Tentatives d'intrusions

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Messagede Tesgaz » 09 Sep 2004, 05:01

Salut,

je vois pas l'intérêt de supprimer Zone Alarm parce que tu as des logs avec des sois-disants attaques
ce sera identique avec n'importe quel firewall ou routeur, il y a longtemps que je les regarde plus tellement y en a, il suffit que tu fasses du P2P pour en avoir le quadruple, car tout les users deja connecter sur ton os tente de se reconnecter, etc..


maintenant des outils pour voir ce qui se passe avec tel adresse, tu as Ethereal un sniffeur de paquets qui décortique tout (trop même)

sinon, nmap (je sais pas s'il existe pour windows) qui permet de voir les ports ouverts sur la machine distante

et puis aprés tu as l'outil ultime, netcat, mais la c'est une autre histoire
Avatar de l’utilisateur
Tesgaz
 
Messages: 2133
Inscription: 23 Juil 2004, 12:49
Localisation: ici : ---------------------> X

Messagede dan29 » 09 Sep 2004, 10:58

Bonjour Tesgaz,

Merci infiniment pour tes réponses et les noms des logiciels.

Pourquoi dis tu que "Netcat c'est une autre histoire" ? C'est risqué de l'utiliser ?

Je tiens à préciser que loin de moi l'idée de faire du mal à qui que ce soit, ma démarche n'est destinée qu'à aider la police à identifier le pirate, puisque eux n'ont pas le temps pour s'occuper des tentatives d'intrusions.

En tout cas, merci à toi.

Bonne journée,

Dan
dan29
 
Messages: 15
Inscription: 06 Sep 2004, 15:34

Messagede Vazkor » 09 Sep 2004, 11:34

Bonjour,
Pourquoi dis tu que "Netcat c'est une autre histoire" ? C'est risqué de l'utiliser ?

C'est sans doute pas plus risqué à utiliser que n'importe quel programme qui scanne les ports d'une autre machine, sans l'accord du propriétaire.
Cela risque d'être mal pris par un utilisateur qui pourrait déposer plainte auprès de ton FAI.
De plus pratiquement toutes ces commandes réseau, Nmap, netcat et autres viennent du monde Unix (Linux) donc s'exécutent en ligne de commande. Il faut d'abord savoir les paramétrer et elles donnent des résultats qui sont pas spécialement faciles à interpréter.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9808
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede Invité » 09 Sep 2004, 15:15

Bonjour Vazkor,

Oui effectivement, tout ca prouve bien toute mon ignorance en la matière.
Merci de tes éclaircissements.
En fait, ce que j'aurais voulu, c'est exploiter bien plus précisément et de manière plus détaillée les infos que j'ai (ip du pirate), et essayer de récupérer le plus d'informations possibles sans avoir à attendre la réquisition judiciaire auprès de son fournisseur d'accès ; la police m'a demandé de voir ce que je pouvais faire pour les aider de mon côté par rapport à ca.

Merci encore pour tes explications.
Invité
 

Messagede Vazkor » 09 Sep 2004, 15:26

Bonjour,

Tu peux collecter un maximum de renseignements sur les attaques: date et heure des tentatives d'intrusions, IP utilisée, manifestations et modifications constatées sur ton système, pour constituer un début de dossier de plainte.

Mais dis-toi bien que l'attaquant a sûrement tout fait pour masquer ses traces: utilisation de proxies ou de PC zombie et que si l'on constate que l'IP du PC est située à Taiwan ou aux Iles Caiman, il y a peu de chances que la police française arrive à quelque chose.

Je ne veux pas te décourager mais plutôt t'inciter à durcir tes protections au maximum.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9808
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede dan29 » 09 Sep 2004, 17:25

Oui, je comprends très bien ce que tu veux dire, et je te remercies pour tes explications ; quand la police m'a demandé d'essayer de les aider de mon côté par rapport aux tentatives d'intrusion, j'ignorais que pour le faire je devais rentrer dans l'illégalité aussi, donc je ne le ferais pas ; on attendra les conclusions du fai.

Concernant les protections, oui je suis entièrement d'accord avec toi ; je m'y emplois mais c'est pas évident quand on y connait pas grand chose ; j'ai zone alarm pro que je comptes laisser car il me protège bien, NukeNabber, SpyBot, AntiVir, AdAware, mais cependant quelques questions demeurent : j'ai désactivé l'enregistrement des mots de passe par windows mais est-ce suffisant ? Lorsque je vais sur mon compte de messagerie et que je tapes mon mot de passe, est ce qu'il part "en clair", est ce qu'il est interceptable ? Aurais-tu une réponse à cela ?

Est ce que je pourrais également "cacher" mon ip en surfant, sachant que je passes par un routeur ? Car il semblerait bien que le pirate me suive à la trace puisqu'il s'est déjà amusé à poster sur les forums où je vais, juste après mon passage, en se faisant passer pour moi ou non. C'est donc qu'il sait sur quels sites je me rends. Comment puis résoudre ce problème ?

J'ai aussi l'intention de virer IE et de le remplacer par Mozilla.

En tout cas ce site est une vraie mine d'informations, c'est bien que des gens comme vous se rendent disponibles pour aider les autres.
dan29
 
Messages: 15
Inscription: 06 Sep 2004, 15:34

Messagede Tesgaz » 09 Sep 2004, 21:41

Salut,

commences par fermer les ports sensibles, le 445 en fait partie
d'autant plus qu'en passant par un routeur ce port devrait etre fermer grace au firewall du routeur et ne fonctionner qu'en interne
soit tu suis le tuto pour la sécurité :
http://clement.reinier.free.fr/modules. ... age&pid=16
soit avec zebprotect qui est issu du tuto :
http://forum.zebulon.fr/forum_28.html
le tuto de zebprotect.
http://forum.zebulon.fr/forum_26.html


pour le mot de passe messagerie, oui, il est en clair,

pour l'ip, c'est tres dur de la cachée, il faut chainer des proxies, faire du spoofing d'ip, etc.... tres tres compliqué
donc pour tes forums, changes les mots de passe
ca devrait le calmer,
Avatar de l’utilisateur
Tesgaz
 
Messages: 2133
Inscription: 23 Juil 2004, 12:49
Localisation: ici : ---------------------> X

Messagede Vazkor » 10 Sep 2004, 01:01

Bonjour,

donc pour tes forums, change les mots de passe

Inscris-toi sur les forums sous un autre pseudo et évite cette fois de donner des infos qui permettent de te reconnaître. Edite ton profil éventuel s'il est trop révélateur.
C'est probablement avec la liste des membres en ligne qu'il te retrouve facilement.

Si tu ne peux te désinscrire toi-même ou modifier ton pseudo, demande l'aide d'un modérateur et plains-toi auprès de celui-ci des agissements de ce triste sire. Suivant les forums, il pourrait se retrouver exclu sur base de son IP, si elle est fixe.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9808
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede renegodiveau » 10 Sep 2004, 06:59

Bjr à tous,

Merci a Jim Rakoto,

WHOIS

Hier mon pare-feu a stoppé un nombre incroyable de tentatives (15Mn) : adresse ci-dessous,

Quoi faire?

http://www.dnsstuff.com/tools/whois.ch? ... 6&email=on

Ras le bol!

A+
Avatar de l’utilisateur
renegodiveau
 
Messages: 812
Inscription: 13 Juil 2004, 12:25

Messagede Vazkor » 10 Sep 2004, 07:18

Bonjour,

L'IP 212.95.66.6 que tu indiques dans le Whois est-il toujours le même en cas de tentatives d'intrusion?
Si oui, tu peux bloquer définitivement cette IP avec ton pare-feu. Mais je t'engage fermement à introduire une plainte auprès de la police et éventuellement auprès du servie abuse renseigné.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9808
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

PrécédenteSuivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 18 invités