illegal activity. After installing, the plug-in appears in the Outpost plug-ins tree.

WhoEasy is a 30-days trial software and available for free download and evaluation at:
http://www.pcflank.com/whoeasy.htm



A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede dan29 » 07 Sep 2004, 00:05

Salut Jim,

Merci beaucoup pour tes infos.

Concernant OutPostPro, est ce que je peux l'installer en laissant Zone Alarm, ou est ce que je dois désinstallé Zone Alarm ? et même question concernant Pc Flanck, mais aussi est ce que je peux l'installer sans OutPost ou non ?

En tout cas, je te remercie de ton aide, je vais aller voir tout ca.

Dan
dan29
 
Messages: 15
Inscription: 06 Sep 2004, 15:34

Messagede Vazkor » 07 Sep 2004, 01:44

Bonjour,

La règle générale est de n'avoir qu'un seul pare-feu et un seul antivirus actifs en même temps, sinon ils se marchent sur les pieds.

A moins que tu n'ais payé la licence pour ZoneAlarm, je te conseille de le désactiver et d'installer OutPost à la place.
Il est nettement supérieur à ZoneAlarm free, parce qu'avec la possibilité d'éditer des règles on peut avoir un réglage beaucoup plus fin que le tout ou rien basé sur des noms d'application de la version gratuite de ZA.

N'importe quel pare-feu qui t'établit un log de traffic en enregistrant les tentatives de connexion bloquées te permet de porter plainte auprès du FAI de l'attaquant. Mon Sygate PF Pro a aussi une fonction BackTrace permettant de savoir d'où vient une attaque.

Appel à l'équipe: Vérifier avec Sygate PF free, Kerio PF free, etc si cela existe.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9808
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede renegodiveau » 07 Sep 2004, 07:20

Bjr,

Protection Zebprotect


Petit extrait de mon journal, comment expliquer ça ! de 7h 21 à 8h05!




"Type","Heure","Direction","Protocole","Adresse IP de la source","Port source","Adresse IP de destination","Port de destination","Description"
"Règle de la liste des exceptions","07:21:33","ENTRÉE","TCP","4.26.145.222","""3788","82.124.193.155",""445","NetBIOS"
"Règle de la liste des exceptions","07:21:40","ENTRÉE","TCP","4.26.145.222","""3788","82.124.193.155",""445","NetBIOS"
"Règle de la liste des exceptions","07:25:13","ENTRÉE","TCP","82.161.56.205",""1372","82.124.193.155","445","NetBIOS"
"Règle de la liste des exceptions","07:25:16","ENTRÉE","TCP","82.161.56.205",""1372","82.124.193.155","445","NetBIOS"
"Règle de la liste des exceptions","07:25:52","ENTRÉE","TCP","68.146.192.4",""""3668","82.124.193.155",445","NetBIOS"
"Règle de la liste des exceptions","07:28:22","ENTRÉE","TCP","82.124.178.172","2468","82.124.193.155"",445","NetBIOS"
"Règle de la liste des exceptions","07:28:25","ENTRÉE","TCP","82.124.178.172","2468","82.124.193.155","445","NetBIOS"
"Règle de la liste des exceptions","07:28:52","ENTRÉE","TCP","218.175.99.29",""3135","82.124.193.155","445","NetBIOS"
"Règle de la liste des exceptions","07:28:55","ENTRÉE","TCP","218.175.99.29",""3135","82.124.193.155","445","NetBIOS"
"Règle de la liste des exceptions","07:29:01","ENTRÉE","TCP","218.175.99.29",""3135","82.124.193.155","445","NetBIOS"
"Pare-feu","07:29:47","ENTRÉE","TCP","211.112.137.142","3845","82.124.193.155","1433","Règle de sécurité correspondante"
"Règle de la liste des exceptions","07:30:45","ENTRÉE","TCP","82.124.53.179",""1133","82.124.193.155","445","NetBIOS"
"Règle de la liste des exceptions","07:30:48","ENTRÉE","TCP","82.124.53.179",""1133","82.124.193.155","445","NetBIOS"
"Règle de la liste des exceptions","07:32:11","ENTRÉE","TCP","82.124.200.116","3492","82.124.193.155","445","NetBIOS"
"Règle de la liste des exceptions","07:34:41","ENTRÉE","TCP","82.124.200.116","3386","82.124.193.155","445","NetBIOS"
"Règle de la liste des exceptions","07:35:56","ENTRÉE","TCP","82.135.184.178","3173","82.124.193.155","445","NetBIOS"
"Règle de la liste des exceptions","07:35:59","ENTRÉE","TCP","82.135.184.178","3173","82.124.193.155","445","NetBIOS"
"
Merci des commentaires

A+
XP Pro/IE/Wanadoo/AV-PF- Trend 11/La Manip/Zeb P/SB/SBL/HJT/SG/CWS/BHO2/AawSE/
Avatar de l’utilisateur
renegodiveau
 
Messages: 812
Inscription: 13 Juil 2004, 12:25

Messagede Jim Rakoto » 07 Sep 2004, 07:52

Salut,


la deuxième adresse est celle de ton FAI (Wanadoo France Telecom, velizy****)
les premières sont (j'en ai vérifié trois) des adresses situées au EU (Eldorado) Level3 communications, ou au Canada : société Shawc.
et comme le port 445 est concerné, je passerais Spybot, Adaware SE et ton antivirus en mode sans échec et après avoir désactivé restauration système si XP ou Me par prudence

Si tu veux tester, voici adresse pour un Whois : http://www.dnsstuff.com/

Autre méthode, installer TCPview et voir quelles connexions s'établissent
Simple d'utilisation; Lancer er regarder ce qui s'affiche : established : connexion établie, Listening : en attente, time wait (120 secondes après fermeture d'une connexion)

A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede dan29 » 07 Sep 2004, 09:44

Bonjour Jim,

Bon, eh bien je vais désinstaller ZA et mettre OutPost à la place en version d'essai.
Mais, ce que je voudrais faire si cela est possible, c'est aller au-delà de l'adresse du FAI du pirate, pousser la recherche beaucoup plus loin en fait, ce qui me permettrait d'aider la police à localiser plus précisément le pirate. Logger véritablement le pirate. Penses-tu que cela soit possible et avec quels logiciels ?

Merci à toi,

Dan
dan29
 
Messages: 15
Inscription: 06 Sep 2004, 15:34

Messagede Revan » 07 Sep 2004, 11:03

Bonjour,

Vazkor, j'ai Kerio Personal Firewall version 4.0.16.435 et il a un journal plutôt complet avec 4 onglets : réseau, système, intrusions, et internet.
On peut donc voir toutes les intrusions, celles qui ont été acceptées et celles qui ont été refusées par l'utilisateur (+ url, adresse complète, et classe de l'attaque) dans le journal dont la taille par défaut de chacun est de 2000 Kb (big journal, isn't it).
Avant, j'utilisait ZA et je ne regrette pas d'être passé à KPF.

Tchao :wink:
Image Image
XP Home SP2, Mozilla 1.7.3, NAV 2003, Kerio PF, Spybot S&D, SpywareGuard, SpywareBlaster, HijackThis 1.98.2, Ad-aware 6, ZEB-Protect ...
Avatar de l’utilisateur
Revan
 
Messages: 187
Inscription: 17 Juil 2004, 10:54
Localisation: Dijon

traceur

Messagede Gargantua » 07 Sep 2004, 14:54

Salut,

Et bien moi, je ny connais rien dans le torpillage qu'il soit de babord ou de tribord.

Pingouin ou phoque, Vent de face ou vent de dos (au fait pourquoi dit on ... comme un foc) :) , je ne sais comment gérer ces deux millions d'informations que me fournit mon ordinateur ainsi que le traffic sur le web.

J'avais zone alarm pro 5 en version évaluation, les logs permettent de suivre les connections entrantes et sortantes.
Je l'ai testé en évaluation.

J'avais norton internet sécurity 2004 (version achetée en début d'année avec mon PC) mais c'est trop lourd d'emploi.

J'ai actuellement sygate personnel firewall 5.5 en free, il y a un bon suivi des fonctions de bloquage, et les logs sont pratiques.

L'idéal serait d'avoir un routeur (boitier style modem à 1000 balles) qui fait office de firewall en Hardware. Comment ça fonctionne, Vazkor en a un, et il est impénétrable de l'extérieur. NB: il campe dans sa guitoune cette nuit, mais son fusil est chargé :)

Mon log actuel de sygate me donne à la minute où je vous cause:
Connection bloquée =
09/07/2004 15:29:05 Blocked 15 Incoming ICMP 80.9.205.40 01-00-20-00-01-00 8 80.9.26.84 00-00-01-00-00-00 0 Gargantua Normal 1 09/07/2004 15:28:34 09/07/2004 15:28:34 Block_all

Avec un backtrace information =
Hop 8 IP adress 80.9.205.40 Name Mix-Le-Lamentin -106-4-40 .w.80.9 abo wanadoo.fr

Avec un whois incorpé pour la suite des recherches =
Le 80.9.205.40 c'est:
% This is the RIPE Whois server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-service ... right.html

inetnum: 80.9.205.0 - 80.9.205.255
netname: FR-WANADOO
descr: Wanadoo France
descr: Network Access Server BRX
descr: NSLAM106 Martinique pool 4
country: FR
admin-c: WITR1-RIPE
tech-c: WITR1-RIPE
status: ASSIGNED PA
remarks: for hacking, spamming or security problems send mail to
remarks: postmaster@wanadoo.fr AND abuse@wanadoo.fr
mnt-by: FT-BRX
changed: gestionip.ft@francetelecom.com 20010801
changed: gestionip.ft@francetelecom.com 20030408
changed: gestionip.ft@francetelecom.com 20031203
source: RIPE

route: 80.9.0.0/16
descr: Wanadoo France
descr: Customer's of Wanadoo.fr ( abo.wanadoo.fr )
remarks: -------------------------------------------
remarks: For Hacking, Spamming or Security problems
remarks: send mail to abuse@wanadoo.fr
remarks: -------------------------------------------
origin: AS3215
mnt-by: RAIN-TRANSPAC
mnt-by: FT-BRX
changed: karim@rain.fr 20010612
changed: gestip.rain@francetelecom.com 20031204
source: RIPE

role: Wanadoo France Technical Role
address: WANADOO FRANCE
address: 48 rue Camille Desmoulins
address: 92791 ISSY LES MOULINEAUX CEDEX 9
address: FR
phone: +33 1 58 88 50 00
e-mail: abuse@wanadoo.fr
e-mail: technical.contact@wanadoo.com
admin-c: WITR1-RIPE
tech-c: WITR1-RIPE
nic-hdl: WITR1-RIPE
mnt-by: FT-BRX
changed: gestionip.ft@francetelecom.com 20010504
changed: gestionip.ft@francetelecom.com 20010912
changed: gestionip.ft@francetelecom.com 20011204
changed: gestionip.ft@francetelecom.com 20030428
changed: gestionip.ft@francetelecom.com 20031124
source: RIPE


Pour le site autorisé de terroir d'en france, ça donne
09/07/2004 15:17:28 Allowed 3 Outgoing TCP terroirs.denfrance.free.fr [212.27.40.177] 01-00-20-00-01-00 80 80.9.26.84 00-00-01-00-00-00 1279 C:\Program Files\mozilla.org\Mozilla\mozilla.exe Gargantua normal 2 09/07/2004 15:16:20 09/07/2004 15:16:25 Ask all running apps


Les connectés en sous réseau à ce moment étaient:
212.27.32.217 vlq-6k-a0-routers.proxad.net pour V.... ?
et 212.27.40.177 perso47-g.free.fr


Alors, voilà, c'est bien compliqué tout ça, pour un gros bonhomme du moyen âge, châtain et grisonnant à la fois :)
GARGANTUA
Windows 7 pack familial & IE8, Kaspersky Internet Security 2011 et Toutou linux 4.3.1
Avatar de l’utilisateur
Gargantua
 
Messages: 452
Inscription: 05 Mai 2004, 17:39
Localisation: 50 km sud d'Angoulême (Charente)

Messagede Vazkor » 07 Sep 2004, 17:37

Bonjour Gargantua,

Les logs du pare-feu sont là pour ne pas être regardés sauf en cas d'attaque avérée, c’est-à-dire quand l'icône de Sygate PF située dans le Systray (près de l'horloge) vire au rouge et y reste.
Dans ce cas seulement cela vaut la peine d'analyser les connexions entrantes et sortantes bloquées.
Note que parfois c'est un PC de mon fils qui tente à se connecter au mien et ce uniquement sur notre réseau local.

C'est pas grave et c'est même rassurant de constater que le chien de garde n'est pas endormi.

Merci pour les renseignements.
Donc, Kerio, Outpost et Sygate, même en version free donnent un log exploitable pour localiser un attaquant.

Pour déposer plainte auprès d'un FAI, il suffit d'avoir son PC à l'heure et transmettre un extrait du log du pare-feu reprenant les connexions bloquées. Le FAI saura l'analyser.

L'heure est importante, à cause des IP dynamiques pour que le FAI puisse pouvoir retrouver dans ses logs qui était connecté avec tel IP à tel moment.

Effectivement un routeur est une protection efficace, parce que un attaquant ne voit pas les machines situées derrière celui-ci. Et le routeur ne répond qu'aux requêtes qu'il a initialisées.
Son achat ne se justifie que si l'on veut veut faire partager une connexion internet par plusieurs machines. Le nôtre c'est un Linksys de Cisco. Il a effectivement coûté ~ 150 € et nous évite de devoir laisser tourner en permanence un PC pour jouer le rôle de serveur.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9808
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 23 invités