Le mercredi 17 nov 2004 � 11 h 22, Fran�ois a dit: > Le 12738i�me jour apr�s Epoch, > Fran�ois Boisson �crivait: > > > Le Tue, 16 Nov 2004 19:03:17 +0100 > > dlist <[EMAIL PROTECTED]> a �crit: > > > >> De ce fait j'en appelle � ceux qui ont de l'exp�rience en la > >mati�re> et j'aimerai savoir leur modus operandi. > > > > J'avais en D�cembre 2003 �t� victime d'une intrusion avec > > installation de rootkit, etc sur mon parefeu. > > > > J'avais fait imm�diatement une image du disque avant de remettre > > la machine en �tat (sans r�installation d'ailleurs), et j'avais pu > > en l'analysant r�cup�rer tous les logs relatifs � l'intrusion, ses > > actions, etc. Par ailleurs, j'avais ses diff�rentes IP et sa > > localisation probable. Le gars �tait un "m�chant": il avait > > install� entre autres un syst�me permettant de faire un flood et > > deux (!?) shells. > > Probablement parce que c'est l'amalgamme de plusieurs worms, chacun > ayant son shell ;) > > > Je suis all� au commissariat o� on m'a �cout� avec soin et int�r�t > > et o� on m'a aiguill� vers un service � Paris (pr�s de la place > > d'Italie je crois ou dans le 15�me)... ouvert de 14h � 15h. L�, > > pbm, je bosse. Je n'ai pas pu y aller. > > > > Voil�. Sache donc que la police a un service d�di� avide de tous > > renseignements (le fait d'avoir tout servi sur un plateau leur > > plait bien)
as-tu une adresse (internet) pour contacter ce service? > > Tu crois vraiment � ce que tu dis, l�? > > Primo, l'adresse du mec en question est tr�s probablement l'adresse > d'une pauvre machine b�tement infect�e. Ton "m�chant" est s�rement > un pauvre gentil qui se d�patouille mal d'une attaque qu'il a eu > lui. donc une bonne chose serait de contacter l'ip en question afin de lui sugg�rer que sa machine est infect�e? > > Secundo, je pense que ce genre d'"affaire" n'int�resse qu'assez peu > la police, et qu'ils doivent en recevoir tellement et du m�me genre > que �a va les lasser assez vite. Le temps qu'ils mettent en oeuvre > les moyens de retrouver les infos, les logs des FAI des "m�chants" > auront disparu. Je n'imagine pas qu'une commission rogatoire soit > faite pour chaque cas de machine infect�e avec un vers par un > script-kiddy ! > Je le pense aussi. Mais c'est quand m�me chiant qu'on ne puisse rien faire (ou presque) dans ce genre de cas. Le gars essaie quand m�me de *p�n�trer* chez moi sans invitation.. C'est les cambrioleurs qui seraient contents si c'�tait ainsi dans leur "m�tier".. En tout cas merci pour vos remarques.
