[HS] fichiers de log vino

Le
pascal.ognibene
Bonjour à tous, [désolé de reposter, j'ai oublié le su=
jet du mail] Afin de pouvoir assister à distance une amie, j=
'ai activé sur sa ubuntu le serveur vino (clone de vnc), per=
mettant de prendre le contrôle à distance. Hier soir,=
il semblerait que quelqu'un ait réussi à utiliser cemoyen =
pour lancer un navigateur et faire des opérations sur une quelconq=
ue banque californienne. Puis l'attaquant à 'effacé' ses traces=
dans le navigateur. Ca sent donc assez mauvais. En=
dehors des opérations habituelles (fermeture du service, vérifi=
er les rootkits, etc) je souhaiterais retrouver l'IP de la personne=
s'étant connectée. Quelqu'un sait-il le le serveur v=
ino logge quelque part les IP des personnes se connectant? J'a=
i cherché sur google (beaucoup de questions, pas de répons=
es), dans la man page (qui n'existe pas), dans les docsdu paqu=
et (rien d'intéressant). Question subsidiaire (je ne suis pl=
us à un HS près) : dans ce cas de figure (faille de sécu=
rité, exploitation pour des achats ou des virements) savez-vous s=
i les banques remboursent les virements frauduleux? Merci=
d'avance de votre aide! Pascal -=
ALICE N°1 de la RELATION CLIENT 2008*=
-- Découvrez vite l'offre exclusive ALICE BOX! En cliquant ici htt=
p://abonnement.aliceadsl.fr Offre soumise à conditions.*Source : TNS SO=
FRES / BEARING POINT. Secteur Fournisseur d.Accès Internet

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Questions / Réponses high-tech
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Guillaume
Le #14503791
wrote:
Bonjour à tous,

[désolé de reposter, j'ai oublié le sujet du mail]

Afin de pouvoir assister à distance une amie, j'ai activé
sur sa ubuntu
le serveur vino (clone de vnc), permettant de prendre le
contrôle à
distance.
Hier soir, il semblerait que quelqu'un ait réussi à utiliser
cemoyen
pour lancer un navigateur et faire des opérations sur une
quelconque
banque californienne. Puis l'attaquant à 'effacé' ses traces
dans le
navigateur. Ca sent donc assez mauvais.

En dehors des opérations habituelles (fermeture du service,
vérifier les
rootkits, etc) je souhaiterais retrouver l'IP de la personne
s'étant
connectée.
Quelqu'un sait-il le le serveur vino logge quelque part les
IP des
personnes se connectant? J'ai cherché sur google (beaucoup
de questions,
pas de réponses), dans la man page (qui n'existe pas), dans
les docsdu
paquet (rien d'intéressant).



S'il a eu les droits root il a du effacer aussi les fichiers de log,
sinon voir du côté de /var/log (pas seulement les logs de vino, mais
aussi auth, syslog). Voir aussi les commandes "last" et "faillog" si
elles mettent les adresses IP distantes.


Question subsidiaire (je ne suis plus à un HS près) : dans
ce cas de
figure (faille de sécurité, exploitation pour des achats ou des
virements) savez-vous si les banques remboursent les
virements frauduleux?



Tu peux refuser un paiement par CB : tu vas voir ta banque et tu
demandes que soit refusé ce débit. En pratique la banque te rembourse et
ensuite se retourne contre l'autre banque. Très souvent la banque te dit
que c'est trop tard et que c'est pour ta pomme, mais légalement (je
l'avais vu en cours de droit mais il y a longtemps, donc je ne connais
plus l'article) elle ne peut pas refuser sauf peut-être si elle arrive à
prouver que c'est vraiment de ta faute (genre écrire son code PIN sur
la CB). Bref, tu vas voir ta banque en cas de virement frauduleux, mais
évite de dire que tu as laissé un logiciel de prise de main à distance
sans sécurité avec le numéro de CB en cache du navigateur ! Au pire,
fait opposition tant qu'il est encore temps.

A partir de maintenant, un déverminage de la machine est indispensable,
ainsi que la mise en place d'un firewall. Il y a aussi la possibilité de
mettre un honey pot, mais c'est dans une autre optique.

Bye
GL

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Pascal Ognibene
Le #14498841
Guillaume a écrit :

S'il a eu les droits root il a du effacer aussi les fichiers de log,
sinon voir du côté de /var/log (pas seulement les logs de vin o, mais
aussi auth, syslog). Voir aussi les commandes "last" et "faillog" si
elles mettent les adresses IP distantes.



Merci. Je ne pense pas qu'il ai eu les droits root, il s'est contenté de
passer par le port 5900 pour utiliser un client vnc. (a moins bien sur
qu'il ai installé un key logger pour attraper le mot de passe
utilisateur, ou qu'il ait lancé un exploit local. mais sur ubuntu il n'y
a pas de compte root à proprement parler : il faut passer par sudo
donc connaître le mot de passe d'un utilisateur pouvant utiliser sud o)
chkrootkit et rkhunter ne m'ont rien détecté de suspect, les mo ts de
passe n'ont pas été changés. Je n'ai pas réussi à trouver un log
spécifique à vino ou vnc dans /var/log (là ou nx logge les tentatives de
connexion par exemple). C'est surtout ça qui me casse les pieds, ave c
l'ip de l'attaquant j'aurais pu faire quelque chose (peut-être).



Question subsidiaire (je ne suis plus à un HS près) : dans
ce cas de figure (faille de sécurité, exploitation pour des achats ou
des virements) savez-vous si les banques remboursent les
virements frauduleux?



Tu peux refuser un paiement par CB : tu vas voir ta banque et tu
demandes que soit refusé ce débit. En pratique la banque te r embourse et
ensuite se retourne contre l'autre banque. Très souvent la banque te dit
que c'est trop tard et que c'est pour ta pomme, mais légalement (j e
l'avais vu en cours de droit mais il y a longtemps, donc je ne connais
plus l'article) elle ne peut pas refuser sauf peut-être si elle ar rive à
prouver que c'est vraiment de ta faute (genre écrire son code PIN sur
la CB). Bref, tu vas voir ta banque en cas de virement frauduleux, mais
évite de dire que tu as laissé un logiciel de prise de main à   distance
sans sécurité avec le numéro de CB en cache du navigateu r ! Au pire,
fait opposition tant qu'il est encore temps.

A partir de maintenant, un déverminage de la machine est indispens able,
ainsi que la mise en place d'un firewall. Il y a aussi la possibilità © de
mettre un honey pot, mais c'est dans une autre optique.



Ben en fait de service sur cette machine, il n'y a que ssh (avec des
clefs regénérées depuis la célèbre affaire d'ent ropie d'il y a quelques
temps). J'ai viré vino, vnc, etc, exim, et en gros tout ce qui resse mble
à un programme écoutant sur un port. Quand au numéro de co mpte, en fait
il ne s'agissait pas de celui de mon amie : il semblerait que le pirate
ait utilisé la machine comme passerelle pour réaliser des opà ©rations sur
un autre compte. La bonne nouvelle c'est que le compte de mon amie n'a
pas été vidé; la mauvaise c'est que peut-être quelqu' un aux US a eu ce
problème, et c'est l'IP de mon amie qui va être tracée...

Merci de votre aide,

Pascal

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Publicité
Poster une réponse
Anonyme