Que doit-on faire suite à une attaque ???

[DgSe95]

mais qu'a t'il fait exactement ? <BR> <BR>je sais qu'il est très facile de scanner une machine en lui faisant croire qu'il y en a plusieur qui la scanne, alors qu'il n'y en a qu'une. <BR> <BR>il est aussi possible de forger des paquet ip, contenant une fause ip de destination. <BR> <BR>je suis tout à faire d'accord avec toi gwerlas, c'est vrai que la meilleure façon de régler ça est la manière juridique, mais pour que l'affaire passe en jugement il faut avoir pas mal de preuve et que cela vaut le coup d'aller jusqu'au bout. <BR> <BR>comme l'a dit grosbedos, si tu peux avoir les log de ton FAI, pour tel jours, telle date, tel ip, ce sera des preuves en béton !

[gwerlas]

Peux-tu m'en dire un peu plus sur cette histoire de scan par 2 adresses en même temps... siteuplééé

[SNORK]

Pour répondre à ce qu'il a fait ...(je me suis renseigner aujourd'hui) il a agit en concurence déloyale, nous sommes en cours de création d'entreprise, nous sommes dans un pays de libre entreprise, il ne doit pas venir faire parler un serveur pour savoir ce qu'il héberge. <BR> <BR>En fait, IPCOP a détecté toutez les tentatives et les a logué entre le scan visible sur le firewal et les attaques vu par snort. <BR> <BR>Par contre par principe, il a approché les ports ouverts... exemple, vous voulez savoir si un nom de domaine est sur la machine, vous faites des requêtes au serveur pop, pas le même comportement si le mail n'hexiste pas ou le psw est pas valide.... <BR> <BR>Idem pour le serveur apache, rien de méchant mais si je tappe sur votre IP et que je tape IP/je vous $%#&!, vous retrouvez dans la logue le graphiti du voyoux....en fait rien de grave, c'est seulement une attaque qui nous vise précisement c'est différent des "codes RED" quotidiens... <BR> <BR>Il nous croyait mickey sur nous protections.... il n'imaginait pas se faire scotcher sur les logs des serveurs et de IPCOP. <BR> <BR>Au fait, vous avez vu .... C'est 3 ans de prison si ces visites inamicales se transforme en domage avérés... <BR> <IMG SRC="images/smiles/icon_cussing.gif">

[DgSe95]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-04-01 15:31, gwerlas a écrit: <BR>Peux-tu m'en dire un peu plus sur cette histoire de scan par 2 adresses en même temps... siteuplééé <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>avec NMAP par exemple, tu as l'option DECOY, elle te permet, même si les adresses n'existe pas, de générer des scan venant sois disant de plusieur adresse différente alors que ce n'est pas le cas <BR> <BR>si je me souviens bien, car je ne le fais pas souvent, uniquement pour tester mon firewall, la comande est la suivante : <BR> <BR>nmap -P0 #ne pas pinguer -sS #SYN Scan -O #prise d'empreinte TCP (detection d'os) -D 193.256.13.52, ME, 205.126.36.21 #adresse fictive mais ça marche même si elle n'existe pas 146.205.13.25 #cible <BR> <BR>donc la commande : <BR> <BR>nmap -P0 -sS -O -D 193.256.13.52,ME,205.126.36.21 146.205.13.25 <BR> <BR>mais tu as aussi pas mal d'autre option, comme le scan avec different protocole ip, le FIN scan, le NULL scan, XMAS scan, etc... <BR> <BR>nmap permet de faire une sorte de cartographie de ton réseau assez facilement, tu peux connaitre les ports ouvert, même filtrés, les propriétaire des services tournant sur la machine, tu peux aussi faire du SYN FLOOD, etc... <BR> <BR>voici le site où tu peux le trouver : <BR> <BR><!-- BBCode auto-link start --><a href="http://www.insecure.org/" target="_blank">http://www.insecure.org/</a><!-- BBCode auto-link end --> <BR><!-- BBCode auto-link start --><a href="http://www.insecure.org/nmap/" target="_blank">http://www.insecure.org/nmap/</a><!-- BBCode auto-link end --> <BR> <BR>_________________ <BR>DgSe95 vous salut<BR><BR><font size=-2></font>

[DgSe95]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-04-01 23:54, SNORK a écrit: <BR>Pour répondre à ce qu'il a fait ...(je me suis renseigner aujourd'hui) il a agit en concurence déloyale, nous sommes en cours de création d'entreprise, nous sommes dans un pays de libre entreprise, il ne doit pas venir faire parler un serveur pour savoir ce qu'il héberge. <BR> <BR>En fait, IPCOP a détecté toutez les tentatives et les a logué entre le scan visible sur le firewal et les attaques vu par snort. <BR> <BR>Par contre par principe, il a approché les ports ouverts... exemple, vous voulez savoir si un nom de domaine est sur la machine, vous faites des requêtes au serveur pop, pas le même comportement si le mail n'hexiste pas ou le psw est pas valide.... <BR> <BR>Idem pour le serveur apache, rien de méchant mais si je tappe sur votre IP et que je tape IP/je vous $%#&!, vous retrouvez dans la logue le graphiti du voyoux....en fait rien de grave, c'est seulement une attaque qui nous vise précisement c'est différent des "codes RED" quotidiens... <BR> <BR>Il nous croyait mickey sur nous protections.... il n'imaginait pas se faire scotcher sur les logs des serveurs et de IPCOP. <BR> <BR>Au fait, vous avez vu .... C'est 3 ans de prison si ces visites inamicales se transforme en domage avérés... <BR> <IMG SRC="images/smiles/icon_cussing.gif"> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>disons que je pense sincèrement que ce n'est pas vraiment quelqu'un de compétent dans le domaine du hack... car si il voulait vraiment être invisible, crois moi c'est possible ! il suffit d'utiliser les ROOTKIT, ou les LKM, pour te rendre completement invisible, même dans les logs.... <BR> <BR>de plus, il n'est pas difficile d'identifier les services qui tourne sur les machines, même avec un firewall, pour apache tu demande une page inexistante et hop, merci pour l'info, version du serveur, les modules chargés..., pour le FTP, pareil un telnet, et c'est bon, pareil pour les serveur mail... tu envois un mail bidon avec un destinataire inexistant et hop l'@ip du serveur en en-tête... même si un système est sécurisé, que les connexions le sont aussi, le soft est parfois bien trop bavards...

[jpcheney]

faux pour apache : si il est bien parametré, il dit juste qu'il est un apache mais il ne donne ni la version, ni les modules <BR> <BR>et pour un rootkit, il faut deja etre entrer dans le serveur ce qui n'a pas l'air d'etre le cas ...

[SNORK]

Très juste... en fait cette aventure est instructive.... <BR>se protgéger raisonablement, réduire les sortie d'info inutiles, ne pas devenir parano.... <BR> <BR>C'est l'enjeux. <IMG SRC="images/smiles/icon_rolleyes.gif">

[jpcheney]

je pense qu'un pue de parano n'est pas inutile en securité informatique !!!

[SNORK]

Franchement je ne sais pas ou il faut s'arreter... exemple ce matin, pour voir, j'ai un écran ouvert en tail sur la log système.... C'est beau, c'est facinant mais chaque fois que les lignes bougent je regarde... je perd mon temps à regarder ça ! <BR> <BR>Comment ne pas ignorer ses logs et ne pas lire toutes les lignes ? <BR>deux extrèmes entre sérieux et parano <IMG SRC="images/smiles/icon_rolleyes.gif">

[DgSe95]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-04-02 10:18, jpcheney a écrit: <BR>faux pour apache : si il est bien parametré, il dit juste qu'il est un apache mais il ne donne ni la version, ni les modules <BR> <BR>et pour un rootkit, il faut deja etre entrer dans le serveur ce qui n'a pas l'air d'etre le cas ... <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>entièrement d'accord avec toi pour apache, il est vrai qu'en ajoutant la ligne "ServerTokens Prod" et "ServerSignature Off" ça evite de le rendre bavard, mais ne pas oublier aussi de créer des pages d'erreur perso, ce qui ajoute encore un moyen en plus de le faire taire... <BR> <BR>pour les ROOTKIT, c'est vrai qu'il faut dejà pouvoir rentrer pour les placer mais comme chacun le sais, il existe toujours des failles dans un systèmes, car rien n'est pas parfait, une sécurité ne peux pas être mise en place une bonne fois pour toute, il faut qu'elle soit en permanence PRO ACTIVE, avec une cellule de veille technologique, une verif quotidienne des MAJ et des vulnérabilité, etc... <BR> <BR>mais comme chacuns sait, pour une serveur, il est obligé d'avoir quelques ports ouverts, comme les ports 80, 21, 25, 110, donc forcement un moyen de rentrer.... <BR>_________________ <BR>DgSe95 vous salut<BR><BR><font size=-2></font>

[DgSe95]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-04-02 13:14, jpcheney a écrit: <BR>je pense qu'un pue de parano n'est pas inutile en securité informatique !!! <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>il est frai que l'on peux dire que la paranoia dans le domaine de la sécurité informatique est un atout non négligable, mais c'est un peu comme toutes choses dans la vie, il faut savoir ne pas basculer dans les extrèmes...

[xjlxx]

Une adresse IP est une adresse parmi tant d'autre, noyé dans la masse ... <BR> <BR>J'ai déjà envoyé un mail à wanadoo lorsque je me suis fait bombé mon serveur Postfix( avec des centaine de log ) , il m'ont dis comme réponse : <BR> <BR>Vos problème entre internaute ne nous concerne pas... lol <BR> <BR>@+ <BR> <BR>_________________ <BR>Powered by LINUX & WINDOW$<BR><BR><font size=-2></font>

[DgSe95]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-04-02 14:08, SNORK a écrit: <BR>Franchement je ne sais pas ou il faut s'arreter... exemple ce matin, pour voir, j'ai un écran ouvert en tail sur la log système.... C'est beau, c'est facinant mais chaque fois que les lignes bougent je regarde... je perd mon temps à regarder ça ! <BR> <BR>Comment ne pas ignorer ses logs et ne pas lire toutes les lignes ? <BR>deux extrèmes entre sérieux et parano <IMG SRC="images/smiles/icon_rolleyes.gif"> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>je pense qu'il ne faut pas non plus tomber dans cet extrème, il faut se dire que nous utilisont des logiciels, qui sont là pour ça, ce qu'il faut c'est de ne pas oublier qu'ils existent et les regarder qutodiennement surtout dans le cas d'une affaire comme celle là... <BR> <BR>déstress un petit peu SNORK, je pesne que ici, tu as la chance d'être sur un site où il y a plein de gens ayant, une expérience différente, donc des connaissances différentes dans de vaste domaines, donc tu trouveras forcement une solution à ton pb sans forcement tomber dans la paranoia d'une sécurité intensive sur tes systèmes...

[DgSe95]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-04-02 14:20, xjlxx a écrit: <BR>Une adresse IP est une adresse parmi tant d'autre, noyé dans la masse ... <BR> <BR>J'ai déjà envoyé un mail à wanadoo lorsque je me suis fait bombé mon serveur mail Exim ( avec des centaine de log ) , il m'ont dis comme réponse : <BR> <BR>Vos problème entre internaute ne nous concerne pas... lol <BR> <BR>@+ <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>c'est clair que dans ce cas là normalement, même pour un particulier (si ce n'est pas ton cas, désolé pour l'erreur), ils auraient quand du s'occuper de ton cas, transmettre les données au service de la police informatique, car il offre une services, et normalement il devrais aussi, s'occuper d'affaire comme celle là, et en aucun cas te repondre comme il l'ont fait ! <BR> <BR>mais là c'est plus un cas, de tentatives d'intrusion dans une entreprise, ce qui peut paraitre à leur yeux, plus important...

[kerozene]

Parano, Parano, Parano quand tu nous tiens ! <BR> <BR>Mon avis sur la question ? Bah c'est pas difficile, j'ai un IPCop et j'essaye de lui faire un peu confiance. C'est vrai que je suis un particulier et que par conséquent je n'ai pas de données aussi sensibles qu'une entreprise (koike...) mais bon ! <BR> <BR>Réflechissons 5 min, je bosse pour une bonne grosse entreprise qui a un peu d'argent et j'ai besoins d'avoir quelques renseignements sur un concurrents : qu'est ce qui coute le plus cher d'après vous : graisser la patte d'un mec qui bosse chez le concurrent en lui proposant un peu de beurre dans ces épinard ou payer - chèrement - un informaticien pour chercher dans le réseau du concurrent quelque chose mais on sait pas trop quoi. En plus avec la parano actuelle, si les données sont vraiemetn sensibles, elles sont sans accès exterieur (faut pas prendre les admins que pour des imbéciles, je sais , j'en suis un ! <IMG SRC="images/smiles/icon_lol.gif"> ). <BR> <BR>Donc pour moi, en terme de sécurité, le maillon le plus faible est et restera toujours l'homme ! Tous les firewall du monde n'empécheront jamais les transfuges ! <BR>