Forum général.général intrusion

Posté par  .
Étiquettes : aucune
0
9
mar.
2007
bonjour,
un des comptes d'une de mes machines a été abusé et utilisé pour procéder à un scan ssh sur d'autres machines extérieures.
Apparemment, j'ai affaire à un script skid qui n'a pas pu compromettre autre chose (bien que mon noyau soit un peu vieux) et a laissé toutes ses traces:

- session screen ouverte
- bash_history intacte
- stupide changement de passwd du user
- création de dossiers imbriqués au nom discret ('. ') puis install du scanner et lancement de nombreuses instances très gourmandes en cpu

j'ai toutes les traces de la session interactive de ce gamin mais l'attaque semble venir de 2 adr ip dynamiques de chez aol (probablement compromises aussi).

J'ai aussi l'adresse mail chez yahoo qui sert à collecter les machines vulnérables découvertes par le scanner.

Que me conseillez vous comme démarche ?
1- on oublie
2- on écrit à abuse@aol.com ?
3- dépôt de plainte ?
4- on joue avec le mail du gars ?
5- on le laisse revenir ?

D'habitude je prévenais l'ISP ou le propriétaire de la machine en lui demandant de corriger sa machine, mais là on a affaire a un gros mastodonte stupide qui doit crouler sous les "abuses" (aol).

Sachant que, bien sûr, j'ai corrigé l'impardonnable trou de sécurité que j'avais laissé qui était le mot de passe trivial...

ps: J'ai bien envie de replacer la vulnérabilité du compte et m'attacher à la session screen qu'il met en route juste pour m'amuser, mais bon j'ai peut-être autre chose à faire aussi...
  • # Dépôt de plainte

    Posté par  (site web personnel) . Évalué à 3.

    Dans tous les cas le dépot de plainte est recommandée, si jamais quelqu'un venait à se plaindre contre toi suite à cette intrusion (si le kiddie a profité de ta machine comme rebond vers une autre).

    Pour le reste, effectivement vu que s'adresser à Aol et Yahoo pour une affaire aussi 'bénigne' risque de rester lettre morte, tu peux t'en passer.

    J'ai bien envie de replacer la vulnérabilité du compte et m'attacher à la session screen qu'il met en route juste pour m'amuser, mais bon j'ai peut-être autre chose à faire aussi...

    Et à voir si c'est le même huluberlu qui revient ou quelqu'un de plus nuisible...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.