Hack du serveur et Détection du hackeur ! plainte ou pas ?

[ZelkiN]

Bonjour, j'ai un site http://www.rattyland.com qui a été hacké par 2 fois aujourd'hui, OVH m'a envoyé 2 mails me disant qu'il avait bloqué le CHMOD du www etc ...

j'ai donc consulter mes logs et la miracle, je trouve, l'heure, l'IP, et la requete GET (url) que le hacker a utilisé ...

Apparament c'est un brésilien, son site est

http://www.diabinhoinfernal.kit.net

J'ai tout ce qu'il faut savoir sur le mec, son IP, sa ville, son site internet ...

est ce que je peux porter plainte aupres de la gendarmerie ou de la police pour piratage, est ce que ca va aboutir ? que dois-je faire ?

Concernant la faille sur mon site, elle a été réparé, c'était du au TCHAT - FLASHCHAT...

help me please

 

[paolo20110]

Je ne pense que ta plainte porte très loin, deplus il se peut que la machine qui a servie à t'attaquer ai elle même étaient hackée.

 

[rog]

desolé mais c'est une question impertinente

si tu ne portes pas plainte, tu peux être sur qu'il ne se passera rien

rog

 

[Julia41]

Réinstalle complétement ton serveur
Non, mais ce n'est pas dûr, par exemple, avec un fail2ban bien configuré, sur du SSH par exemple, lorsque quelqu'un tente quelquechose, si tu l'as configuré de façon à ce qu'il t'envois un mail accompagné du Whois du méchant, tu reçois :

Hi,

The IP 211.197.180.72 has just been banned by Fail2Ban after
3 attempts against ssh.


Here are more information about 211.197.180.72:


query: 211.197.180.72

# KOREAN

Á¶È¸°á°ú´Â ¾Æ·¡¿Í °°À¸¸ç, ½ÇÁ¦ Á¤º¸¿Í »óÀÌÇÒ ¼ö ÀÖ½À´Ï´Ù.

IPv4 ÁÖ¼Ò          : 211.197.180.72-211.197.180.72
³×Æ®¿öÅ© À̸§      : KORNET-10481900930
¿¬°á ISP¸í         : KORNET
ÇÒ´ç³»¿ª µî·ÏÀÏ    : 20060405
ÇÒ´çÁ¤º¸°ø°³¿©ºÎ   : N

[ IPv4 »ç¿ë ±â°ü Á¤º¸ ]
±â°ü°íÀ¯¹øÈ£       : ORG581678
±â°ü¸í             : Á¦ÀÏÈ­ÀçÇØ»óº¸Çè(ÁÖ)
ÁÖ¼Ò               : ¸¶»ê½Ã ¼®Àüµ¿
¿ìÆí ¹øÈ£          : 630010

[ ³×Æ®¿öÅ© ´ã´çÀÚ Àι° Á¤º¸ ]
±â°ü¸í             : Á¦ÀÏÈ­ÀçÇØ»óº¸Çè(ÁÖ)
ÁÖ¼Ò               : ¸¶»ê½Ã ¼®Àüµ¿
¿ìÆí ¹øÈ£          : 630010
ÀüÀÚ ¿ìÆí          : ip@krnic.kornet.net

--------------------------------------------------------------------------------

¸¸¾à À§ÀÇ IPv4ÁÖ¼Ò »ç¿ë±â°ü Á¤º¸°¡ ¿Ã¹Ù¸£Áö ¾ÊÀ» °æ¿ì
¾Æ·¡ÀÇ ÇØ´ç ¿¬°á ISP ´ç´çÀÚ¿¡°Ô ¹®ÀÇÇϽñ⠹ٶø´Ï´Ù.

[ ¿¬°áISPÀÇ IPv4ÁÖ¼Ò Ã¥ÀÓÀÚ Á¤º¸ ]
À̸§               : IPÁÖ¼Ò°ü¸®ÀÚ
ÀüÈ­ ¹øÈ£          : +82-2-3674-5708
ÀüÀÚ ¿ìÆí          : ip@krnic.kornet.net

[ ¿¬°áISPÀÇ IPv4ÁÖ¼Ò °ü¸®ÀÚ Á¤º¸ ]
À̸§               : IPÁÖ¼Ò´ã´çÀÚ
ÀüÈ­ ¹øÈ£          : +82-2-3674-5708
ÀüÀÚ ¿ìÆí          : ip@krnic.kornet.net

[ ¿¬°áISPÀÇ Network Abuse ´ã´çÀÚ Á¤º¸ ]
À̸§               : ½ºÆÔ/ÇØÅ·´ã´ç
ÀüÈ­ ¹øÈ£          : +82-2-100-0000
ÀüÀÚ ¿ìÆí          : abuse@kornet.net

# ENGLISH

KRNIC is not an ISP but a National Internet Registry similar to APNIC.
The followings is organization information that is using the IPv4 address.

IPv4 Address       : 211.197.180.72-211.197.180.72
Network Name       : KORNET-10481900930
Connect ISP Name   : KORNET
Registration Date  : 20060405
Publishes          : N

[ Organization Information ]
Organization ID    : ORG581678
Org Name           : jeilhwajaehaesangboheom(ju) 
Address            : Seokjeon-dong, Masan-si
Zip Code           : 630010

[ Technical Contact Information ]
Org Name           : jeilhwajaehaesangboheom(ju)
Address            : Seokjeon-dong, Masan-si
Zip Code           : 630010
E-Mail             : ip@krnic.kornet.net

--------------------------------------------------------------------------------

If the above contacts are not reachable, please contact following ISP
for further information.

[ ISP IPv4 Admin Contact Information ]
Name               : IP Administrator
Phone              : +82-2-3674-5708
E-Mail             : ip@krnic.kornet.net

[ ISP IPv4 Tech Contact Information ]
Name               : IP Manager
Phone              : +82-2-3674-5708
E-Mail             : ip@krnic.kornet.net

[ ISP Network Abuse Contact Information ]
Name               : Network Abuse
Phone              : +82-2-100-0000
E-Mail             : abuse@kornet.net


Lines containing IP:211.197.180.72 in /home/web/logs/auth/auth.log

Sep 18 00:43:43 www sshd[14611]: pam_unix(ssh:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=211.197.180.72 
Sep 18 00:43:44 www sshd[14613]: pam_unix(ssh:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=211.197.180.72 
Sep 18 00:43:44 www sshd[14614]: pam_unix(ssh:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=211.197.180.72 


Regards,

Voilà, donc si tu regardes bien, tu as un mail "abuse@FAI.com" bon, après s'il a son propre serveur de Whois c'est un chouillat plus galère pour le retrouver...
Là je t'ai pris un mauvais exemple, car le charset est plus ou moins bien reconnu, mais en clair, tu as la preuve (les logs) et l'email à qui envoyer le mail...
C'est pareil pour les relais à Spam, lorsque tu reçois du spam c'est assez facile de trouver l'IP de la machine vérolée, tu envois un mail au fournisseur de la machine, qui comme dans le cas d'OVH par exemple va directement (pas instantanément) stopper la machine si les fais se révèlent être vraie.

Edit :

Je ne pense que ta plainte porte très loin, deplus il se peut que la machine qui a servie à t'attaquer ai elle même étaient hackée.

Si tu te fais hacker ta machine tu es responsable. Tu peux même aller en prison si ta machine sert à du hameçonage/phishing/attentat terroriste :twisted:

 

[erestrebian]

Je ne pense pas que tu puisses aller en prison pour ça... Imagine que tu te fasses voler ta voiture et qu'elle serve de bélier pour un braquage... Trouveras-tu un juge pour te mettre en prison même si tu ne t'es pas aperçu du vol avant le braquage? Si ton pc est un zombie mais que tu ne le saches pas car tu n'es pas un kador en informatique, cela ne fait pas de toi un pirate je ne pense même pas un complice mais plutôt une victime.

Pour en revenir au départ, quand ça m'est arrivé j'ai fait un mail à abuse et je ne suis pas aller plus loin car je pense que n'importe quel gars qui arrive à pirater un site internet n'est pas assez stupide pour le faire avec sa propre ip.

 

[kanon90]

Pour en revenir au départ, quand ça m'est arrivé j'ai fait un mail à abuse et je ne suis pas aller plus loin car je pense que n'importe quel gars qui arrive à pirater un site internet n'est pas assez stupide pour le faire avec sa propre ip.

Ca c'est ce que tu crois. Il y a pas mal de neuneus qui font ca a l'arrache, le genre d'étudiants completement aware pour epater la galerie.

 

[ZelkiN]

oui mais le souci, enfin c'est pas un souci , c'est que j'ai l'IP du mec, l'url de son site internet, les logs et les emails en preuves....

le mec est passé par un soft du nom de simplepie - http://simplepie.org.

Je passerai a la gendarmerie cet aprem et on verra ce qu'ils disent ...

 

[polweb]

Merci pour l'info sur fail2ban.

 

[BlainT]

Je passerai a la gendarmerie cet aprem et on verra ce qu'ils disent ...

Merci de nous dire la réaction des gendarmes. Quelle suite vont-ils donner à ta plainte?

("dans la corbeille" n'est pas une réponse valable... )

 

[Sumatrapointfr]

Ouh là prend ton courage à trois mains !

J'ai été cambriolé l'an dernier, dont un portable, et il y a eu une connec sur MSN depuis l'ordi volé (quand ils l'ont branché sur le web --> connec auto)

Il m'a fallu à peu près 45 minutes pour lui expliquer comment marchait MSN et ce qu'est une adress IP.

Après 14 mois d'enquête, toujours aucune news ...

Alors pour toi ... "Robert, tu sais c'est quoi un hackère ?"

 

[Julia41]

Je ne pense pas que tu puisses aller en prison pour ça... Imagine que tu te fasses voler ta voiture et qu'elle serve de bélier pour un braquage... Trouveras-tu un juge pour te mettre en prison même si tu ne t'es pas aperçu du vol avant le braquage?

C'est à toi de prouver que tu n'es pas le responsable de la fraude. Tu es responsable de tes données clients. Prison est peut-être un peu fort, mais par là, je voulais dire bonne emmerde. Se faire arréter son serveur est déjà une belle emmerde.
Encore heureux que j'adore tes lunettes 8)

 

[Meeuuuhhh]

Si t'as les moyens, porte plainte.

 

[kanon90]

Ouh là prend ton courage à trois mains !

J'ai été cambriolé l'an dernier, dont un portable, et il y a eu une connec sur MSN depuis l'ordi volé (quand ils l'ont branché sur le web --> connec auto)

Il m'a fallu à peu près 45 minutes pour lui expliquer comment marchait MSN et ce qu'est une adress IP.

Après 14 mois d'enquête, toujours aucune news ...

Alors pour toi ... "Robert, tu sais c'est quoi un hackère ?"

Sauf qu'une connexion MSN ca se connecte au register msn qui est aux états unis.

Pour capter une adresse IP d'un user msn, il faut faire de la webcam ou un transfert de fichier. Une simple connexion ne suffit pas.

 

[rog]

ça c'est le site de la police federal brésilienne

http://www.dpf.gov.br/

ça c'est l'adresse ou tu peux envoyer un mail en expliquant ton probleme

dcs@dpf.gov.br

et si tu as son adresse on peut aussi rechercher le commissariat de police correspondant à son domicie

rog

 

[Julia41]

Mais d'un autre coté, tu aurais pu le remercier de t'avoir trouvé une faille de sécurité, sans lui, tu ne t'en serais pas rendu compte...

 

[raljx]

Etant souvent en contact avec les gendrameries de france et de navarre concernant des plaintes de certains de mes clients sur des produits relevant de l'arnaque je peux te dire que les gendarmeries ont souvent comme réponse : 'ouh la, l'ip est située hors de france ... on ne peut rien faire a moins de disposer d'une dérogation internationale ...' donc moi je porterai plainte (ne serais-ce que pour disposer d'un document officiel en cas de probleme mais pour la recherche et les news n'y compte pas trop

 

[ZelkiN]

ça c'est le site de la police federal brésilienne

http://www.dpf.gov.br/

ça c'est l'adresse ou tu peux envoyer un mail en expliquant ton probleme

dcs@dpf.gov.br

et si tu as son adresse on peut aussi rechercher le commissariat de police correspondant à son domicie

rog

thanks rog, je vais leur envoyer ca, on verra bien ...

 

[rog]

de rien

mets moi rue ville etat que je te donne aussi le commissariat de police local

ils le convoqueront certainement

rog