|
| PORTAIL | ANNUAIRE | ARTICLES | COMPARATEUR HÉBERGEURS | DEVIS | FORUMS | RÉDUCTEUR D'URL |
|
|
|
|
||||||
| linux.debian.user.french Forum sur Linux Debian. Debian-user-french@lists.debian.org |
 |
|
|
LinkBack | Outils de la discussion |
09/07/2008, 09h40
|
#1 |
Messages: n/a
Hébergeur: |
[HS] fichiers de log vino
Bonjour à tous,
[désolé de reposter, j'ai oublié le sujet du mail] Afin de pouvoir assister à distance une amie, j'ai activé sur sa ubuntu le serveur vino (clone de vnc), permettant de prendre le contrôle à distance. Hier soir,il semblerait que quelqu'un ait réussi à utiliser cemoyen pour lancer un navigateur et faire des opérations sur une quelconque banque californienne. Puis l'attaquant à 'effacé' ses traces dans le navigateur. Ca sent donc assez mauvais. Endehors des opérations habituelles (fermeture du service, vérifier les rootkits, etc) je souhaiterais retrouver l'IP de la personne s'étant connectée. Quelqu'un sait-il le le serveur vino logge quelque part les IP des personnes se connectant? J'ai cherché sur google (beaucoup de questions, pas de réponses), dans la man page (qui n'existe pas), dans les docsdu paquet (rien d'intéressant). Question subsidiaire (je ne suis plus à un HS près) : dans ce cas de figure (faille de sécurité, exploitation pour des achats ou des virements) savez-vous si les banques remboursent les virements frauduleux? Mercid'avance de votre aide! Pascal ---------------------- ALICE N°1 de la RELATION CLIENT 2008*-------------------- Découvrez vite l'offre exclusive ALICE BOX! En cliquant ici http://abonnement.aliceadsl.fr Offre soumise à conditions.*Source : TNS SOFRES / BEARING POINT. Secteur Fournisseur d.Accès Internet -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org |
|
|
09/07/2008, 18h10
|
#2 |
|
Messages: n/a
Hébergeur: |
Re: [HS] fichiers de log vino
pascal.ognibene@libertysurf.fr wrote:
> Bonjour à tous, > > [désolé de reposter, j'ai oublié le sujet du mail] > > Afin de pouvoir assister à distance une amie, j'ai activé > sur sa ubuntu > le serveur vino (clone de vnc), permettant de prendre le > contrôle à > distance. > Hier soir, il semblerait que quelqu'un ait réussi à utiliser > cemoyen > pour lancer un navigateur et faire des opérations sur une > quelconque > banque californienne. Puis l'attaquant à 'effacé' ses traces > dans le > navigateur. Ca sent donc assez mauvais. > > En dehors des opérations habituelles (fermeture du service, > vérifier les > rootkits, etc) je souhaiterais retrouver l'IP de la personne > s'étant > connectée. > Quelqu'un sait-il le le serveur vino logge quelque part les > IP des > personnes se connectant? J'ai cherché sur google (beaucoup > de questions, > pas de réponses), dans la man page (qui n'existe pas), dans > les docsdu > paquet (rien d'intéressant). S'il a eu les droits root il a du effacer aussi les fichiers de log, sinon voir du côté de /var/log (pas seulement les logs de vino, mais aussi auth, syslog). Voir aussi les commandes "last" et "faillog" si elles mettent les adresses IP distantes. > > Question subsidiaire (je ne suis plus à un HS près) : dans > ce cas de > figure (faille de sécurité, exploitation pour des achats ou des > virements) savez-vous si les banques remboursent les > virements frauduleux? Tu peux refuser un paiement par CB : tu vas voir ta banque et tu demandes que soit refusé ce débit. En pratique la banque te rembourse et ensuite se retourne contre l'autre banque. Très souvent la banque te dit que c'est trop tard et que c'est pour ta pomme, mais légalement (je l'avais vu en cours de droit mais il y a longtemps, donc je ne connais plus l'article) elle ne peut pas refuser sauf peut-être si elle arrive à prouver que c'est vraiment de ta faute (genre écrire son code PIN sur la CB). Bref, tu vas voir ta banque en cas de virement frauduleux, mais évite de dire que tu as laissé un logiciel de prise de main à distance sans sécurité avec le numéro de CB en cache du navigateur ! Au pire, fait opposition tant qu'il est encore temps. A partir de maintenant, un déverminage de la machine est indispensable, ainsi que la mise en place d'un firewall. Il y a aussi la possibilité de mettre un honey pot, mais c'est dans une autre optique. Bye GL -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org |
|
|
|
10/07/2008, 09h40
|
#3 |
|
Messages: n/a
Hébergeur: |
Re: [HS] fichiers de log vino
Guillaume a écrit :
> S'il a eu les droits root il a du effacer aussi les fichiers de log, > sinon voir du côté de /var/log (pas seulement les logs de vino, mais > aussi auth, syslog). Voir aussi les commandes "last" et "faillog" si > elles mettent les adresses IP distantes. Merci. Je ne pense pas qu'il ai eu les droits root, il s'est contentéde passer par le port 5900 pour utiliser un client vnc. (a moins bien sur qu'il ai installé un key logger pour attraper le mot de passe utilisateur, ou qu'il ait lancé un exploit local. mais sur ubuntu iln'y a pas de compte root à proprement parler : il faut passer par sudo donc connaître le mot de passe d'un utilisateur pouvant utiliser sudo) chkrootkit et rkhunter ne m'ont rien détecté de suspect, les mots de passe n'ont pas été changés. Je n'ai pas réussi Ãtrouver un log spécifique à vino ou vnc dans /var/log (là ou nx logge lestentatives de connexion par exemple). C'est surtout ça qui me casse les pieds, avec l'ip de l'attaquant j'aurais pu faire quelque chose (peut-être). > >> >> Question subsidiaire (je ne suis plus à un HS près) : dans >> ce cas de figure (faille de sécurité, exploitation pour des achats ou >> des virements) savez-vous si les banques remboursent les >> virements frauduleux? > > Tu peux refuser un paiement par CB : tu vas voir ta banque et tu > demandes que soit refusé ce débit. En pratique la banque te rembourse et > ensuite se retourne contre l'autre banque. Très souvent la banque te dit > que c'est trop tard et que c'est pour ta pomme, mais légalement (je > l'avais vu en cours de droit mais il y a longtemps, donc je ne connais > plus l'article) elle ne peut pas refuser sauf peut-être si elle arrive à > prouver que c'est vraiment de ta faute (genre écrire son code PINsur > la CB). Bref, tu vas voir ta banque en cas de virement frauduleux, mais > évite de dire que tu as laissé un logiciel de prise de main à distance > sans sécurité avec le numéro de CB en cache du navigateur ! Au pire, > fait opposition tant qu'il est encore temps. > > A partir de maintenant, un déverminage de la machine est indispensable, > ainsi que la mise en place d'un firewall. Il y a aussi la possibilité de > mettre un honey pot, mais c'est dans une autre optique. Ben en fait de service sur cette machine, il n'y a que ssh (avec des clefs regénérées depuis la célèbre affaire d'entropie d'il y a quelques temps). J'ai viré vino, vnc, etc, exim, et en gros tout ce qui ressemble à un programme écoutant sur un port. Quand au numéro de compte, en fait il ne s'agissait pas de celui de mon amie : il semblerait que le pirate ait utilisé la machine comme passerelle pour réaliser des opérations sur un autre compte. La bonne nouvelle c'est que le compte de mon amie n'a pas été vidé; la mauvaise c'est que peut-être quelqu'un aux US a eu ce problème, et c'est l'IP de mon amie qui va être tracée... Merci de votre aide, Pascal -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org |
|
|
|
| Outils de la discussion | |
|
|
