[HS] faire cesser des attaques incessantes

Le
Loran 42o
=_Part_8249_21402683.1219757625676
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

bonjour la liste et d'avance je m'excuse de ce hors sujet mais j'espère t=
out
de même que ma debian(etch k7 & lenny amd64) pourras m'être utile sur c=
e
coup.
en effet depuis quelques jours déjà je reçois des mails de mon modem/=
routeur
(netgear DG831G) me signalant de nombreuses attaques (dos & prot scan) et c=
e
à chaque fois depuis la même adresse ip.
je me demande donc comment je pourrais faire savoir à cette personne que:
1- il ne passe pas inaperçu
2- je souhaiterais vivement qu'il arrête son petit manège
En esperant que vous pourrez m'aider sur ce coup
Cordialement,
--
#Loran42o
#www.passeralinux.fr/

=_Part_8249_21402683.1219757625676
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

<div dir="ltr">bonjour la liste et d&#39;avance je m&#39;excuse de ce hor=
s sujet mais j&#39;espère tout de même que ma debian(etch k7 &amp; lenn=
y amd64) pourras m&#39;être utile sur ce coup.<br>en effet depuis quelque=
s jours déjà je reçois des mails de mon modem/routeur (netgear DG831G=
) me signalant de nombreuses attaques (dos &amp; prot scan) et ce à chaqu=
e fois depuis la même adresse ip.<br>
je me demande donc comment je pourrais faire savoir à cette personne que:=
<br>1- il ne passe pas inaperçu<br>2- je souhaiterais vivement qu&#39;il =
arrête son petit manège<br clear="all">En esperant que vous pourrez m=
&#39;aider sur ce coup<br>
Cordialement,<br>-- <br>#Loran42o<br>#<a href="http://www.passeralinux.fr=
/">www.passeralinux.fr/</a><br>
</div>

=_Part_8249_21402683.1219757625676--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Nicolas KOWALSKI
Le #16629541
On Tue, Aug 26, 2008 at 03:33:45PM +0200, Loran 42o wrote:
bonjour la liste et d'avance je m'excuse de ce hors sujet mais j'espère tout
de même que ma debian(etch k7 & lenny amd64) pourras m'être utile sur ce
coup.



Bonjour,


en effet depuis quelques jours déjà je reçois des mails de mon modem/routeur
(netgear DG831G) me signalant de nombreuses attaques (dos & prot scan) et ce
à chaque fois depuis la même adresse ip.



Si un whois <adresse-ip-du-malotru> donne quelquechose, tu peux toujours
envoyer un courrier/mail de plainte auprès du fournisseur d'accès de
cette "personne" - j'écris entre guillements, car c'est aussi peut être
une machine zombie qui scanne dans tous les sens.

--
Nicolas

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
François Cerbelle
Le #16629531
Le Mar 26 août 2008 15:33, Loran 42o a écrit :
[...]
je me demande donc comment je pourrais faire savoir à cette personne que:
1- il ne passe pas inaperçu
2- je souhaiterais vivement qu'il arrête son petit manège



Salut,

Commence par essayer avec ton navigateur d'aller sur l'adresse IP
d'origine, ce sera peut etre un site Oueb avec les coordonnées du contact
!!! Si, si, ca arrive.

Ensuite, tu peux essayer d'interroger WHOIS pour connaitre le proprietaire
du bloc auquel appartient l'adresse IP, tu trouveras certainement une
adresse electronique à laquelle tu pourras ecrire (FAI), mais ne t'attends
pas à une reponse.

Sinon, il te reste à demander aux DNS (nslookup ou dig) au cas où cette
adresse IP disposerait d'un nom symbolique dans un domaine, et tu auras la
encore une adresse electronique à laquelle ecrire (FAI), mais tu n'auras
certainement pas plus de réponse.

Sinon, tu peux simplement configurer ton parefeu pour qu'il ignore (DROP)
tout ce qui vient de cette adresse.

Francois Cerbelle

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Jean-Yves F. Barbier
Le #16629521
Loran 42o a écrit :
bonjour la liste et d'avance je m'excuse de ce hors sujet mais j'espère
tout de même que ma debian(etch k7 & lenny amd64) pourras m'être utile
sur ce coup.
en effet depuis quelques jours déjà je reçois des mails de mon
modem/routeur (netgear DG831G) me signalant de nombreuses attaques (dos
& prot scan) et ce à chaque fois depuis la même adresse ip.
je me demande donc comment je pourrais faire savoir à cette personne que:
1- il ne passe pas inaperçu
2- je souhaiterais vivement qu'il arrête son petit manège
En esperant que vous pourrez m'aider sur ce coup
Cordialement,



salut,

la dernière fois que ça m'est arrivé, j'ai fait un 'nslookup <adresse IP>'
pour repérer le provider; puis je lui ai expédié un e-mail à
abuse@<nom_du_provider>, contenant tous les logs; et ça c'est terminé
dans l'heure suivante.

Maintenant, si l'attaquant est "bon", c'est loin d'être suffisant: il peut
spoofer une adresse IP (voire une MAC si son provider est plus que tolérant)
ou faire encore "mieux"...

Mais pour les scripts-kiddies, ça le fait en Gal.

Tu peux aussi renvoyer la politesse en faisant un nmap de l'adresse en
question.

En désespoir de cause, tu peux te travestir en ligne de code de snort (par
ex.), puis en chtit nélectron, remonter le cuivre, puis en photon, remonter
la fibre, puis encore en électron, et lui foudroyer son modem de sale petit
cracker ;-)

Plus sérieusement, tu peux désactiver la réponse aux pings dans le menu de
ton router, ça calmera les (une partie des) ardeurs de l'attaquant.

JY
--
Sailing is fun, but scrubbing the decks is aardvark.
-- Heard on Noahs' ark

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
rvenne
Le #16630181
Nicolas KOWALSKI a écrit :
On Tue, Aug 26, 2008 at 03:33:45PM +0200, Loran 42o wrote:

bonjour la liste et d'avance je m'excuse de ce hors sujet mais j'espère tout
de même que ma debian(etch k7 & lenny amd64) pourras m'être utile sur ce
coup.




Bonjour,



bonjour, djindobre


en effet depuis quelques jours déjà je reçois des mails de mon modem/routeur
(netgear DG831G) me signalant de nombreuses attaques (dos & prot scan)




des nombreuses TENTATIVES d'attaques. tu es effectivement attaqué, je ne
sais pas si tu aurais pu écrire ici :-)
et ce
à chaque fois depuis la même adresse ip.







le vilain...
Si un whois <adresse-ip-du-malotru> donne quelquechose, tu peux toujours
envoyer un courrier/mail de plainte auprès du fournisseur d'accès de
cette "personne" - j'écris entre guillements, car c'est aussi peut être
une machine zombie qui scanne dans tous les sens.




au fait... on ne peut rien faire.
il doit y a voir une bonne dizaine de milions de PC zombie qui sont
susceptibles de te scanner. La france étant le 7iem plus gros réservoirs
de PC zombie au monde. le seul moyen est d'ignorer les alertes en les
désactivant.

le type qui te scanne est probablement un innocent qui ne sait rien de
l'informatique, et qui avait du cliquer sur un mail nigerian... écrire à
son ISP n'est pas forcément utile, car il ne saura jamais réinstaller
son PC tout seul. tout ce que ca peut faire, dans le meilleurs des cas,
est qu'il va jetter son PC et en acheter un autre. lequel sera condamné
d'ici peu.

c'est quoi l'ip?

--
Richard VENNE
IT Administrator

Administrateur réseaux système & sécurité
Afin de respecter de l'environnement, merci de n'imprimer
cet email qu'en cas de nécessité absolue.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Sylvain Le Gall
Le #16631071
On 26-08-2008, Loran 42o
En esperant que vous pourrez m'aider sur ce coup



Le mieux c'est de "répondre lentement ou pas du tout". Ça peut paraître
bizarre comme façon de faire mais à défaut d'arrêter les attaques ça les
ralentit fortement. Regarde sur ton modem si tu peux limiter le nombre de
connexions par seconde pour une IP (ou toutes les IP). L'idée étant que
seul les programmes de scan/brute force/dos font beaucoup de connexions à
la seconde... Depuis que j'ai mis en place cette politique pour SSH ma
ligne ADSL n'est plus du tout encombrée par ce genre de trafic (j'ai
aussi utilisé denyhost).

Cdlt,
Sylvain Le Gall

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Loran 42o
Le #16632441
------=_Part_11270_2568148.1219768878931
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

tout d'abord merci à tous pour vos réponses.
l'adresse en question est 85.190.0.3 et lorsque je fais un whois dessus ou
que je la tappe directement dans mon navigateur "on" me demande de
consulter:
If you see portscans/abuse from 85.190.0.3 Please read
http://freenode.net/policy.shtml#proxies
donc malgré mon niveau d'anglais je crois comprendre que j'ai fais beauco up
de bruit pour rien car c'est depuis que je me connecte à l'Irc sur Freeno de
que les "problèmes" ont dus apparaître.
Merci à tous :)

--
#Loran42o
#www.passeralinux.fr/

------=_Part_11270_2568148.1219768878931
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

If you see portscans/abuse from Please read
Merci à tous :) </div>

------=_Part_11270_2568148.1219768878931--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Publicité
Poster une réponse
Anonyme