Adresse Ip, proxy et piratage....

[yuston]

Bonjour,....
j'ai une question en tant que Webmaster. Pour mieux illustrer la question, je vais inventer une histoire :lol: (qui peut ressembler a la realité)
Supposons que mon site a été piraté. Qu'est ce que je fais en premier? Je regarde les logs Apache... Je constate une adresse IP qui a visité beaucoup de pages de mon site même les pages réservées à l'admin. Donc je peux en conclure que le pirate avait cette adresse IP. J'ai relevé l'heure, l'IP et quelques pages auxquelles il a visité.

Ma question, comment vérifier s'il n'utilise pas un proxy pour se connecter, et si oui, dans ce cas, comment je pourrai faire pour obtenir son vrai adresse IP.
Si j'ai son adresse IP réel, que dois-je faire pour entreprendre une procédure judiciaire? Et quelles sont les preuves que je dois fournir que mon site a bien été hacké,....etc....

Voilà donc des questions que je me pose....
++

 

[Tymir]

Bonne question, ça m'interesse aussi

 

[raspoutine59]

Pfff même j'ai été logé ? lol
.
.
.
.
.
.
Bah tout simplement allez au poste de police le plus proche j'vois pas ce que tu pourrais faire d'autres. Avec les éléments dont tu dispose

 

[yuston]

Ben justement, j'aimerai avoir plus d'élèments en utilisant ce que je dispose déjà si c'est possible, mais ce qui m'intéresse le plus c'est comment vérifier si le gar est sous proxy ou non et si c'est le cas, comment trouver sa véritable adresse IP....

 

[BadProcESs]

Sachant que si c'est un vrais piratage en règle, tes logs Apache seront de toutes façons flushé après visite... Ou au moins celles du proxy qui à servis de relais.

 

[Cendrillon]

a priori si c'est un proxi privé ... pas de soucis, avec l'ip on retrouve le gugus ...
par contre si c'est un proxi public anonyme, et donc qui substitue son IP à celle de l'utilisateur, tout dépend où il se trouve : si c'est dans un pays non ou mal réglementé alors tu auras du mal à savoir d'où il vient ... sinon, les proxis des pays réglementés doivent également (comme les FAI et autres) garder des traces des translations d'adresses qu'ils font et donc permettre de retrouver l'IP d'origine (même en cas de proxi cascadés) ... mais pour mettre en oeuvre tout cela, il te faudra de "solides arguments" ... :lol:

 

[yuston]

Je vois je vois.... maintenant supposons que j'ai la veritable IP, que puis-je faire avec? A part noter sur un bout de papier et de montrer ca a la brigade cyber-criminel? lol

 

[Luj]

idée : certains hébergeurs permettent de réaliser un dump sur cédérom. tu les contactes, tu leur demandes de faire le dump et de te faire une belle lettre disant que ce dump ils l'ont fait eux-mêmes et que les fichiers correspondent à l'état du serveur à telle date, telle heure.

ça permettra je pense de certifier que tu n'as pas pu altérer toi même les logs. en plus tu auras une copie la plus exacte de ce qu'il y a sur ton site : ce qui a pu être modifié, les petits fichiers qui trainent et tout le toutim.

juste mes deux centimes.

 

[BadProcESs]

a priori si c'est un proxi privé ... pas de soucis, avec l'ip on retrouve le gugus ...
par contre si c'est un proxi public anonyme, et donc qui substitue son IP à celle de l'utilisateur, tout dépend où il se trouve : si c'est dans un pays non ou mal réglementé alors tu auras du mal à savoir d'où il vient ... sinon, les proxis des pays réglementés doivent également (comme les FAI et autres) garder des traces des translations d'adresses qu'ils font et donc permettre de retrouver l'IP d'origine (même en cas de proxi cascadés) ... mais pour mettre en oeuvre tout cela, il te faudra de "solides arguments" ... :lol:

Ce que je dis moi, c'est que si le ou les types sont des "pros", ils vont faire du cascading sur des proxys équipés de backdoor au préalable, afin de pouvoir effacer le tracing...

 

[dh]

moi c'est l'ancien referenceurqui a piraté le site de mon client
car mes resultats etaient 4 fois superieurs au siens
et ce c.. avait une ip fixe !!!!!

dh

 

[yuston]

mouais... donc si on avait affaire avec des pros, ca semble dur...

Si on avait l'adresse IP, on devrait faire quoi comme demarche pour "punir" ce pirate??

 

[Cendrillon]

l'IP te permet de savoir plein de choses et entre autre de retrouver le FAI ... à partir de là en fonction de l'heure de connxion il peut de dire à qui est (ou était attribuée cette IP) ... mais encore une fois, il faut une bonne raison pour cela (genre une demande d'un juge) ... à toi utilisateur lambda ça m'étonnerais qu'il te répondent ... :wink:

 

[yuston]

Ah, ok, merci bien...
Mais il y a toujours quelquechoses qui me tracasse, c'est s'il est sous proxy, comment je fais pour savoir qu'il est connecté derriere un proxy justement :
je vois une adresse ip, comment je fais pour savoir si c'est une ip réelle ou une ip "empruntée"??

 

[thierry8]

je crois justement que c'est l'interêt du proxy...ne pas savoir...

 

[Cendrillon]

https://www.google.fr/search?hl=fr&c2cof ... ic&spell=1

 

[Cendrillon]

Ce que je dis moi, c'est que si le ou les types sont des "pros", ils vont faire du cascading sur des proxys équipés de backdoor au préalable, afin de pouvoir effacer le tracing...

oui, c'est vrai, tu as raison Bad, il y a toujours moyens de rester anonymes ... mais avec la lutte anti terroriste les législations se ressèrent et les moyens d'investigation sont de plus en plus efficaces ...

par ailleurs, il faut garder à l'esprit que les différents outils existants (poxy et autres) sont destinés à pouvoir surfer anonymement essentiellement pour préserver les aspects confidentialité et sécurité mais pas pour permettre à un internaute de commettre des délis impunéments ... :wink:

 

[BadProcESs]

Certe, mais moi je prennai l'extrème dans mon exemple.
Un véritable pirate qui sait s'y prendre ne laissera AUCUNE trace, législations renforcé ou pas.

J'ai pris l'exemple simple du cascading sur proxy équipé de backdoor : A la fin de son méfait, le pirate accède aux tables de routage et flush les logs. Dans ce cas précis, rien à faire...

Alors c'est vrais que ce n'est pas à la porté du premier péquin venu (et heureusement d'ailleurs), mais c'est faisable.

 

[waner]

Les brigades spéciales de Gendarmerie luttant contre la cybercriminalité utilisent le logiciel de chez Visualware http://www.visualroute.com/index.html pour tracker les IP.
Moi j'avais contacté mon fournisseur d'accès de l'époque et j'avais envoyé une copie d'écran du résultat Visualware. Le FAI m'a répondu très aimablement disant qu'il allait faire le nécessaire, et... plus jamais eu de problèmes.

 

[Cendrillon]

J'ai pris l'exemple simple du cascading sur proxy équipé de backdoor : A la fin de son méfait, le pirate accède aux tables de routage et flush les logs. Dans ce cas précis, rien à faire...

concernant le cascading, qu'il y ait un ou plusieurs proxy en cascade ne change pas grand chose (plus de gens à contacter) ... par contre effectivement si les internautes on des backdoor pour effacer les tables de routages ... alors là c'est imparrable ... mais il y en a combien dans ce cas là ?

Alors c'est vrais que ce n'est pas à la porté du premier péquin venu (et heureusement d'ailleurs), mais c'est faisable.

c'est un peu là où je voulais en venir ... :lol:

 

[simpson]

Bonjour,....
Supposons que mon site a été piraté. Qu'est ce que je fais en premier? Je regarde les logs Apache...

Tu regarde les logs tout court, pas seulement ceux d'apache !

Je constate une adresse IP qui a visité beaucoup de pages de mon site même les pages réservées à l'admin. Donc je peux en conclure que le pirate avait cette adresse IP.

Tu peux en déduire qu'une machine à consulté beaucoup de pages, dont celles qui sont réservées à l'admin...

J'ai relevé l'heure, l'IP et quelques pages auxquelles il a visité.

Quelle heure ? L'heure GMT, l'heure CEST, PST ?

Ma question, comment vérifier s'il n'utilise pas un proxy pour se connecter, et si oui, dans ce cas, comment je pourrai faire pour obtenir son vrai adresse IP.

A priori, ce n'est pas ton problème. Si il s'agit de déposer une plainte, ce sont les autorités judiciaires qui se chargeront des recherches. Pour ton information tu peux utiliser whois pour obtenir des informations sur une IP mais elles se limitent à ce que veux bien fournir le FAI. J'ai un petit outil dont je me sert pour la résolution inverse sur http://www.outils-web.2-aaz.com/

Si j'ai son adresse IP réel, que dois-je faire pour entreprendre une procédure judiciaire? Et quelles sont les preuves que je dois fournir que mon site a bien été hacké,....etc....

Tu dois relever le plus de preuves possible de l'intrusion : logs, fichiers modifiés ou endommagés par le pirate, listings avecs dates et heures des fichiers modifiés, etc.

Les informations doivent être le plus précises possible. Si tu en as la possibilité, tu fais expertiser le système par un professionnel.

Tu graves le tout sur un CD-ROM que tu déposera en même temps que ta plainte à l'OCLCTIC (http://www.interieur.gouv.fr/rubriques/c/c3_police_nationale/c3312_oclctic ). Ces informations seront utilisées par les juges pour délivrer des commissions rogatoires aux fins d'enquête.

IL NE FAUT PAS CONTACTER LE FAI DIRECTEMENT.
En agissant de la sorte, les preuves risquent de disparaitre avant l'intervention de la justice.

L'essentiel est d'agir vite, méticuleusement et discrètement, pour ne pas avertir le(s) pirate(s) d'une action en cours et éviter la disparition des preuves sur les machines depuis lesquelles les faits ont été perpetrés.

 

[squawk]

ben déja tu fais un whois pour voir d'ou ça vient si c'est un fai connu par exemple mais bon j'en doute, genre avec ça : http://www.geektools.com/whois.php

si c'est un FAI il va te donner lequel mais de toute façon si c'est un vrai hackeur t'as quasiment aucune chance de le retrouver... rien que déja si c'est un étranger c'est même pas la peine.... sauf si y'a des millions d'€ en jeu et encore...

 

[yuston]

Merci beaucoup de vos réponses!!!!

 

[Oziris]

je vois une adresse ip, comment je fais pour savoir si c'est une ip réelle ou une ip "empruntée"??

- tu commence par questionné un service de whois, si ca te donne un nom de FAI, c'est que ce n'est pas une adresse empreintée.
Dans le cas contraire.

- tu peut faire une recherche sur google avec l'adresse ip et le mot "proxy"
ex : "127.0.25.215 proxy"
avec un peu de chance ca te donne un site ou l'adresse en question est listée comme etant un proxy anonyme.
J'ai fait ca plusieur fois et ca a quasiement toujour marché.

A+

 

[yuston]

Merci beaucoup de l'information!

Vraiment trop bien ce forum lol... on trouve des gens compétents dans tous les domaines

++

 

[Maxhack]

je vois une adresse ip, comment je fais pour savoir si c'est une ip réelle ou une ip "empruntée"??

Tu télécharge Multiproxy tu rentre ladresse du proxy et tu teste pour savoir si c'est un proxy

Rien de plus simple :wink:

SInon il n'ya pas moyen de remonter une chaine de proxy jusq'a son vrai IP ?? Ca m'interesserait de savoir ... Si il y ' a des conaisseurs