Re: tracer un vers via un NAT? #2/2

Page principale

Répondre à ce message
Auteur: smorico
Date:  
À: guilde
Anciens-sujets: tracer un vers via un NAT?
Sujet: Re: tracer un vers via un NAT? #2/2
Bien l'bonjour,

(effectivement ça marche mieux sur la bonne liste ^ ^)

jlm_devel a écrit :
> bonjour
> mes parents se sont fait cambrioler et le pc sous windows a un
> comportement bizarre a l'extinction disant qu'un autre operateur est
> connecte......
> je suspecte les voleurs d'avoir installe des vers pour trouver les
> comptes/passwords..... ceci dit c'est sans doute leur plus grosse
> erreur car il suffit de trouver ou se connecte le vers pour trouver
> qui est le coupable...
> je voudrais donc mettre un nat linux entre le pc et le net et logger
> toutes les transactions qui passent au travers du nat et fournir le
> tout a la police.....

Ce n'est pas toujours aussi simple !!!!

Le ver en question peut utiliser des relais de type proxy ou d'autres
machines compromises pour bavarder.... Il peut y avoir des dizaines
d'intermédiaires entre ta machine et la machine de destination.... Il
peut utiliser des réseaux d'anonymisation, la stéganographie, envoyer
des infos par divers protocoles....

Il peut également utiliser des canaux cachés... (voir
http://fr.wikipedia.org/wiki/Attaque_par_rebond et
http://fr.wikipedia.org/wiki/Canal_cach%C3%A9)

Diagnostiquer ce genre de choses peut prendre des heures, des
semaines... des mois !

Tu devrais commencer par regarder si il s'agit bien d'un ver et si il a
déjà été analysé... autrement dit, si son fonctionnement est connu... :)

(C'est peu être tout simplement une erreur d'interprétation d'un message
windows !!)

Sans vouloir t'influencer, je te conseillerai AVAST en Antivirus MS (qui
est de plus gratuit pour une utilisation personnelle...) - Rep tchèque :p

PS: Les bots n'ont en général besoin de personne pour ce propager ! Ils
infectent des milliers de machines pour former un réseau de machines
compromises... (PC zombies ^ ^)

Il faut garder à l'esprit qu'une machine dispose d'une position
géographique, d'une puissance de calcul et d'une bande passante. La
liste de machines (IP/Ports) compromise étant souvent revendue sur le
marché noir pour lancer des attaques d'envergure, decrypter des codes
etc... C'est un problème d'état... du d'james bond quoi, FBI tout ça.. :D
> comment puis je faire ? je sais deja mettre en place le nat avec les
> iptables... il ne me manque que le logging des connections
> merci d'avance
> JLM
>
>
>

Créer une cible LOG ?

iptables -t filter -A INPUT -j LOG

http://olivieraj.free.fr/fr/linux/information/firewall/fw-03-09.html

Je te conseillerai plutôt d'installer le NAT pour empêcher des
intrusions futures sur ta machine plutôt que pour chercher le coupable
!! (mais ma fois c'est une expérience intéressante...)

:)

--
S. MORICO