Comment dois-on interpréter et réagir face à une attaque ?

[Anonymous]

Besoin d’aide comment dois on faire pour contacter une adresse IP qui vient de nous lancer une attaque d’intrusion sur notre reseau interne ?
 

[Anonymous]

Voici le ticket qu'on vient de nous envoyer:

N°Ticket : 644608
Type de ticket : Intrusion ALERT
Etat du ticket : Ouvert
----------------------------------------------------------
Emetteur : NOC-RENATER3
Localisation Incident : DOM-TOM_Guadeloupe
Elément concerné : guadeloupe Reseau LABOR OPUS GROUP S.A.S Siège
Localisation : 101-2-5-164.W 81. abo.wanadoo.fr
----------------------------------------------------------
Début Incident : 9h36 AM GMT  – 4h
Fin Incident :  9h37 AM GMT – 4h
Durée(en minutes) : 5
----------------------------------------------------------
Date/Heure Ouverture (du ticket) : * * * ** **
Date/Heure Fermeture (du ticket) : * * ** **  **
----------------------------------------------------------

Description de l'incident :

Un serveur distant à été connecté au reseau local sous IP 195.200.125.38
26 ESSAIS DE CONNEXIONS AU ESSEAU SANS SUCCCES
ENVOIS ATTAQUE SOUS TCP_XMAS_SCAN
Problème du ROUTEUR qui ne veut pas redémarrer

Récapitulatif de l'intervention :
Le routeur du NR de la Guadeloupe a redémarré.
Investigation en cours.
NETWORK Ecritel
IP ADRESSE 195.200.125.38
LOCATION France

Blocage du serveur ECRITEL 72 heures
Envois de rapport à ECRITEL France   FR

Visual Tracking Detailed Status

inetnum:        195.200.125.0 - 195.200.125.255
netname:        ECRITEL
descr:          Groupe ECRITEL France
descr:          Development and hosting of web & wap sites
descr:          Internet and wap access
descr:          Paris
country:        FR
admin-c:        FL3400-RIPE
tech-c:         FL3400-RIPE
rev-srv:        pcw.ecritel.fr
rev-srv:        dg1.ecritel.fr
status:         ASSIGNED PA
notify:         fleduc@ecritel.net
mnt-by:         ECRITEL-MNT
changed:        fleduc@ecritel.net 20040202
source:         RIPE

% RIPE database, last updated Apr 6, 2005 12:11:18 AM
Le routeur a redémarré à cause d'un problème mémoire.
-----------
History:

- Ouverture

- RELANCE AUTOMATIQUE SUR FERMETURE

Nous n'avons pas encore déterminé la cause du
reload. Le routeur a un fonctionnement stable et
n'indique aucune anomalie de fonctionnement.
- Une remontée du problème a été faite auprès de Cisco.

Fin d’intervention 10h10AM GMT – 4h
-------------------------------------------------------------------------

[staff]

Vous pouvez en savoir plus au sujet de cette IP ici :

http://dnsstuff.com/tools/whois.ch?ip=195.200.125.38

Si vous avez un firewall au niveau de votre réseau, vous pouvez essayer de bloquer cette IP. Cependant, votre réseau n'a pas été compromis. Il y a 26 tentatives de login. En cas de brute force, c'est 10000 ou plus de tentatives que vous aller trouver.

A mon avis, il n'y a pas de quoi vous inquiétez. Utilisez des mots de passes compliquées et personne ne pourra les trouver en quelques dizaines de coups.

[Anonymous]

Merci de votre réponse je vais faire une copie à mon équipe afin d'arranger ça au plus vite
Je vais de suite voir le lien que vous venez de me transmettre aussi
Merci à vous
 

[staff]

Oui, mais vous n'avez pas besoin de vous en inquiéter. Ce c'est pas comme ça qu'on entre dans un système.

[Anonymous]

Je l’espère car votre mail de dimanche soir vis-àvis de l'attaque que le serveur a eu ne nous a pas rassurés.
Par contre pouvons nous transmuter dès la semaine prochaine nos donner ?
Ayant, pris l’offre Pro Management depuis le 04/04/2005 nous aimerions savoir si vos ingénieurs Linux ont finis les modiffs en terme de sécurité afin que nous puissions créer nos bases ?
PS/ Un de nos collaborateur est connecté 24/24 sur votre forum avec le pseudo LOG Group, donc vous pouvez répondre quand vous le souhaitiez.

Qaunt à nous nous vous disons à très bientôt et merci de votre réponse
Thierry Taupin

[staff]

Le Pro-Management est activé sur votre machine. Vous pouvez l'utiliser sans craintes. Les petites attaques sur internet sont monnaie courrant, mais heureusement, elles n'aboutissent que lorsque les machines ne sont pas protégées correctement.

On a trouvé quelques tentatives de login seulement. En cas de vraie attaque, on aurait trouvé des dizaines de milliers...

[Anonymous]

Bonjour, et merci de votre réponse pas de soucis je vous laisse gérer ça par contre si vous avez des attaques quelque soit le degré veuillez nous dressez l'IP de l'attaquant même si ceux ci utilisent des proxy ou autres, nous travaillons avec un client de Malaisie spécialiste dans le pistage.

Notre dernier attaque, de la semaine dernière a été résolu assez vite, par notre client et qui peut donc nous aider à retrouver ce ou ces petit(s) malin(s)

J'attends votre réponse pour le message déja envoyé lol.

A très bientôt

Thierry Taupin

[staff]

D'accord, chaque fois que nous avons quelque chose de ce genre, nous vous enverrons l'IP.

[Anonymous]

Si cette prestation est facturable point de soucis vous m'envoyez ça par mail.

Merci d'avance et à très bientôt  
Thierry Taupin

[staff]

Elle n'est pas facturable On fait un copier coller et on vous envoit l'IP

[Anonymous]

Okk, pas de soucis nous prenons note de gratuité de cette action  
Nous enverrons au plus vite une copie à la direction.
A bientôt.

Pour Taupin Thierry
Decourtemanche de la clémendière Nathalie.