Re: tracer un vers via un NAT?

Top Page
This message is part of the following thread:
M+++\the complete thread tree sorted by date
MMMMMjlm_devel at <-
Msmorico at ->

Reply to this message
Author: Olivier Allard-Jacquin
Date:  
To: guilde
Subject: Re: tracer un vers via un NAT?
    Bonsoir,

jlm_devel a écrit :
> bonjour
> mes parents se sont fait cambrioler et le pc sous windows a un
> comportement bizarre a l'extinction disant qu'un autre operateur est
> connecte......
> je suspecte les voleurs d'avoir installe des vers pour trouver les
> comptes/passwords..... ceci dit c'est sans doute leur plus grosse erreur
> car il suffit de trouver ou se connecte le vers pour trouver qui est le
> coupable... 

    Sans vouloir minimiser tes propos, je doute qu'un cambrioleur ne
s'abuse à ce genre de choses. Ou alors, c'est qu'il en veut
personnellement à tes parents, et qui l'espère ainsi récupérer des
informations sensibles. Mais il faudrait une bonne motivation pour cela.
Et surtout, le temps d'allumer la machine afin de la corrompre...


> je voudrais donc mettre un nat linux entre le pc et le net et logger
> toutes les transactions qui passent au travers du nat et fournir le tout
> a la police..... 

    Comme dit dans les autres mails, à moins que "l'intrus" n'utilise des
techniques simplistes, il risque d'être difficile de faire cette recherche.


    Cependant tu as la possibilité sous Windows de faire quelques analyses,
à supposer, je dis bien A SUPPOSER, que ton intrus n'est pas dissimulé
ses actions derrière un rootkit.


    Je vais maintenant un peu parler d'outils MS, veuillez pardonner ce HS.


<HS MS>
- Sous Windows, la commande "netstat -an" te donnera la liste des ports
ouverts, ainsi que des connexions en cours. Utilise Google ou le
/etc/protocols de ton Linux afin de déterminer à quoi servent les ports
ouverts, et si il est normal qu'ils soient ouverts.

- Les outils Systenal ( http://www.microsoft.com/technet/sysinternals/
anciennement indépendants, mais rachetés par MS) peuvent t'être d'un
grand secours. Je pense notamment à :

+
http://www.microsoft.com/technet/sysinternals/FileAndDisk/Filemon.mspx
qui te dira quels sont les accès fichiers qui sont fait. Utilise le
filtrage afin de t'aider à l'analyse, et isoler les accès suspects

+ http://www.microsoft.com/technet/sysinternals/FileAndDisk/PsFile.mspx
peut être aussi utile

+
http://www.microsoft.com/technet/sysinternals/SystemInformation/Regmon.mspx
similaire à "filemon", mais pour la base de registre. C'est assez utile

+
http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/ProcessExplorer.mspx
et
http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/processmonitor.mspx
te dirons ce que font les process. A toi d'isoler les process "bizarres"

+
http://www.microsoft.com/technet/sysinternals/Security/LogonSessions.mspx
Je ne connais pas, mais cela peut-être utile

+
http://www.microsoft.com/technet/sysinternals/Security/RootkitRevealer.mspx
A tester pour voir si tu n'as pas un rootkit qui traîne !!!!

+ http://www.microsoft.com/technet/sysinternals/Networking/TcpView.mspx
Analyse les activités réseaux

</HS MS> 

    Personnellement, et si j'étais dans une situation similaire à la
tienne, je ne me poserai pas de question : Une machine corrompu n'est
plus digne de confiance. Aussi, la meilleur solution est le formatage
pur et dur du disque dur. C'est radicale, mais cela a le mérite d'être
efficace. A moins que l'intrus n'est utilisé un virus qui se cache dans
le BIOS de la machine. Là, c'est plus ennuyeux...



> comment puis je faire ? je sais deja mettre en place le nat avec les
> iptables... il ne me manque que le logging des connections 

    Certains ont déjà fait référence à ma documentation sur
netfilter/iptables (et oui, je ne suis pas QUE trolleur Debian/Ubuntu !
J'écris aussi des trucs utiles :)), et je les en remercie. Cependant, je
t'invite à utilise non pas LOG, mais ULOG :
http://olivieraj.free.fr/fr/linux/information/firewall/fw-03-09.html#III-9-2


Le module par défaut (syslogemu) crée des logs en mode texte. Mais tu as
possibilité de "dumper" les paquets réseaux directement en binaire. Il
faut alors utiliser le module "PCAP". Ethereal/Wireshark Linux/Windows
doit pouvoir relire ce type de fichier.

> merci d'avance 

    Je t'en prie.


    Cordialement,


                        Olivier
-- 
~~~~~~~  _____/\_____  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix /   _ \/ _   \    Olivier Allard-Jacquin
       /   / \  / \   \   Web:  http://olivieraj.free.fr/
      /___/  /  \  \___\  Mail: olivieraj@???
~~~~ /////  ///\\\  \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!



This message was posted to the following mailing lists:
Guilde
Mailing List Info | Nearby Messages		<-A propos du logiciel libreRe: tracer un vers via un NAT?->
Archive des listes de la GUILDE administrated by L'administrateurLurker (version 2.3)