très urgent besoin de renseignements après hack

[ldidier]

Certaine partie de ce post sont à prendre au 2eme voir 3eme degré, et toutes ma sympathie et mon soutien dans votre épreuve. <BR> <BR>Premier point : <BR> <BR>Il passe un fw, ce qui n'est pas un exploit en soit, et se retrouve à l'autre bout du réseau, là il y as un probléme de sécurité. Des machines XP/2000 presque patcher, la c'est encore un autre probléme. <BR> <BR>Second point : <BR> <BR>La plainte est certe au pénal, mais si vous avez des logs, vous avez des @ip, si vous avez des @IP vous avez des FAI, etc. Et même des heures. Pis si vous avez des logs vous avez eu a faire à des hacker du dimanche. Un hacker débutant sait qu'il doit effacer toutes ces traces. La preuves le fameux progs du personnage en question. <BR> <BR>Troisiéme point : <BR> <BR>Et vous les gars ils se sont pointer comme des fleurs, sans faire de scans, sans essayer, à l'arrache comme cela. <BR>Alors soit votre réseau c'est un passoire, avec un seul trou, mais il est tellement grand que même le tgv peut y passer, ou alors il y as eu des scans des tentatives et vous n'avez rien vues. Ou alors dernière hypothése, ils ont profiter d'aide en interne. <BR> <BR>Conclusion : <BR> <BR>On s'installe un vrai IDS qui bosse, on se rajoute des FW entre réseau. Le filtrage via routeur c'est du flanc marketing. Si possible des vrais FW, des qui font gaffe à ce qui passe un peu. Ont patch normalement ces machines, par exemple un pti't serveur S.U.S de chez krosoft sa aide, mais sa fait pas le café. Et ont se refait sont archi réseau/sécurité au petit oignon échalotte. Et pour finir on valide la nouvelle infrastructure en se hackan soit-même.

[vanvan]

d'1 on l'a pas encore ciblé et puis excuse moi mais pour des raisons de confidentialité, je vé pas filer cette info sauf une fois que le problème sera résolu. <IMG SRC="images/smiles/icon_razz.gif">

[JuLeS]

Pas mal l'idée de se hacker soi-même, sauf qu'on risque de passer à cote de certaines failles. Il vaut mieux avoir un bon pote en qui on a confiance, que l'on pourra charger de faire le test.

[lucyfire]

il y a des cabinets d'audits specialisés dans les intrusions, avec contrat béton, ya des articles dans MISC de ce mois et les précédents. <BR> <BR>lcf

[wann]

Salut, <BR> <BR>Figure-toi qu'il m'est arrivé la même chose ce WE. Notre site web a été défacé et la machine a été sérieusement abîmée (plusieurs binaires ont disparu notamment). On a pour le moment fait la même chose que toi (sortie de la machine du réseau en attendant de l'analyser). <BR>Je suis donc très intéressé par les décisions légales que tu pourrais prendre. <BR> <BR>@+ <BR> <BR>Erwann

[vanvan]

de toute façon je ferais suivre l'affaire pour ceux que ça intéresse histoire que ceux à qui ça arriverait pourrait gérer la situation en connaissance de cause.

[vanvan]

pour répondre à ldidier je dirais qu'on c fait hacker plusieurs fois ce weekend et c pas forcément ceux qui ont foutu du divx ( 20 go ) qui nous ont le plus dérangés, c +tot celui qui c posé sur le réseau et ensuite à scanner un ensemble de bécane. <BR>Après concernant le manque de sécurité, ça fé une semaine que je suis arrivé dans la structure, et pour contrer ce problème je suis en train de mettre MNF. donc voilà voilà ..... <IMG SRC="images/smiles/icon_razz.gif"> <BR> <BR> <BR>mais c clair que je suis d'accord avec toi sur le fait de mettre un certain nombre d'éléments de protections genre sondes, ......

[ldidier]

Je n'ais jamais parler de Divx, ni de quoi que ce soit d'autres. quand je parle de scan je parle de scan de préparation d'une attaque, pour voir ce qu'il peut y avoir en face./ <BR> <BR>Secondairement. Je pense que mon post à surtout été trés mal interpréter, quand je parlais de se hacker soi-même je parlais d'être à l'extérieur de sont réseau sur internet et de chercher à l'aveugle. <BR>En outre le fait de parler d'une aide interne pour hacker, n'est pas de la littérature, mais des cas que je connais pour avoir fait les audits qui ont permis de lever les lièvres. <BR> <BR>Maintenant concernant le fait que vous ne soyez dans votre entreprise depuis une semaine, je vous conseil de voir avec votre direction. Puisque que dans ce cas vous n'y pouvez rien. <BR> <BR>Pour ma part et au vue de vos dires je pense que le mieux ce n'est pas une mnf, qui ne seras qu'un platre temporaire, mais de revoir votre architecture réseaux et sécurité trés trés sérieusement. <BR> <BR>Maintenant le fait de maintenir confidentiel votre architecture, n'est pas en soit une protection, puisque de prés ou de loin tous le monde à la même chose. <BR> <BR>D'autre part si vous aviez lu avec attention mon post vous auriez lu que je parlais d'IDS. Non sans raison, puisque si il y avait eu préparation votre IDS vous aurais largement aider. De plus un IDS tel que SNORT permet de s'interfacer avec les firewalls afin de faire du blocage d'@IP, pour les gens du marketing ce n'est plus un IDS mais un IPS.

[vanvan]

De toute façon c kler que l'archi est à revoir et si ça tenait qu'à moi, ça serait snort, tripwire, mes sondes en python récupérant les services de nagios ( histoire de faire + simple ), et pour mnf c juste une partie. + des vlan histoire de cloturer le truc. <BR> <BR>Après pour la suite on verra, pour l'instant malgré le fait que l'archi soit à retravailler sérieusement, c surtout l'aspect juridique qui m'amenait à faire ce post, histoire de savoir se dépétrer le + rapidement possible de cette galère. <BR> <BR>voilà.

[vanvan]

et puis juste pour en rajouter, un ptit ipcop ça pourrait bien se tenter mais il va falloir que je travaille la question.