tentative d'intrusion.

tentative d'intrusion. - Sécurité - Réseaux grand public / SoHo

Marsh Posté le 08-03-2008 à 17:28:08    

Bonjour,
 
Il y a quelques minutes, mon PC (sur lequel tourne VNC sur le port standart) vient de m'afficher une fenêtre de confirmation de prise de main à distance... le problème est que cette fois ci cette demande n'avait pas été initiée par moi (puisque j'étais devant mon PC !).  
 
J'ai donc refusé la prise de main (mon VNC est réglé en auto-accept après un délai de quelques secondes pendant lequel on peut refuser).
 
Un coup d'oeil dans le log de mon routeur m'informe que l'adresse IP qui a tenté une connexion correspond à un kimsufi, et donc à OVH, qui est une société d'hébergement française.
 
Je précise que je suis le seul à utiliser la prise de main à distance sur mon PC, et qu'en tout état de cause je ne possède pas de kimsufi, c'est donc clairement une tentative d'intrusion. Pour ouvrir une session VNC sur mon ordinateur il faut fournir un mot de passe, et je pense donc que la personne (ou le bot) qui est derrière tout ça aurait donc bloqué à ce niveau, donc rien de grave n'aurait pû se produire.
 
J'ai maintenant deux questions :
 
1°) Est-ce que le simple fait de tenter de se connecter à mon serveur VNC sans y parvenir est répréhensible légalement ?
 
2°) Pensez vous utile que je contacte OVH en leur fournissant l'heure et l'IP à la source de cette tentative ?
 
Merci.


---------------
Que va-t-il se passer cette gelgamar ? vous le découvrirez janamont à 20h
Reply

Marsh Posté le 08-03-2008 à 17:28:08   

Reply

Marsh Posté le 09-03-2008 à 11:45:47    

Tu verrais le nombre de tentatives circulant sur le net si tu snif ton réseau internet à la recherche d'une proie facile...
VNC fait partie de ceux là.  
Une fois un serveur VNC trouvé le bot tente ça chance avec des mots passe simple.
 
Change ton mots de passe par un mots de passe fort avec des #?% ... comportant au moins 11 caractères.  
Configurer VNC avec des IP distants que tu autorises. Les autres IP que tu ne connais pas non pas le droit de se connecter dessus.
Mettre à jour VNC.
Eteindre ton serveur VNC quand tu ne l'utilises pas.


Message édité par mmc le 09-03-2008 à 12:06:35
Reply

Marsh Posté le 09-03-2008 à 13:49:10    

oui je sais bien tout ça, je me demandais juste si ça avait un intérêt d'avertir OVH.


---------------
Que va-t-il se passer cette gelgamar ? vous le découvrirez janamont à 20h
Reply

Marsh Posté le 09-03-2008 à 16:36:30    

J'en suis pas si sûr puisque tu es le seul à avoir le droit de te connecter à distance. Ton VNC aurait été configurer avec un IP distant unique autorisé tu serais pas en train de poster sur ce forum pour ce problème. L'IP inconnu aurait été rejeté de suite. A moins d'un spoofing.  
Ici, tu autorises tous les IP à interroger ton serveur sous condition d'un mots passe. Pense bien que tous le monde peux tenter plusieurs fois un nouveau mots de passe...
 
Tu peux toujours leur envoyer un mail, ils se contenteront de vérifier leur serveur si il est pas infecté mais bon ... c'est pas pour au temps qu'ils te donneront sur un plateau le pirate.


Message édité par mmc le 09-03-2008 à 17:18:14
Reply

Marsh Posté le 09-03-2008 à 17:06:45    

nan mais je m'en fous totalement qu'ils me "donnent le pirate sur un plateau", si j'avais pas été devant mon PC quand c'est arrivé je m'en serais probablement jamais rendu compte et ça serait probablement pas allé plus loin, vu qu'il aurait bloqué sur le mot de passe...
 
Je me demandais juste si les hébergeurs étaient intéressés par ce genre de renseignement, ou si c'était sans intérêt de leur communiquer.
 
Bon je leur envoie un mail, au pire ce sera 5 minutes de perdues.
 
Merci pour tes réponses :jap:


---------------
Que va-t-il se passer cette gelgamar ? vous le découvrirez janamont à 20h
Reply

Marsh Posté le 09-03-2008 à 17:38:37    

Misssardonik a écrit :

...et ça serait probablement pas allé plus loin, vu qu'il aurait bloqué sur le mot de passe...


 
Heuu... il me semble que la connexion était établit, le mots de passe était correct.
Ce qui veut dire que sans ton intervention de refus manuel la prise de contrôle du PC allez s'effectuer.  
 

Misssardonik a écrit :


J'ai donc refusé la prise de main (mon VNC est réglé en auto-accept après un délai de quelques secondes pendant lequel on peut refuser).


 
L'administrateur du réseau de l'entreprise sera intéressé par ton information si tu en es certains que ça provient de chez lui.

Message cité 1 fois
Message édité par mmc le 09-03-2008 à 17:51:19
Reply

Marsh Posté le 09-03-2008 à 18:17:59    

mmc a écrit :


 
Heuu... il me semble que la connexion était établit, le mots de passe était correct.
Ce qui veut dire que sans ton intervention de refus manuel la prise de contrôle du PC allez s'effectuer.  
 


 
Ben justement j'avais un doute mais j'ai vérifié, en fait ça demande une fois confirmation sur le PC serveur quand le client demande la connexion, puis une autre fois après qu'il ait saisi le mot de passe.
 
 

mmc a écrit :


 
L'administrateur du réseau de l'entreprise sera intéressé par ton information si tu en es certains que ça provient de chez lui.


 
L'adresse IP correspond apparement à un kimsufi, après je sais pas quel autre renseignement je peux trouver à partir simplement de l'adresse IP...


---------------
Que va-t-il se passer cette gelgamar ? vous le découvrirez janamont à 20h
Reply

Marsh Posté le 10-03-2008 à 01:14:51    

Je ne pense pas que ça les intéresse vraiment .. C'est peut-être quelqu'un ayant un serveur chez eux qui a essayé de se connecter via ce serveur (avec un ssh par exemple), et comme l'opération n'est pas illégale en soi ... ils n'en auront rien à faire (à moins qu'il soit exprimé que les connexions et/ou tentatives de connexions vers l'extérieur sont interdites dans les CGV d'OVH).
 
Donc rien de plus à ajouter que ce qu'a déjà dit mmc: sécurise le mieux possible ton VNC, et surtout n'oublies pas que VNC a ENORMEMENT de failles.
 
Un ami informaticien m'a parlé d'un réseau VNC qu'il avait installé chez un médecin, ce réseau a été hacké très (trop) facilement et les bases de données effacées. Il avait mis en place des sauvegardes automatiques et heureusement ... VNC est très très loin d'être infaillible, et loin d'être aussi sécurisé qu'une session SSH (je sais, sous windows, le SSH ...)


---------------
Debian Addict - Vista Victim .. - Etudiant Ingénieur [Le Pas-Blog - Relations Ecrites]
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed