Bonjour =E0 tous,=0D=0A=0D=0A[d=E9sol=E9 de reposter, j'ai oubli=E9 le su=
jet du mail]=0D=0A=0D=0AAfin de pouvoir assister =E0 distance une amie, j=
'ai activ=E9=0D=0Asur sa ubuntu =0D=0Ale serveur vino (clone de vnc), per=
mettant de prendre le=0D=0Acontr=F4le =E0 =0D=0Adistance.=0D=0AHier soir,=
il semblerait que quelqu'un ait r=E9ussi =E0 utiliser=0D=0Acemoyen =0D=0A=
pour lancer un navigateur et faire des op=E9rations sur une=0D=0Aquelconq=
ue =0D=0Abanque californienne. Puis l'attaquant =E0 'effac=E9' ses traces=
=0D=0Adans le =0D=0Anavigateur. Ca sent donc assez mauvais.=0D=0A=0D=0AEn=
dehors des op=E9rations habituelles (fermeture du service,=0D=0Av=E9rifi=
er les =0D=0Arootkits, etc) je souhaiterais retrouver l'IP de la personne=
=0D=0As'=E9tant =0D=0Aconnect=E9e.=0D=0AQuelqu'un sait-il le le serveur v=
ino logge quelque part les=0D=0AIP des =0D=0Apersonnes se connectant? J'a=
i cherch=E9 sur google (beaucoup=0D=0Ade questions, =0D=0Apas de r=E9pons=
es), dans la man page (qui n'existe pas), dans=0D=0Ales docsdu =0D=0Apaqu=
et (rien d'int=E9ressant).=0D=0A=0D=0AQuestion subsidiaire (je ne suis pl=
us =E0 un HS pr=E8s) : dans=0D=0Ace cas de =0D=0Afigure (faille de s=E9cu=
rit=E9, exploitation pour des achats ou des =0D=0Avirements) savez-vous s=
i les banques remboursent les=0D=0Avirements frauduleux?=0D=0A=0D=0AMerci=
d'avance de votre aide!=0D=0A=0D=0APascal=0D=0A=0D=0A=0D=0A=0A=0A=0A----=
------------------ ALICE N=B01 de la RELATION CLIENT 2008*---------------=
-----=0AD=E9couvrez vite l'offre exclusive ALICE BOX! En cliquant ici htt=
p://abonnement.aliceadsl.fr Offre soumise =E0 conditions.*Source : TNS SO=
FRES / BEARING POINT. Secteur Fournisseur d.Acc=E8s Internet=0A
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Guillaume
wrote:
Bonjour à tous,
[désolé de reposter, j'ai oublié le sujet du mail]
Afin de pouvoir assister à distance une amie, j'ai activé sur sa ubuntu le serveur vino (clone de vnc), permettant de prendre le contrôle à distance. Hier soir, il semblerait que quelqu'un ait réussi à utiliser cemoyen pour lancer un navigateur et faire des opérations sur une quelconque banque californienne. Puis l'attaquant à 'effacé' ses traces dans le navigateur. Ca sent donc assez mauvais.
En dehors des opérations habituelles (fermeture du service, vérifier les rootkits, etc) je souhaiterais retrouver l'IP de la personne s'étant connectée. Quelqu'un sait-il le le serveur vino logge quelque part les IP des personnes se connectant? J'ai cherché sur google (beaucoup de questions, pas de réponses), dans la man page (qui n'existe pas), dans les docsdu paquet (rien d'intéressant).
S'il a eu les droits root il a du effacer aussi les fichiers de log, sinon voir du côté de /var/log (pas seulement les logs de vino, mais aussi auth, syslog). Voir aussi les commandes "last" et "faillog" si elles mettent les adresses IP distantes.
Question subsidiaire (je ne suis plus à un HS près) : dans ce cas de figure (faille de sécurité, exploitation pour des achats ou des virements) savez-vous si les banques remboursent les virements frauduleux?
Tu peux refuser un paiement par CB : tu vas voir ta banque et tu demandes que soit refusé ce débit. En pratique la banque te rembourse et ensuite se retourne contre l'autre banque. Très souvent la banque te dit que c'est trop tard et que c'est pour ta pomme, mais légalement (je l'avais vu en cours de droit mais il y a longtemps, donc je ne connais plus l'article) elle ne peut pas refuser sauf peut-être si elle arrive à prouver que c'est vraiment de ta faute (genre écrire son code PIN sur la CB). Bref, tu vas voir ta banque en cas de virement frauduleux, mais évite de dire que tu as laissé un logiciel de prise de main à distance sans sécurité avec le numéro de CB en cache du navigateur ! Au pire, fait opposition tant qu'il est encore temps.
A partir de maintenant, un déverminage de la machine est indispensable, ainsi que la mise en place d'un firewall. Il y a aussi la possibilité de mettre un honey pot, mais c'est dans une autre optique.
Bye GL
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
pascal.ognibene@libertysurf.fr wrote:
Bonjour à tous,
[désolé de reposter, j'ai oublié le sujet du mail]
Afin de pouvoir assister à distance une amie, j'ai activé
sur sa ubuntu
le serveur vino (clone de vnc), permettant de prendre le
contrôle à
distance.
Hier soir, il semblerait que quelqu'un ait réussi à utiliser
cemoyen
pour lancer un navigateur et faire des opérations sur une
quelconque
banque californienne. Puis l'attaquant à 'effacé' ses traces
dans le
navigateur. Ca sent donc assez mauvais.
En dehors des opérations habituelles (fermeture du service,
vérifier les
rootkits, etc) je souhaiterais retrouver l'IP de la personne
s'étant
connectée.
Quelqu'un sait-il le le serveur vino logge quelque part les
IP des
personnes se connectant? J'ai cherché sur google (beaucoup
de questions,
pas de réponses), dans la man page (qui n'existe pas), dans
les docsdu
paquet (rien d'intéressant).
S'il a eu les droits root il a du effacer aussi les fichiers de log,
sinon voir du côté de /var/log (pas seulement les logs de vino, mais
aussi auth, syslog). Voir aussi les commandes "last" et "faillog" si
elles mettent les adresses IP distantes.
Question subsidiaire (je ne suis plus à un HS près) : dans
ce cas de
figure (faille de sécurité, exploitation pour des achats ou des
virements) savez-vous si les banques remboursent les
virements frauduleux?
Tu peux refuser un paiement par CB : tu vas voir ta banque et tu
demandes que soit refusé ce débit. En pratique la banque te rembourse et
ensuite se retourne contre l'autre banque. Très souvent la banque te dit
que c'est trop tard et que c'est pour ta pomme, mais légalement (je
l'avais vu en cours de droit mais il y a longtemps, donc je ne connais
plus l'article) elle ne peut pas refuser sauf peut-être si elle arrive à
prouver que c'est vraiment de ta faute (genre écrire son code PIN sur
la CB). Bref, tu vas voir ta banque en cas de virement frauduleux, mais
évite de dire que tu as laissé un logiciel de prise de main à distance
sans sécurité avec le numéro de CB en cache du navigateur ! Au pire,
fait opposition tant qu'il est encore temps.
A partir de maintenant, un déverminage de la machine est indispensable,
ainsi que la mise en place d'un firewall. Il y a aussi la possibilité de
mettre un honey pot, mais c'est dans une autre optique.
Bye
GL
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
[désolé de reposter, j'ai oublié le sujet du mail]
Afin de pouvoir assister à distance une amie, j'ai activé sur sa ubuntu le serveur vino (clone de vnc), permettant de prendre le contrôle à distance. Hier soir, il semblerait que quelqu'un ait réussi à utiliser cemoyen pour lancer un navigateur et faire des opérations sur une quelconque banque californienne. Puis l'attaquant à 'effacé' ses traces dans le navigateur. Ca sent donc assez mauvais.
En dehors des opérations habituelles (fermeture du service, vérifier les rootkits, etc) je souhaiterais retrouver l'IP de la personne s'étant connectée. Quelqu'un sait-il le le serveur vino logge quelque part les IP des personnes se connectant? J'ai cherché sur google (beaucoup de questions, pas de réponses), dans la man page (qui n'existe pas), dans les docsdu paquet (rien d'intéressant).
S'il a eu les droits root il a du effacer aussi les fichiers de log, sinon voir du côté de /var/log (pas seulement les logs de vino, mais aussi auth, syslog). Voir aussi les commandes "last" et "faillog" si elles mettent les adresses IP distantes.
Question subsidiaire (je ne suis plus à un HS près) : dans ce cas de figure (faille de sécurité, exploitation pour des achats ou des virements) savez-vous si les banques remboursent les virements frauduleux?
Tu peux refuser un paiement par CB : tu vas voir ta banque et tu demandes que soit refusé ce débit. En pratique la banque te rembourse et ensuite se retourne contre l'autre banque. Très souvent la banque te dit que c'est trop tard et que c'est pour ta pomme, mais légalement (je l'avais vu en cours de droit mais il y a longtemps, donc je ne connais plus l'article) elle ne peut pas refuser sauf peut-être si elle arrive à prouver que c'est vraiment de ta faute (genre écrire son code PIN sur la CB). Bref, tu vas voir ta banque en cas de virement frauduleux, mais évite de dire que tu as laissé un logiciel de prise de main à distance sans sécurité avec le numéro de CB en cache du navigateur ! Au pire, fait opposition tant qu'il est encore temps.
A partir de maintenant, un déverminage de la machine est indispensable, ainsi que la mise en place d'un firewall. Il y a aussi la possibilité de mettre un honey pot, mais c'est dans une autre optique.
Bye GL
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
