Le 12738i�me jour apr�s Epoch, Fran�ois Boisson �crivait: > Le Tue, 16 Nov 2004 19:03:17 +0100 > dlist <[EMAIL PROTECTED]> a �crit: > >> De ce fait j'en appelle � ceux qui ont de l'exp�rience en la mati�re >> et j'aimerai savoir leur modus operandi. > > J'avais en D�cembre 2003 �t� victime d'une intrusion avec installation de > rootkit, etc sur mon parefeu. > > J'avais fait imm�diatement une image du disque avant de remettre la > machine en �tat (sans r�installation d'ailleurs), et j'avais pu en > l'analysant r�cup�rer tous les logs relatifs � l'intrusion, ses actions, > etc. Par ailleurs, j'avais ses diff�rentes IP et sa localisation probable. > Le gars �tait un "m�chant": il avait install� entre autres un syst�me > permettant de faire un flood et deux (!?) shells.
Probablement parce que c'est l'amalgamme de plusieurs worms, chacun ayant son shell ;) > Je suis all� au commissariat o� on m'a �cout� avec soin et int�r�t et o� > on m'a aiguill� vers un service � Paris (pr�s de la place d'Italie je > crois ou dans le 15�me)... ouvert de 14h � 15h. L�, pbm, je bosse. Je n'ai > pas pu y aller. > > Voil�. Sache donc que la police a un service d�di� avide de tous > renseignements (le fait d'avoir tout servi sur un plateau leur plait > bien) Tu crois vraiment � ce que tu dis, l�? Primo, l'adresse du mec en question est tr�s probablement l'adresse d'une pauvre machine b�tement infect�e. Ton "m�chant" est s�rement un pauvre gentil qui se d�patouille mal d'une attaque qu'il a eu lui. Secundo, je pense que ce genre d'"affaire" n'int�resse qu'assez peu la police, et qu'ils doivent en recevoir tellement et du m�me genre que �a va les lasser assez vite. Le temps qu'ils mettent en oeuvre les moyens de retrouver les infos, les logs des FAI des "m�chants" auront disparu. Je n'imagine pas qu'une commission rogatoire soit faite pour chaque cas de machine infect�e avec un vers par un script-kiddy !
