[EMAIL PROTECTED] wrote:
Bonjour à tous,
[désolé de reposter, j'ai oublié le sujet du mail]
Afin de pouvoir assister à distance une amie, j'ai activé
sur sa ubuntu
le serveur vino (clone de vnc), permettant de prendre le
contrôle à
distance.
Hier soir, il semblerait que quelqu'un ait réussi à utiliser
cemoyen
pour lancer un navigateur et faire des opérations sur une
quelconque
banque californienne. Puis l'attaquant à 'effacé' ses traces
dans le
navigateur. Ca sent donc assez mauvais.
En dehors des opérations habituelles (fermeture du service,
vérifier les
rootkits, etc) je souhaiterais retrouver l'IP de la personne
s'étant
connectée.
Quelqu'un sait-il le le serveur vino logge quelque part les
IP des
personnes se connectant? J'ai cherché sur google (beaucoup
de questions,
pas de réponses), dans la man page (qui n'existe pas), dans
les docsdu
paquet (rien d'intéressant).
S'il a eu les droits root il a du effacer aussi les fichiers de log,
sinon voir du côté de /var/log (pas seulement les logs de vino, mais
aussi auth, syslog). Voir aussi les commandes "last" et "faillog" si
elles mettent les adresses IP distantes.
Question subsidiaire (je ne suis plus à un HS près) : dans
ce cas de
figure (faille de sécurité, exploitation pour des achats ou des
virements) savez-vous si les banques remboursent les
virements frauduleux?
Tu peux refuser un paiement par CB : tu vas voir ta banque et tu
demandes que soit refusé ce débit. En pratique la banque te rembourse et
ensuite se retourne contre l'autre banque. Très souvent la banque te dit
que c'est trop tard et que c'est pour ta pomme, mais légalement (je
l'avais vu en cours de droit mais il y a longtemps, donc je ne connais
plus l'article) elle ne peut pas refuser sauf peut-être si elle arrive à
prouver que c'est vraiment de ta faute (genre écrire son code PIN sur
la CB). Bref, tu vas voir ta banque en cas de virement frauduleux, mais
évite de dire que tu as laissé un logiciel de prise de main à distance
sans sécurité avec le numéro de CB en cache du navigateur ! Au pire,
fait opposition tant qu'il est encore temps.
A partir de maintenant, un déverminage de la machine est indispensable,
ainsi que la mise en place d'un firewall. Il y a aussi la possibilité de
mettre un honey pot, mais c'est dans une autre optique.
Bye
GL
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]