+- N-PN White-Hat Project (https://dev.n-pn.fr/forum)
+-- Forum : Questions (https://dev.n-pn.fr/forum/forumdisplay.php?fid=11)
+--- Forum : Security (https://dev.n-pn.fr/forum/forumdisplay.php?fid=24)
+--- Sujet : Attaque d'un serveur. HELP !! (/showthread.php?tid=3934)
Attaque d'un serveur. HELP !! - Coolrain - 05-12-2017
Bonjour/Bonsoir, Mon serveur a été attaqué, j'ai su récupérer l'Ip de l'attaquent mais pas moyen de savoir qui ma attaquer, (c'est un de mes élèves mais je n'ai pas plus d'information.)
RE: Attaque d'un serveur. HELP !! - supersnail - 05-12-2017
Bonsoir,
C'est balot, une IP ne perment pas trop d'obtenir une géolocalisation précise (non on est pas dans NCIS ou Les Experts:Cyber), d'autant plus si le zouave se cache derrière un proxy/VPN (ce qui est hautement probable d'ailleurs).
Ensuite, si l'élève en question (s'il s'agit bien d'un élève et pas juste d'un bot) a commis l'erreur d'utiliser son adresse IP, à moins d'être de la police/gendarmerie/Hadopi, tu ne pourras pas récupérer l'adresse de l'employé à partir de l'IP qu'il avait au moment de l'attaque (re-manque de bol, les IP des clients sont bien souvent attribuées par un DHCP contrôlé par le FAI).
RE: Attaque d'un serveur. HELP !! - Encrypt - 05-12-2017
Hello Coolrain,
Pour compléter ce que vient de dire supersnail, tu ne cites par ailleurs pas le type "d'attaque" et je me demande alors :
- Comment sais-tu que tu as été attaqué ?
- Quel est donc le type d'attaque ?
- N'avais-tu pas mis en place de sécurités sur ton serveur pour éviter cela ?
Sachant que l'attaque en question est du "DDoS", je dirais que c'est bien l'attaque du kikoo de base qui a trouvé un tool tout cuit sur internet et qui n'a fait que cliquer sur "attaquer".
Malheureusement, difficile de se prémunir de ce genre d'attaque (corrigez-moi si je me trompe).
Si à l'inverse il s'agit d'une effraction sur le serveur (connexion à un de tes services avec un mot de passe par défaut par exemple), alors là il faudra penser à appliquer les bases de la sécu
RE: Attaque d'un serveur. HELP !! - Coolrain - 05-12-2017
Encrypt, L'attaque qui a été lancé c'est un ransomware donc ça a supprimer les sessions, j'ai tout remis a zéro etc etc
Il a fait ça a distance, il connaissait les ports mais comme plusieurs les connaissais je ne sais pas comment trouvé c'est lequels...
RE: Attaque d'un serveur. HELP !! - supersnail - 06-12-2017
Pour les attaques de ransom, les vecteurs d'attaques sont généralement:
- Ouverture d'une pièce jointe malveillante (document Word/excel se faisant passer pour une facture, lettre de notaire ou autre demandant "d'activer le contenu"
- Exploitation d'une vulnérabilité depuis un système pas mis à jour (typiquement un Windows server vulnérable à EternalBlue qui a permis la propagation de wannacry et NotPetya, ou Adobe Flash pas mis à jour)
- Un bot qui essaie de se logguer avec les accès par defaut
Bref je ne vois pas dans ce qui est dit ce qui permet d'incriminer un élève dans l'histoire...