ADSL-BC

[netswitch.]

hello,

j'ai un kevin en herbes qui se croit Warezlord en esseyant de bruteforcer un compte ftp qui n'existe pas, ça fait quelque jours que ça dure, et après blacklistage successifs de ses ip, j'ai fini par mailer un extrait des logs chez skynet.
(le kevin génère quand meme près de 100mo de logfiles a chaque session de son petit plaisir inutile et inassouvissabel pasque bruteforcer un user inexistant, c un peu limité comme idée)

Depuis 4 jours que le mail est parti je n'ai toujours pas de réponse.
Quelqu'un sait si il y vraiment un suivi des courriers qui arrivent chez eux ?

[_Daphex_]

hello,

j'ai un kevin en herbes qui se croit Warezlord en esseyant de bruteforcer un compte ftp qui n'existe pas, ça fait quelque jours que ça dure, et après blacklistage successifs de ses ip, j'ai fini par mailer un extrait des logs chez skynet.
(le kevin génère quand meme près de 100mo de logfiles a chaque session de son petit plaisir inutile et inassouvissabel pasque bruteforcer un user inexistant, c un peu limité comme idée)

Depuis 4 jours que le mail est parti je n'ai toujours pas de réponse.
Quelqu'un sait si il y vraiment un suivi des courriers qui arrivent chez eux ?

wk un peu special, tu devrais avoir une reponse rapidement maintenant...enfin j'espere

[RippeR]

hello,

j'ai un kevin en herbes qui se croit Warezlord en esseyant de bruteforcer un compte ftp qui n'existe pas, ça fait quelque jours que ça dure, et après blacklistage successifs de ses ip, j'ai fini par mailer un extrait des logs chez skynet.
(le kevin génère quand meme près de 100mo de logfiles a chaque session de son petit plaisir inutile et inassouvissabel pasque bruteforcer un user inexistant, c un peu limité comme idée)

Depuis 4 jours que le mail est parti je n'ai toujours pas de réponse.
Quelqu'un sait si il y vraiment un suivi des courriers qui arrivent chez eux ?

Hello,

Si intéressé, je peux t'envoyer un petit logiciel pour lui renvoyer ses requêtes dans les gencives sur un port au choix.
En général ça calme mais c'est illégal...

[philfr]

Moi ça fait longtemps que j'ai arrêté d'envoyer des plaintes à abuse@xxx concernant des portscans et des tentatives d'intrusion sur mes serveurs.
Je n'ai jamais eu que des réponses automatiques "Votre requête a bien été enregistrée, etc...".
Mais jamais aucune suite , y compris chez Skynet.

[netswitch.]

Là le gars fait quand même plus que du portscan, c'est clairement une attaque caractérisée et répétée

Pour le renvoi des requètes, ça va, je vais ajouter un filtrage des attaques de ce style au firewall mais je n'ai pas le temps dele faire dans l'immédiat..

Sont quand même des fameux zigotos chez skynet, pour fermer des ports ils sont là mais quand ça deveint quelque chose de réelement malintentionné ya plus personne.

Je leur redirigerais bien toutes ces tentatives de login sur leurs ftp a eux...
mais je suppose que là, j'aurais une réponse rapide style mence de proces ou autre...


Sinon pour les abuse@xxx, c'est clair que ça répond rarement.. ici, skynet, je me disais que c'était quand meme un isp belge donc qu'on pouvait leur faire confiance. ça a pas trop l'air d'être le cas.

[supervan]

si j'ai bien compris un abonné de skynet tente un bruteforce chez toi ? car [email protected] n'est là que si il s'agit d'un abonné skynet

[philfr]

abuse@xxx doit toujours être à l'écoute pour des comportements illicites en provenance de xxx.

Le destinataire ne doit donc pas être client skynet pour être écouté. Seulement le h4ckerz...

[supervan]

comme je l'ai dit plus haut ^^ mais c'est vraimennt bizare qu'un gars de chez skynet essaye de te "hacker" car généralement "on" évite de le faire dans le même pays aisni que dans les pays limitrophes

[netswitch.]

oui mais là ça doit etre un ado de 14 ans qui se croit maitre du mode a utiliser des scripts tout frais...

[RippeR]

oui mais là ça doit etre un ado de 14 ans qui se croit maitre du mode a utiliser des scripts tout frais...

Ou quelqu'un qui utilise une machine comme passerelle...
Essaie de voir avec un Sniffer en analysant les trames.

[philfr]

comme je l'ai dit plus haut ^^

j'avais compris le contraire... Sorry.

oui mais là ça doit etre un ado de 14 ans qui se croit maitre du mode a utiliser des scripts tout frais...

Sans doute. Un vrai pro est beaucoup moins détectable. Mais les petits script kiddies qui se prennent pour des dieux, je préfèrerais les décourager rapidement

Ou quelqu'un qui utilise une machine comme passerelle...
Essaie de voir avec un Sniffer en analysant les trames.

Et comment comptes-tu voir la provenance réelle de l'attaque en sniffant les trames ? Si ça vient de la passerelle, il n'y a plus de trace de l'IP d'origine...

[apn]

hello,

j'ai un kevin en herbes qui se croit Warezlord en esseyant de bruteforcer un compte ftp qui n'existe pas, ça fait quelque jours que ça dure, et après blacklistage successifs de ses ip, j'ai fini par mailer un extrait des logs chez skynet.
(le kevin génère quand meme près de 100mo de logfiles a chaque session de son petit plaisir inutile et inassouvissabel pasque bruteforcer un user inexistant, c un peu limité comme idée)

Depuis 4 jours que le mail est parti je n'ai toujours pas de réponse.
Quelqu'un sait si il y vraiment un suivi des courriers qui arrivent chez eux ?

Tu dois envoyer tes plaintes aux autorités compétentes ...
Voici l'extrait de la réponse automatique de [email protected] qui m'a été envoyée lorsque je leur avait envoyé des logs d'attaques:

...
De plus, la loi du 11 mars 2003, art. 18-21 spécifie aux providers que lorsqu’ils ne sont que transporteurs des données, comme c’est le cas pour le hacking, aucune action ne doit être entreprise. Les plaintes devant être transférées directement vers les autorités compétentes. Dés lors, ne ne pourrons pas identifier et prendre des mesures à l’encontre de nos clients en cas de plaintes pour hacking. Toutefois, si vous le désirez, vous pouvez déposer une plainte auprès des autorités judiciaires ou auprès du Computer Crime Unit.
...

[ovh]

...
De plus, la loi du 11 mars 2003, art. 18-21 spécifie aux providers que lorsqu’ils ne sont que transporteurs des données, comme c’est le cas pour le hacking, aucune action ne doit être entreprise. Les plaintes devant être transférées directement vers les autorités compétentes. Dés lors, ne ne pourrons pas identifier et prendre des mesures à l’encontre de nos clients en cas de plaintes pour hacking. Toutefois, si vous le désirez, vous pouvez déposer une plainte auprès des autorités judiciaires ou auprès du Computer Crime Unit.
...

J'ai un jour envoyé une plainte sur un abuse allemand, logs à l'appui bien sûr (attaque ssh), j'ai eu une réponse quelques jours plus tard disant qu'ils prendraient les mesures qui s'imposent si le gars recommençait...

[RippeR]

comme je l'ai dit plus haut ^^

j'avais compris le contraire... Sorry.

oui mais là ça doit etre un ado de 14 ans qui se croit maitre du mode a utiliser des scripts tout frais...

Sans doute. Un vrai pro est beaucoup moins détectable. Mais les petits script kiddies qui se prennent pour des dieux, je préfèrerais les décourager rapidement

Ou quelqu'un qui utilise une machine comme passerelle...
Essaie de voir avec un Sniffer en analysant les trames.

Et comment comptes-tu voir la provenance réelle de l'attaque en sniffant les trames ? Si ça vient de la passerelle, il n'y a plus de trace de l'IP d'origine...

Tu ne verras pas la provenance réelle évidemment mais le type de packets, les ports concernés, etc... te donneront une idée de la compétence ou de l'incompétence de l'attaquant.

[netswitch.]

un attaquant compétant ne devrait pas devoir attendre 36h pour recommencer (le temps que son ip dynamique change..)

je crois qu'il comprend même pas pourquoi son truc arrête de marcher après 20 minutes (le temps que je le remarque en regardant mon mrtg)

vais regarder du coté de la ccu ce qu'on peut faire..

[rackham]

un attaquant compétant ne devrait pas devoir attendre 36h pour recommencer (le temps que son ip dynamique change..)

je crois qu'il comprend même pas pourquoi son truc arrête de marcher après 20 minutes (le temps que je le remarque en regardant mon mrtg)

vais regarder du coté de la ccu ce qu'on peut faire..

et au passage, si sk.net fait le sourd (mais laisse le temps qu'ils soient revenus du "bal des fonctionnaires"), tu poses la question chez le médiateur fédéral des télécoms si par hasard il n'y aurait pas une obligation d'accuser réception, agir et ensuite confirmer les actions prises

généralement il ne laisse pas passer

V++

[philfr]

et au passage, si sk.net fait le sourd (mais laisse le temps qu'ils soient revenus du "bal des fonctionnaires"), tu poses la question chez le médiateur fédéral des télécoms si par hasard il n'y aurait pas une obligation d'accuser réception, agir et ensuite confirmer les actions prises

Après vérification (rfc2142), l'adresse abuse@xxx doit exister mais il semble que le message de skynet que apn a cité est satisfaisant, puisqu'ils te renvoient vers des autorités plus compétentes.

Ils n'ont donc pas d'autre d'obligation légale de réagir à tout un chacun qui leur adresse une plainte.

[rackham]

dans ce cas, puisqu'il ne peut y avoir d'avertissement "gros doigt" au fautif, obligation de bazooker d'entrée => CCU

à charge à ses géniteurs de prouver qu'ils font du mieux qu'ils peuvent pour l'empêcher de faire tout et n'importe quoi (si mineur il y a)

V++

[philfr]

+1

C'est en effet dommage, car un petit avertissement de la part de son ISP pourrait le refroidir.

[netswitch.]

a part [email protected], vous avez d'autres addresses ?

pasque www.fccu.be ne marche pas et je ne trouve rien d'autrs sur google..