Affichage hiérarchique

Coolrain · 05-12-2017, 18h59

Bonjour/Bonsoir, Mon serveur a été attaqué, j'ai su récupérer l'Ip de l'attaquent mais pas moyen de savoir qui ma attaquer, (c'est un de mes élèves mais je n'ai pas plus d'information.)

***supersnail*** · 05-12-2017, 20h23

Bonsoir,

C'est balot, une IP ne perment pas trop d'obtenir une géolocalisation précise (non on est pas dans NCIS ou Les Experts:Cyber), d'autant plus si le zouave se cache derrière un proxy/VPN (ce qui est hautement probable d'ailleurs).

Ensuite, si l'élève en question (s'il s'agit bien d'un élève et pas juste d'un bot) a commis l'erreur d'utiliser son adresse IP, à moins d'être de la police/gendarmerie/Hadopi, tu ne pourras pas récupérer l'adresse de l'employé à partir de l'IP qu'il avait au moment de l'attaque (re-manque de bol, les IP des clients sont bien souvent attribuées par un DHCP contrôlé par le FAI).

Encrypt · 05-12-2017, 20h32

Hello Coolrain,

Pour compléter ce que vient de dire supersnail, tu ne cites par ailleurs pas le type "d'attaque" et je me demande alors :
- Comment sais-tu que tu as été attaqué ?
- Quel est donc le type d'attaque ?
- N'avais-tu pas mis en place de sécurités sur ton serveur pour éviter cela ?

Sachant que l'attaque en question est du "DDoS", je dirais que c'est bien l'attaque du kikoo de base qui a trouvé un tool tout cuit sur internet et qui n'a fait que cliquer sur "attaquer".
Malheureusement, difficile de se prémunir de ce genre d'attaque (corrigez-moi si je me trompe).

Si à l'inverse il s'agit d'une effraction sur le serveur (connexion à un de tes services avec un mot de passe par défaut par exemple), alors là il faudra penser à appliquer les bases de la sécu Tongue

Coolrain · (Modification du message : 05-12-2017, 23h34 par Coolrain.)

Encrypt, L'attaque qui a été lancé c'est un ransomware donc ça a supprimer les sessions, j'ai tout remis a zéro etc etc

Il a fait ça a distance, il connaissait les ports mais comme plusieurs les connaissais je ne sais pas comment trouvé c'est lequels...

***supersnail*** · 06-12-2017, 11h21

Pour les attaques de ransom, les vecteurs d'attaques sont généralement:

- Ouverture d'une pièce jointe malveillante (document Word/excel se faisant passer pour une facture, lettre de notaire ou autre demandant "d'activer le contenu"
- Exploitation d'une vulnérabilité depuis un système pas mis à jour (typiquement un Windows server vulnérable à EternalBlue qui a permis la propagation de wannacry et NotPetya, ou Adobe Flash pas mis à jour)
- Un bot qui essaie de se logguer avec les accès par defaut

Bref je ne vois pas dans ce qui est dit ce qui permet d'incriminer un élève dans l'histoire...

Sujets apparemment similaires…
Sujet		Auteur	Réponses	Affichages	Dernier message
	[Anonymat] Serveur	ark	7	360	14-05-2014, 20h35 Dernier message: balis
	Attaque par fixation de session	InstinctHack	2	171	15-03-2013, 09h44 Dernier message: InstinctHack

Identifiant Mot de passe
S’enregistrer \| Mot de passe oublié ? Se rappeler