HtmlToText
suivre ce blog administration connexion + créer mon blog 1 2 3 4 5 6 7 8 9 10 > >> 23 août 2014 6 23 / 08 / août / 2014 19:33 trouver les traces d’un pirate en 3 étapes radicales pendant mes petites vacances méritées, j’ai un peu lu vos questions fréquemment posées, et j’ai décidé de rédiger cet article pour répondre à l’une d’entre elles. quelles traces un pirate laisse derrière lui et comment les trouver ? la question est intéressante et la réponse est bonne à savoir pour plusieurs raisons, notamment : étant donné qu’un piratage est souvent initié par une personne de notre entourage, il s’agit de l’identifier plus facilement avec ce que l’on sait déjà d’elle. on pourra aussi confirmer des doutes sur cette même personne . dans des cas graves où l’on se retrouve piraté pendant des mois, on pourra enfin agir efficacement face au pirate, et arrêter l’enfer. et enfin, il s’agit de découvrir si l’on est éventuellement victime de piratage sans même le savoir . je parlerai surtout des cas typiques, c’est-à-dire des piratages sous windows mais vous êtes aussi concerné si vous utilisez un autre système car les méthodes sont les mêmes dans le fond. avant de commencer, sachez que les sympt ô mes typiques d’un piratage sont les suivants : pc lent au démarrage soudainement connexion réseau encombrée activité suspecte et automatique de l’ordinateur autres plus subtils : conversations facebook ouvertes/lues, mails marqués comme lus, fichiers crées ou supprimés, etc… pour vous en assurer, suivez les étapes suivantes. 1. votre historique web « depuis quelques jours mon mot de passe a été changé mais je ne me souviens plus de ce que je faisais juste avant, j’ai tout effacé ! » cette citation est très typique. après s’être fait pirater, on efface souvent au plus vite ce qu’on a visité ou téléchargé en pensant bien faire : on « supprime » ce qui est ou semble être malveillant. et c’est un comportement normal. mais en agissant ainsi, on ne fait que d’effacer les traces du hacker malveillant, et on lui facilite la tâche ! être anonyme sur internet et effacer ses traces est une bonne chose, mais vous risquez aussi d’effacer les traces d’un potentiel pirate si vous ne retenez pas vous mêmes certaines informations . à l’inverse, si vous avez la « chance » d’avoir conservé un historique des sites visités avant de vous faire pirater, vous avez une première piste à investiguer. remontez donc l’historique pour y trouver un éventuel site que le pirate aurait pu utiliser. cherchez notamment les sites auxquels vous avez donné vos identifiants ou depuis lesquels vous avez téléchargé un programme . je vous invite à partir à la recherche de sites de phishing, plus d’informations ici : phishing facebook et autres, explications et contre-mesures . je vous invite également à étudier les sites suspects exécutant des programmes sur votre ordinateur . note : pour le téléchargement de programmes malveillants, nous verrons ça dans le second point. traquer le propriétaire du site à present, vous pouvez traquer l’auteur du site en question, et il existe des outils gratuits et légaux pour cela. vous pouvez par exemple interroger les données whois . les données whois contiennent généralement le nom (et d’autres données personnelles) de l’auteur du site . copiez donc l’url du site en question et collez la dans le champ de l’un des sites ci-dessous : http://whois.domaintools.com/ http://www.gandi.net/whois attention : certains enregistrements whois peuvent être faux ou cachés car il est possible de recourir à des services permettant de masquer ses données lorsqu’on enregistre un nouveau nom de domaine. vous pouvez également utiliser l’outil traceroute pour essayer de trouver le lieu du serveur et utiliser divers outils de récupération d’informations dns pour obtenir un maximum d’informations permettant d’identifier le pirate. ces méthodes ainsi que d’autres plus avancées dans la recherche d’informations sont expliquées en détail dans la formation comment devenir un hacker où l’on se mettra dans la peau d’un pirate afin de comprendre comment il agit dans le but de le contrer efficacement. vous pouvez aussi porter plainte contre le site en question et le signaler à son hébergeur, mais la police ne fait pas grand chose pour les particuliers, soyez prévenus… 2. votre activité locale comme pour les sites visités, les actions effectuées sur votre ordinateur sont elles aussi enregistrées même si on ne vous le dit pas . et ces enregistrements sont très utiles pour y trouver potentiellement le programme malveillant à l’origine du piratage. malheureusement, ces enregistrements sont dispersés un peu partout dans votre ordinateur. parmi eux, on notera les eventlog. historiques d’évènements en francais. il est inutile et ennuyeux de vous donner tous les chemins et tous les moyens pour les lire en fonction de votre version de windows, car nir sofer (un programmeur passionné) a déjà tout prévu et a programmé un outil complet et gratuit pour tout lire à partir d’un seul programme . ce programme (que j’ai déjà cité ici et là) s’appelle lastactivityview et peut être téléchargé ici : http://www.nirsoft.net/utils/lastactivityview.zip capture d’écran de lastactivityview : lorsque je parlais d’historique web, j’indiquais qu’on supprime souvent trop vite les sites web visités ou les programmes téléchargés. c’est une erreur car garder ces programmes sur votre ordinateur pourrait vous permettre de pister votre hacker de façon certaine . voici maintenant un petit secret concernant la façon de trouver facilement un programme malveillant sur votre ordinateur (les antivirus devraient proposer des scans avancés pour ce type de programmes et bien des piratages seraient évités) : appuyez simultanément sur la touche windows et la touche r puis tapez msconfig : rendez vous dans l’onglet démarrage et observez les programmes dans la liste. ce sont les programmes automatiquemt lancés au démarrage de l’ordinateur, une bonne planque pour les programmes malveillants même si d’autres programmes légitimes s’y trouvent aussi. la plupart des keyloggers se lancent au démarrage de l’ordinateur, il reste à savoir quel programme est malveillant et quel programme ne l’est pas. pour le savoir, et d’une manière plus générale concernant l’étude et la désinfection approfondie de l’ordinateur, je donne des méthodes uniques et programmes spéciaux dans certains guides comme comment protéger son ordinateur et sa vie privée . si vous avez identifié le programme suspect, je le répète, ne le supprimez pas de tout de suite mais lisez plutot l’article suivant qui vous montre comment trouver l’adresse mail et le mot de passe de votre pirate dans des cas précis. vous aurez le droit à une bonne revanche ! 3. le pirate communique peu-être encore avec vous vous ne le voyez pas et ne l’entendez pas forcément, mais un pirate typique cherchera à rester le plus longtemps possible dans votre ordinateur tout en communiquant avec ce dernier afin de transférer des mots de passe et autres données personnelles vers son ordinateur . cela rejoint les points précédents, et si vous avez déjà identifié et supprimé le programme malveillant en question, vous n’aurez plus d’autres soucis à vous faire à part garder un pc sain . par contre, il est possible que vous ne trouviez pas forcément le programme suspect ou que vous souhaitez obtenir plus de traces du pirate alors même que son programme est encore en cours d’exécution sur votre ordinateur. pour analyser les données transférées depuis votre ordinateur , il existe encore un programme facile d’utilisation crée par le maître de windows, alias mark russinovich : tcpview . les connexions réseau sont affichées et vous permettent d’identifier l’adresse ip du pirate, une mine d’or ! repost 0 published by tunisian-hackers commenter cet article 11 juillet 2013 4 11 / 07 / juillet / 2013 05:41 5 best hacking ebook to learn ethical hacking, social engineering, googling, hardware hacking free hey, many of you want to learn hacki
Informations Whois
Whois est un protocole qui permet d'accéder aux informations d'enregistrement.Vous pouvez atteindre quand le site Web a été enregistré, quand il va expirer, quelles sont les coordonnées du site avec les informations suivantes. En un mot, il comprend ces informations;
Domain Name: OVER-BLOG.COM
Registry Domain ID: 112622266_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.gandi.net
Registrar URL: http://www.gandi.net
Updated Date: 2019-01-25T18:11:54Z
Creation Date: 2004-02-25T19:51:07Z
Registry Expiry Date: 2020-02-25T19:51:07Z
Registrar: Gandi SAS
Registrar IANA ID: 81
Registrar Abuse Contact Email: abuse@support.gandi.net
Registrar Abuse Contact Phone: +33.170377661
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Name Server: NS0.PROCEAU.NET
Name Server: NS1.PROCEAU.NET
DNSSEC: unsigned
URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/
>>> Last update of whois database: 2019-09-19T03:46:21Z <<<
For more information on Whois status codes, please visit https://icann.org/epp
NOTICE: The expiration date displayed in this record is the date the
registrar's sponsorship of the domain name registration in the registry is
currently set to expire. This date does not necessarily reflect the expiration
date of the domain name registrant's agreement with the sponsoring
registrar. Users may consult the sponsoring registrar's Whois database to
view the registrar's reported date of expiration for this registration.
TERMS OF USE: You are not authorized to access or query our Whois
database through the use of electronic processes that are high-volume and
automated except as reasonably necessary to register domain names or
modify existing registrations; the Data in VeriSign Global Registry
Services' ("VeriSign") Whois database is provided by VeriSign for
information purposes only, and to assist persons in obtaining information
about or related to a domain name registration record. VeriSign does not
guarantee its accuracy. By submitting a Whois query, you agree to abide
by the following terms of use: You agree that you may use this Data only
for lawful purposes and that under no circumstances will you use this Data
to: (1) allow, enable, or otherwise support the transmission of mass
unsolicited, commercial advertising or solicitations via e-mail, telephone,
or facsimile; or (2) enable high volume, automated, electronic processes
that apply to VeriSign (or its computer systems). The compilation,
repackaging, dissemination or other use of this Data is expressly
prohibited without the prior written consent of VeriSign. You agree not to
use electronic processes that are automated and high-volume to access or
query the Whois database except as reasonably necessary to register
domain names or modify existing registrations. VeriSign reserves the right
to restrict your access to the Whois database in its sole discretion to ensure
operational stability. VeriSign may restrict or terminate your access to the
Whois database for failure to abide by these terms of use. VeriSign
reserves the right to modify these terms at any time.
The Registry database contains ONLY .COM, .NET, .EDU domains and
Registrars.
REGISTRAR Gandi SAS
SERVERS
SERVER com.whois-servers.net
ARGS domain =over-blog.com
PORT 43
TYPE domain
RegrInfo
DOMAIN
NAME over-blog.com
CHANGED 2019-01-25
CREATED 2004-02-25
STATUS
clientTransferProhibited https://icann.org/epp#clientTransferProhibited
NSERVER
NS0.PROCEAU.NET 83.243.21.30
NS1.PROCEAU.NET 77.87.104.10
REGISTERED yes
Go to top
tunisian-hackers.over-blog.com rapport :
Visitez le site