(Courriels de diversion: <depart@assiegera-vise.com> <deshonorent@quarantaine-resolus.com> <exaspereriez@bottes-traduirez.com> <reeducations@estomperais-tortueuses.com> <congratulerent@infererions-rongeuses.com> <anemone@eclipsera-frottent.com> <tergiversons@salerai-depoitraillee.com> <enjoignit@fermoirs-offenserions.com> <enterreront@remaniements-correspondrait.com> <desarconnent@festoyions-renverra.com> )
Nicolas Figaro wrote: \ > ça risque de ne pas être simple. > le mieux est de contacter son provider (free d'près l'adresse dns). > tu peux envoyer un mail à abuse@free.fr et détailler ce qui s'est passé. Il s'agit de probablement plusieurs centaines de machine zombifiees j'ai la chance d'avoir garde cette trace et d'avoir un element de preuve. si la personne reconnait son IP, en fonction de son systeme le type d'action n'est pas le meme. Si c'est bel et bien un systeme linux, ca signifie au'il y a un trojan /code imnside/ il s'agit de determiner l'application qui est corrompue et de prevenir les developpeurs de toute urgence. > n'essaies pas de déterminer directement son type d'os, de faire du > scan vers cette ip, ça pourraît etre intérprété cmme une tentative > d'intrusion. J'ai des centaines d'adresse IP dans le monde entier pour tester le type d'OS par un scan : c'est soit des systemes windows sur lequel il y a un reverse proxy vers une machine linux (http/TCP et DNS/UDP) le serveur http est un apache/debian sur toutes les machines, et le serveur DNS est un serveur MyDNS (qui n'existe que sous *ix) soit des machines linux compromises (*le plus vraisemblable*) sur lesquelles le malware qui imitent la comportement de machine windows. La signature est la meme pratiquement sur tute les victimes: comportement de chaque victime : serveur http avec une page d'erreur (le pirate s'est plante dans l'adresse de ses scripts php adresse absolue donc les pages ne sont pas servies correctement) Serveur DNS robuste qui sert en Round Robin 4 adresses de victimes de part le monde quand on pointe la requete sur le domaine du pirate. Sur chacube de ces victimes il y a exactement le meme comportement. J'ai scanne quelques victimes les signatures sont identiques. nmap reconnait le serveur MyDns et un serveur apache 2 php4 debian. J'ai signale le bug a l'equipe de securite debian, et la il me faudrait pouvoir exhiber une victime pour connaitre exactement les conditions de l'installation du trojan. *Si jamais les victimes sont des systemes windows,* ca signifie qu'elles pointent necessairement toutes sur le systeme du pirate j'aimerai bien connaitre son IP pour prevenir son FSI qui ne manquera pas de lui couper son acces vu le nombre de victimes. Quant au Registrar, je ne sais pas quel peut etre son action contre son registrant. voir <news:1149529763.206104.209980@c74g2000cwc.googlegroups.com>http://groups.google.com/group/news.admin.net-abuse.misc/msg/4d4a0a2af18a0c8a pour plus de detail. > c'est au FAI de régler cela avec son abonné. Le FAI ? Quel fai ? celui de /cette/ machine ? Il est prevenu depuis 15 jours. >> Vous pouvez m'appeler au 0871752898 ou répondre par mail. Merci -- [Les trois lignes qui précèdent peuvent être librement citées dans les anthologies] -=-=- TagZilla 0.059 -=-=- -------------------------------------------------------------------- Les listes de diffusion occultes: <URL:http://www.CULTe.org/listes/>