HSC
Cabinet de consultants en sécurité informatique depuis 1989 - Spécialisé sur Unix, Windows, TCP/IP et Internet
Mode texte : accès au contenu de la page
Hervé Schauer Consultants
Vous êtes ici : Accueil > Ressources > Brèves > Comment réagir (techniquement) en cas d'intrusion
Accéder au : Site HSC des formations
Télécharger le catalogue des formations
Recherche :  
English version
   Services   
o Domaines de compétences
o Conseil & Expertise
o Prestations ISO 27001
o Audit & Évaluation
o Tests d'intrusion
o Tests de vulnérabilités (TSAR)
o Analyse Forensique
o Certification ARJEL
o Formations
o E-learning
   Conférences   
o Agenda
o Interventions passées
o Tutoriels
   Ressources   
o Index thématique
o Brèves
o Présentations
o Cours
o Articles
o Outils (téléchargement)
o Veille en vulnérabilité
   Société   
o Hervé Schauer
o Equipe
o Offres d'emploi
o Références
o Historique
o Partenariats
o Associations
   Presse et
 communication
 
 
o Newsletter HSC
o Bulletin juridique HSC
o Revue de presse
o Communiqués de presse
o Publications
   Contacts   
o Coordonnées
o Requêtes particulières
o Accès à nos locaux
o Hôtels proches de nos locaux
|>|Comment réagir (techniquement) en cas d'intrusion  

par Stéphane Aubert (21/10/2000)




En cas d'intrusion,  si l'on souhaite, obtenir des informations  sur ce qui
se passe ou s'est passé, il faut réagir VITE !

Pour cela il faut s'y être un  peu préparé et avoir préparé les outils (non
infectés par un rootkit) qui aident à y voir plus clair.


Quand réagir ?
==============

Facile : le plus tôt possible ;-)) !

Effectivement,  il faut  réagir  vite lorsqu'un  administrateur détecte  un
comportement anormal, une machine qui  plante, un disque plein, une machine
qui envoie des paquets non autorisés vers Internet ou les autres machines.

Ou simplement lorsque postmaster ou abuse de votre domaine (ils existent ?)
reçoit un mail vous informant que vous êtes une des sources d'un DDOS. Mais
attention, n'exécutez pas les commandes qu'on vous propose dans ce mail, ni
les exécutables.


Comment se préparer ?
=====================

. Prévoir une prise réseau pour une machine Unix sur les DMZ, sur les brins
  du réseau interne.

. Prévoir  une machine Unix  pouvant servir de  sniffer le moment  venu (un
  portable avec du disque est déjà vraiment bien)

  Il faut de la place disque pour  pourvoir garder des traces réseau et des
  copies des partitions de la ou des machines compromises.

. Prévoir les outils sur une disquette ou un CDROM (voir chapitre suivant)

. Tester ces outils


Comment réagir ?
================

* au niveau du réseau

Il y a deux outils à utiliser pour  copier tout (ou  une partie)  du trafic
réseau,  détecter  des paquets  correspondant  à  des attaques  connues  et
localiser la ou les machines  émettrices de paquets spoofés (dont l'adresse
source n'est pas la bonne).

  - tcpdump -lnvve permet de voir le trafic réseau avec les adresses MAC 
    Ceci permet dans la plus part des cas de trouver une machine qui spoofe,

  - tcpdump -lnvx -s 1500 -w trace permet d'enregistrer le trafic réseau,

  - enfin snort permet de détecter des attaques connues comme shaft ou 
    stacheldraht.

* au niveau des systèmes compromis

  Toute  les données  obtenues avec  les commandes  suivantes doivent  être
  sauvegardées sur un  disque différent. Il ne faut pas  modifier le disque
  original. 

  Ne pas utiliser les exécutables du disque de la machine compromise,
  n'utiliser de préférence que les exécutables que vous avez mis sur la
  disquette ou le CDROM.

  Une fois obtenues les données doivent être dupliquées et mise en lieu sûr
  pour pouvoir prouver que personne n'a pu les modifier à posteriori.

  Ne  compressez  les  données que  si  vous  y  êtes  obligé. Si  vous  le
  compressez vérifiez avec  un hash MD5 que vous pouvez  les récupérer dans
  leur intégralité.

  L'utilisation  de netcat  est  la bienvenue  pour  transférer de  manière
  simple les données.

  Exemple d'utilisation de netcat :

    lancer sur le portable sûr : nc -p 1234 -l > adresseIP-machine.ps.txt 

    sur la machine douteuse : /mnt/bin/ps -auexww | /mnt/bin/nc -w3 adresseIP-portable > 1234 


  Pour lancer ces commandes utilisez un shell sain sur votre CDROM :

    /mnt/bin/bash -rcfile /cdrom/etc/bashrc -noprofile -i


  Il faut absolument garder :

  - la liste des processus (exemples : ps -auexww, pstat.exe, tlist.exe)

  - l'état des interfaces (ifconfig -a ou ipconfig /a)

  - la liste des ports ouverts (netstat -an ou utiliser lsof)

  - la table de routage (netstat -rn ou route print)

  - la liste des fichiers sur le disque (ls ou find)
    (sur NT : dir /s \ puis sfind pour les fichiers cachés)

  - tous les binaires des processus en cours d'exécution

  - le résultat de tripwire s'il était configuré

  - le résultat de rscan (http://www.hsc.fr/ressources/outils/)

  - une copie de toutes les partitions (faite avec dd)
    Le répertoire /proc est très important sous Linux.



Et après ...
============

Faites nous intervenir  au plus vite si vous souhaitez  nous faire analyser
le problème ou au moins informez nous, nous essayerons de vous aiguiller.

Restez vigilants !...


Stéphane Aubert <Stephane.Aubert@hsc.fr>
Hervé Schauer Consultants



Dernière modification le 12 novembre 2003 à 13:55:00 CET - webmaster@hsc.fr
Mentions légales - Informations sur ce serveur - © 1989-2013 Hervé Schauer Consultants