SlideShare uma empresa Scribd logo

Comment analyser une machine linux compromise

Tarek MOHAMED
Tarek MOHAMED

investigation sur linux

Tecnologia
1 de 6
Baixar para ler offline
Comment analyser une machine linux compromise Tarek MOHAMED CHFI, CEH, ESCP http://www.linkedin.com/in/tarekmed tarekmed.rachdi@gmail.com [Tapez le résumé du document ici. Il s’agit généralement d’une courte synthèse du document. Tapez le résumé du document ici. Il s’agit généralement d’une courte synthèse du document.]
Analyse d'un système linux suite à une intrusion L’inspection d’une machine Linux, suite à une attaque (directe où indirect), suite à la détection d’un événement de sécurité suspect où suite à la détection d’un comportement virale, doit suivre une certaine logique fondamentale qui nous permettra de comprendre le scénario et préciser les vulnérabilités qui affectent notre système. L’entité chargée de la mission d’investigation doit suivre les étapes suivantes : 1) Date et temps système : L’intervenant doit extraire la date et le temps système et les synchronisés avec son horloge pour définir les écarts entre toutes les entités en relation avec la machine en question. Date et le temps système date de la machine compromise Horloge de l’analyste NB : il ya un avance de 59 seconde de la machine compromise par rapport à l’horloge de l’intervenant. 2) Connexions réseaux: a) Analyse interne : Il est très important de voir les connexions réseaux courantes (Port TCP, UDP ouvert), pour détecter les connexions suspectes, pour cela la commande «netstat» est disponible sur toutes les distributions Linux et qui nous permet d’afficher les connexions réseau ouvertes, les tables de routage, les statistiques des interfaces, les connexions masquées, les messages netlink et les membres multicast. Afin de visualiser plus de détails sur les connexions réseaux courantes vous pouvez utiliser les options de la commande « netstat» par exemple la commande « netstat –a» vous permet de visualiser les connexions et des ports en écoute sur la machine.
Pour lister les noms des programmes qui ouvert les ports, nous allons exécuter la commande « netstat –nap». Une attaque peut modifier la table de routage pour rediriger les flux sortants de la machine, afin de surpasser à travers les règles du pare-feu. Et pour afficher la table de routage interne utilisez la commande «netstat –rn» ou à l’aide de la commande « route –c ». b) Analyse externe : Dans la plupart des incidents, les programmes malveillants (rootkits , malwares, virus,..) infectent les machines linux en modifiant leurs binaires, en particulier le binaire de « netstat » pour cacher les ports ouvertes et les connexions réseaux camouflés par les programmes malveillants. Pour cela, on va utiliser le l'analyseur réseau (sniffer) wireshark (www.wireshark.org) et le scanneur des ports Nmap ( http://nmap.org). -Wirshark : Connecter la machine de l’investigateur et la machine infectée sur le même HUB ou SWITCH (brancher la machine d’investigation sur un port mirroring pour pouvoir écouter et capter tous les trafics réseau). Ensuite, lancer wirshark et faites un filtre sur l’adresse IP de la machine infectée. Nmap : Lancer un scan avec l’outil nmap depuis l’extérieur sur la machine victime infecté pour lister tous les ports ouverts. 3) Les programmes responsables sur l’ouverture des ports (TCP, UDP) et les fichiers : Après l’identification des ports et les connexions distantes suspectes, il faut vérifier les exécutables qui ouvet les fichiers et les ports TCP et UDP, pour cela, utiliser l’outil « lsof » (LiSt Open File) et appliquer les filtres adéquats en utilisant les options de la commande « losf » suivantes :  lsof -i : afficher seulement les résultats en relation avec les services internet TCP et UDP.  lsof –i tcp : afficher seulement les résultats en relation avec les services internet TCP.  lsof –i udp : afficher seulement les résultats en relation avec les services internet UDP.
 losf –i tcp :22 : Pour afficher seulement les résultats en relation avec les services internet TCP sur le port 22.  lsof -i @192.168.1.46 : (Pour afficher seulement les résultats en relation avec les services internet avec l’adresse IP 192.168.1.46. 4) les processus actifs : Habituellement les programmes malveillants (malwares, virus, rootkits,…) lancent des processus suspects. Donc il est très important de savoir les processus en exécutions, et pour cela il suffit d’utiliser la commande « ps -aux ». Dans l’exemple ci-dessus le processus ayant le PID=1199 est exécuté par le utilisateur root. Pour faire un filtre sur un processus vous pouvez utiliser la commande « ps –e | grep nom_process » par exemple pour vérifier le processus ssh ; « ps –e|grep ssh ». 5) Tâches planifiées et services de démarrage : D’une part, la plupart des incidents liées aux systèmes linux, l’attaquant infecte le système en mettant des tâches planifiés ou des services au démarrage qui exécutent certaines commandes ou lancent quelques processus pour ouvrir une porte dérobée sur la machine victime. Vérification des tâches planifiées : il suffit de taper « crontab –l » mais probablement l’exécutable crontab peut être compromis donc il vaut mieux observer manuellement le fichier /etc/crontab. Vérification des services de démarrage : il vaut mieux vérifier sur quel niveau les services démarrages (/etc/init.d/ et /etc/rc.local et /etc/xinit.d) sont chargés avec la commande runlevel et selon ce niveau on visualise le contenue du dossier correspondant (rc0.d/, rc1.d/, rc2.d/,rc3.d/, rc4.d/, rc5.d/, rc6.d/) et n’oubliez pas d’analyse du fichier rc.sysinit. D’autre part, l’évolution des attaques sophistiquées en particulier le rootkit kernel qui s’installe au niveau du noyau, et pour identifier les modules suspectes chargés au niveau du noyau, il suffit d’utiliser la commande « lsmod » qui affiche le nom du module, leur taille et utilisateurs. 6) Les utilisateurs et leur historique : L’identification des utilisateurs connectés sur la machine, les comptes utilisateurs et l’historique des login pour détecter les utilisateurs suspects et voir les commandes qui ont été exécuté par chaque utilisateur.  La commande « last » pour lister toutes les connexions et déconnexions des utilisateurs dans notre système qui ont journalisé dans « /var/log/wtmp »,  La commande « Lastb » se comporte comme last, mais il journalise toutes les tentatives des connexions infructueuses dans « /var/log/btmp».
 On peut aussi utiliser la commande « last » avec leurs options par exemple « last -d» pour afficher seulement les connexions distantes ; le nom d'hôte ainsi son adresse IP.  La commande « w » pour afficher les utilisateurs qui ont actuellement connectés sur la machine sont journalisés sous le log «/var/run/utmp»  N’oubliez pas de vérifier la création de nouveaux comptes non autorisés, les comptes sans mots de passe, les changements d’UID sur les comptes déjà existant, pour cela afficher la contenu de fichier « /etc/passwd ».  La commande « history » pour voir toutes commandes exécutées par chaque utilisateur.
7) Intégrité des fichiers binaires : Une attaque peut modifier les binaires usuels (netstat, ls, ps, su, telnet, ifconfig, find, ...) pour cacher leur identité en cas de l’utilisation des ces binaires au cours de la mission d’investigation. Donc, il faut vérifier l’intégrité de ces programmes. Et pour la vérification de l’intégrité des binaires ;  Démarrer sur une distribution linux bootable (par exemple knoppix http://knoppix.net) .Utiliser l’outil « md5sum » de la distribution bootable pour calculer les signatures des binaires de la machine victime, les signatures de la distribution bootable et comparer les deux résultats, si deux signatures d’un même binaires différents alors la machine est certainement compromise par un rootkit.  Ttapez les commandes avec des options réellement inexistants tel que « -/ » (' netstat -/ ', ' ps -/ ', ' ls-/’,..) , ces essais ne devraient retourner que des erreurs ; dans le cas contraire, la machine est certainement compromise par un rootkit. 8) Recherche des fichiers cachés : Généralement un intrus ou un malware dépose souvent dans un répertoire utilisateur, des répertoires cachés avec des noms inhabituels (deux points suivis d’un espace, trois points, deux points suivis d’un control G) ou bien des fichiers dont le nom paraîtrait normal à première vue (".XX" ou ".mail"). Pour chercher ces dossiers cachés on va utiliser la commande suivante : find / -name ".. " -print ou find / -name ".*" -print. 9) Recherche des fichiers setuid et setgid : Recherchez les fichiers setuid et setgid (en particulier les fichiers setuid) dans toute l’arborescence. Tout processus exécutant un fichier ayant setuid peut exécuter ces tâches avec des permissions de super utilisateur root. En effet, la plupart des intrus laissent des exécutables setuid pour pouvoir l’utiliser ultérieurement. Vous pouvez utiliser les commandes suivantes afin de rechercher les fichiers setuid et setgid : find / -user root -perm -4000 -print find / -group root -perm -2000 -print

Recomendados

Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéPECB
 
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide completAlphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide completAlphorm
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016PRONETIS
 
Présentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysPrésentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysJihen KOCHBATI
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détectionManassé Achim kpaya
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Sylvain Maret
 
Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.DjibyMbaye1
 
La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) BRIVA
 

Recomendados

Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéPECB
 
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide completAlphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide completAlphorm
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016PRONETIS
 
Présentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysPrésentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysJihen KOCHBATI
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détectionManassé Achim kpaya
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Sylvain Maret
 
Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.DjibyMbaye1
 
La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) BRIVA
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiquesNouriddin BEN ZEKRI
 
Guide de cybersécurité
Guide de cybersécurité Guide de cybersécurité
Guide de cybersécurité Bpifrance
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Charif Khrichfa
 
QCM Sécurité Informatique
QCM Sécurité InformatiqueQCM Sécurité Informatique
QCM Sécurité InformatiqueZakariyaa AIT ELMOUDEN
 
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMESPRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMESTelecomValley
 
Protection-dun-réseau-dentreprise-via-un-firewall.pdf
Protection-dun-réseau-dentreprise-via-un-firewall.pdfProtection-dun-réseau-dentreprise-via-un-firewall.pdf
Protection-dun-réseau-dentreprise-via-un-firewall.pdfMELLAH MOULOUD Sorbonne Université - Sciences et Ingénierie
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUCHAOUACHI marwen
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatiqueSouhaib El
 
Alphorm.com Formation Wireshark : L'essentiel
Alphorm.com Formation Wireshark : L'essentielAlphorm.com Formation Wireshark : L'essentiel
Alphorm.com Formation Wireshark : L'essentielAlphorm
 
cybersecurite-passons-lechelle-rapport.pdf
cybersecurite-passons-lechelle-rapport.pdfcybersecurite-passons-lechelle-rapport.pdf
cybersecurite-passons-lechelle-rapport.pdfGaudefroy Ariane
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésFranck Franchin
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéOUSMANESoumailaYaye
 
Ebios
EbiosEbios
Ebioskilojolid
 
Wazuh Pre.pptx
Wazuh Pre.pptxWazuh Pre.pptx
Wazuh Pre.pptxemnabenamor3
 
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxINITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxLeandre Cof's Yeboue
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueMaxime ALAY-EDDINE
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatiqueoussama Hafid
 
Présentation de mon PFE
Présentation de mon PFEPrésentation de mon PFE
Présentation de mon PFENadir Haouari
 
Cybersecurité dossier
Cybersecurité dossier Cybersecurité dossier
Cybersecurité dossier MandyDentzer
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
Alphorm.com Formation CEHV9 II
Alphorm.com Formation CEHV9 IIAlphorm.com Formation CEHV9 II
Alphorm.com Formation CEHV9 IIAlphorm
 
Lavavajillas Siemens SN24D206EU
Lavavajillas Siemens SN24D206EULavavajillas Siemens SN24D206EU
Lavavajillas Siemens SN24D206EUAlsako Electrodomésticos
 

Mais conteúdo relacionado

Mais procurados

Guide de cybersécurité
Guide de cybersécurité Guide de cybersécurité
Guide de cybersécurité Bpifrance
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Charif Khrichfa
 
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMESPRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMESTelecomValley
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUCHAOUACHI marwen
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatiqueSouhaib El
 
Alphorm.com Formation Wireshark : L'essentiel
Alphorm.com Formation Wireshark : L'essentielAlphorm.com Formation Wireshark : L'essentiel
Alphorm.com Formation Wireshark : L'essentielAlphorm
 
cybersecurite-passons-lechelle-rapport.pdf
cybersecurite-passons-lechelle-rapport.pdfcybersecurite-passons-lechelle-rapport.pdf
cybersecurite-passons-lechelle-rapport.pdfGaudefroy Ariane
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésFranck Franchin
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéOUSMANESoumailaYaye
 
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxINITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxLeandre Cof's Yeboue
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueMaxime ALAY-EDDINE
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatiqueoussama Hafid
 
Présentation de mon PFE
Présentation de mon PFEPrésentation de mon PFE
Présentation de mon PFENadir Haouari
 
Cybersecurité dossier
Cybersecurité dossier Cybersecurité dossier
Cybersecurité dossier MandyDentzer
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 

Mais procurados (20)

La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiques
 
Guide de cybersécurité
Guide de cybersécurité Guide de cybersécurité
Guide de cybersécurité
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)
 
QCM Sécurité Informatique
QCM Sécurité InformatiqueQCM Sécurité Informatique
QCM Sécurité Informatique
 
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMESPRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
 
Protection-dun-réseau-dentreprise-via-un-firewall.pdf
Protection-dun-réseau-dentreprise-via-un-firewall.pdfProtection-dun-réseau-dentreprise-via-un-firewall.pdf
Protection-dun-réseau-dentreprise-via-un-firewall.pdf
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatique
 
Alphorm.com Formation Wireshark : L'essentiel
Alphorm.com Formation Wireshark : L'essentielAlphorm.com Formation Wireshark : L'essentiel
Alphorm.com Formation Wireshark : L'essentiel
 
cybersecurite-passons-lechelle-rapport.pdf
cybersecurite-passons-lechelle-rapport.pdfcybersecurite-passons-lechelle-rapport.pdf
cybersecurite-passons-lechelle-rapport.pdf
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
 
Ebios
EbiosEbios
Ebios
 
Wazuh Pre.pptx
Wazuh Pre.pptxWazuh Pre.pptx
Wazuh Pre.pptx
 
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxINITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatique
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
 
Présentation de mon PFE
Présentation de mon PFEPrésentation de mon PFE
Présentation de mon PFE
 
Cybersecurité dossier
Cybersecurité dossier Cybersecurité dossier
Cybersecurité dossier
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 

Destaque

Alphorm.com Formation CEHV9 II
Alphorm.com Formation CEHV9 IIAlphorm.com Formation CEHV9 II
Alphorm.com Formation CEHV9 IIAlphorm
 
Espace laboratoire De la place Saint-Sauveur à la rue Caponière : diagnostic ...
Espace laboratoire De la place Saint-Sauveur à la rue Caponière : diagnostic ...Espace laboratoire De la place Saint-Sauveur à la rue Caponière : diagnostic ...
Espace laboratoire De la place Saint-Sauveur à la rue Caponière : diagnostic ...Elisabeth Burnouf
 
Facebook fusion de pages - Terre & Côte Basques
Facebook fusion de pages - Terre & Côte BasquesFacebook fusion de pages - Terre & Côte Basques
Facebook fusion de pages - Terre & Côte BasquesTerre et Côte Basques
 
Thermylis 2S - Atelier d'incinération de boues à 2 étages
Thermylis 2S - Atelier d'incinération de boues à 2 étagesThermylis 2S - Atelier d'incinération de boues à 2 étages
Thermylis 2S - Atelier d'incinération de boues à 2 étagesDegrémont
 
Exploitez tout le potentiel des réseaux sociaux avec les social ads
Exploitez tout le potentiel des réseaux sociaux avec les social adsExploitez tout le potentiel des réseaux sociaux avec les social ads
Exploitez tout le potentiel des réseaux sociaux avec les social adsDigimood - Agence SEO / SEA
 
Noah en jonas
Noah en jonasNoah en jonas
Noah en jonasrcmuziek8
 
Toolbox Light Entrepreneur 2012
Toolbox Light Entrepreneur 2012Toolbox Light Entrepreneur 2012
Toolbox Light Entrepreneur 2012Steve Bercy
 
Présentation Groupe de travail "BNDMR" (BNDMR-BaMaRa)_S.Amselem
Présentation Groupe de travail "BNDMR" (BNDMR-BaMaRa)_S.AmselemPrésentation Groupe de travail "BNDMR" (BNDMR-BaMaRa)_S.Amselem
Présentation Groupe de travail "BNDMR" (BNDMR-BaMaRa)_S.Amselemminhmacabiau
 
4. le séquençage des reformes de finances publiques
4. le séquençage des reformes de finances publiques4. le séquençage des reformes de finances publiques
4. le séquençage des reformes de finances publiquesJean-Marc Lepain
 
Présentation de pro-info.be
Présentation de pro-info.bePrésentation de pro-info.be
Présentation de pro-info.bepro-info.be
 
Administracion point
Administracion pointAdministracion point
Administracion pointadmmaar
 
la plateforme d’information mobile et web de la maintenance immobilière
la plateforme d’information mobile et web de la maintenance immobilièrela plateforme d’information mobile et web de la maintenance immobilière
la plateforme d’information mobile et web de la maintenance immobilièrepascalfievet
 
REGLAMENTO ESTUDIANTIL-UPC
REGLAMENTO ESTUDIANTIL-UPCREGLAMENTO ESTUDIANTIL-UPC
REGLAMENTO ESTUDIANTIL-UPClccabezas
 
tutorial sobre nectibles
tutorial sobre nectiblestutorial sobre nectibles
tutorial sobre nectibleslpgiraldor
 
Les acteurs du changement destinataire
Les acteurs du changement destinataireLes acteurs du changement destinataire
Les acteurs du changement destinatairestratjdc
 
Electrónica analógica
Electrónica analógicaElectrónica analógica
Electrónica analógicasonsolesbar
 

Destaque (20)

Alphorm.com Formation CEHV9 II
Alphorm.com Formation CEHV9 IIAlphorm.com Formation CEHV9 II
Alphorm.com Formation CEHV9 II
 
Lavavajillas Siemens SN24D206EU
Lavavajillas Siemens SN24D206EULavavajillas Siemens SN24D206EU
Lavavajillas Siemens SN24D206EU
 
Espace laboratoire De la place Saint-Sauveur à la rue Caponière : diagnostic ...
Espace laboratoire De la place Saint-Sauveur à la rue Caponière : diagnostic ...Espace laboratoire De la place Saint-Sauveur à la rue Caponière : diagnostic ...
Espace laboratoire De la place Saint-Sauveur à la rue Caponière : diagnostic ...
 
Facebook fusion de pages - Terre & Côte Basques
Facebook fusion de pages - Terre & Côte BasquesFacebook fusion de pages - Terre & Côte Basques
Facebook fusion de pages - Terre & Côte Basques
 
Louis 6c
Louis 6cLouis 6c
Louis 6c
 
Thermylis 2S - Atelier d'incinération de boues à 2 étages
Thermylis 2S - Atelier d'incinération de boues à 2 étagesThermylis 2S - Atelier d'incinération de boues à 2 étages
Thermylis 2S - Atelier d'incinération de boues à 2 étages
 
Exploitez tout le potentiel des réseaux sociaux avec les social ads
Exploitez tout le potentiel des réseaux sociaux avec les social adsExploitez tout le potentiel des réseaux sociaux avec les social ads
Exploitez tout le potentiel des réseaux sociaux avec les social ads
 
Noah en jonas
Noah en jonasNoah en jonas
Noah en jonas
 
Toolbox Light Entrepreneur 2012
Toolbox Light Entrepreneur 2012Toolbox Light Entrepreneur 2012
Toolbox Light Entrepreneur 2012
 
Présentation Groupe de travail "BNDMR" (BNDMR-BaMaRa)_S.Amselem
Présentation Groupe de travail "BNDMR" (BNDMR-BaMaRa)_S.AmselemPrésentation Groupe de travail "BNDMR" (BNDMR-BaMaRa)_S.Amselem
Présentation Groupe de travail "BNDMR" (BNDMR-BaMaRa)_S.Amselem
 
4. le séquençage des reformes de finances publiques
4. le séquençage des reformes de finances publiques4. le séquençage des reformes de finances publiques
4. le séquençage des reformes de finances publiques
 
Présentation de pro-info.be
Présentation de pro-info.bePrésentation de pro-info.be
Présentation de pro-info.be
 
Administracion point
Administracion pointAdministracion point
Administracion point
 
La plage
La plageLa plage
La plage
 
la plateforme d’information mobile et web de la maintenance immobilière
la plateforme d’information mobile et web de la maintenance immobilièrela plateforme d’information mobile et web de la maintenance immobilière
la plateforme d’information mobile et web de la maintenance immobilière
 
REGLAMENTO ESTUDIANTIL-UPC
REGLAMENTO ESTUDIANTIL-UPCREGLAMENTO ESTUDIANTIL-UPC
REGLAMENTO ESTUDIANTIL-UPC
 
tutorial sobre nectibles
tutorial sobre nectiblestutorial sobre nectibles
tutorial sobre nectibles
 
Les acteurs du changement destinataire
Les acteurs du changement destinataireLes acteurs du changement destinataire
Les acteurs du changement destinataire
 
La créativité
La créativitéLa créativité
La créativité
 
Electrónica analógica
Electrónica analógicaElectrónica analógica
Electrónica analógica
 

Semelhante a Comment analyser une machine linux compromise

Installation Et Configuration De Monkey Spider
Installation Et Configuration De Monkey SpiderInstallation Et Configuration De Monkey Spider
Installation Et Configuration De Monkey SpiderMohamed Ben Bouzid
 
Reverse Engineering d'un ransomware
Reverse Engineering d'un ransomwareReverse Engineering d'un ransomware
Reverse Engineering d'un ransomwareNinaSAMMUT
 
TP1 analyse de mémoire.pdf
TP1 analyse de mémoire.pdfTP1 analyse de mémoire.pdf
TP1 analyse de mémoire.pdffatima117475
 
Premiers pas avec snort
Premiers pas avec snortPremiers pas avec snort
Premiers pas avec snortFathi Ben Nasr
 
Réseaux-et-Sécurité.pdf
Réseaux-et-Sécurité.pdfRéseaux-et-Sécurité.pdf
Réseaux-et-Sécurité.pdfMoufidaHajjaj
 
Alphorm.com Formation Analyse de Malware 2/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 2/2 : Le guide completAlphorm.com Formation Analyse de Malware 2/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 2/2 : Le guide completAlphorm
 
Gestion et surveillance du reseau syslogng
Gestion et surveillance du reseau syslogngGestion et surveillance du reseau syslogng
Gestion et surveillance du reseau syslogngKiemde Franck
 
Colloque cyber 2010 les botnets
Colloque cyber 2010 les botnetsColloque cyber 2010 les botnets
Colloque cyber 2010 les botnetsmichelcusin
 
Principes de fonctionnement unix
Principes de fonctionnement unixPrincipes de fonctionnement unix
Principes de fonctionnement unixwebreaker
 
Gestion des processus
Gestion des processusGestion des processus
Gestion des processusguebba sara
 
Expose linux gestion des processus
Expose linux gestion des processusExpose linux gestion des processus
Expose linux gestion des processusFatima Zahra Fagroud
 
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Trésor-Dux LEBANDA
 
supervision réseau (snmp netflow)
supervision réseau (snmp netflow) supervision réseau (snmp netflow)
supervision réseau (snmp netflow)medalaa
 
Jabes 2015 - Poster SCD Université Nantes : "Une suite d'outils pour l'exempl...
Jabes 2015 - Poster SCD Université Nantes : "Une suite d'outils pour l'exempl...Jabes 2015 - Poster SCD Université Nantes : "Une suite d'outils pour l'exempl...
Jabes 2015 - Poster SCD Université Nantes : "Une suite d'outils pour l'exempl...ABES
 

Semelhante a Comment analyser une machine linux compromise (20)

Installation Et Configuration De Monkey Spider
Installation Et Configuration De Monkey SpiderInstallation Et Configuration De Monkey Spider
Installation Et Configuration De Monkey Spider
 
Reverse Engineering d'un ransomware
Reverse Engineering d'un ransomwareReverse Engineering d'un ransomware
Reverse Engineering d'un ransomware
 
TP1 analyse de mémoire.pdf
TP1 analyse de mémoire.pdfTP1 analyse de mémoire.pdf
TP1 analyse de mémoire.pdf
 
Premiers pas avec snort
Premiers pas avec snortPremiers pas avec snort
Premiers pas avec snort
 
Parinux 2009
Parinux 2009Parinux 2009
Parinux 2009
 
Meetup Systemd vs sysvinit
Meetup Systemd vs sysvinitMeetup Systemd vs sysvinit
Meetup Systemd vs sysvinit
 
13
1313
13
 
Réseaux-et-Sécurité.pdf
Réseaux-et-Sécurité.pdfRéseaux-et-Sécurité.pdf
Réseaux-et-Sécurité.pdf
 
Alphorm.com Formation Analyse de Malware 2/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 2/2 : Le guide completAlphorm.com Formation Analyse de Malware 2/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 2/2 : Le guide complet
 
Gestion et surveillance du reseau syslogng
Gestion et surveillance du reseau syslogngGestion et surveillance du reseau syslogng
Gestion et surveillance du reseau syslogng
 
Atelier IDS SNORT
Atelier IDS SNORTAtelier IDS SNORT
Atelier IDS SNORT
 
Colloque cyber 2010 les botnets
Colloque cyber 2010 les botnetsColloque cyber 2010 les botnets
Colloque cyber 2010 les botnets
 
Nettoyer et securiser son PC
Nettoyer et securiser son PCNettoyer et securiser son PC
Nettoyer et securiser son PC
 
Principes de fonctionnement unix
Principes de fonctionnement unixPrincipes de fonctionnement unix
Principes de fonctionnement unix
 
Gestion des processus
Gestion des processusGestion des processus
Gestion des processus
 
Expose linux gestion des processus
Expose linux gestion des processusExpose linux gestion des processus
Expose linux gestion des processus
 
Rapport projet
Rapport projetRapport projet
Rapport projet
 
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
 
supervision réseau (snmp netflow)
supervision réseau (snmp netflow) supervision réseau (snmp netflow)
supervision réseau (snmp netflow)
 
Jabes 2015 - Poster SCD Université Nantes : "Une suite d'outils pour l'exempl...
Jabes 2015 - Poster SCD Université Nantes : "Une suite d'outils pour l'exempl...Jabes 2015 - Poster SCD Université Nantes : "Une suite d'outils pour l'exempl...
Jabes 2015 - Poster SCD Université Nantes : "Une suite d'outils pour l'exempl...
 

Comment analyser une machine linux compromise

  • 1. Comment analyser une machine linux compromise Tarek MOHAMED CHFI, CEH, ESCP http://www.linkedin.com/in/tarekmed tarekmed.rachdi@gmail.com [Tapez le résumé du document ici. Il s’agit généralement d’une courte synthèse du document. Tapez le résumé du document ici. Il s’agit généralement d’une courte synthèse du document.]
  • 2. Analyse d'un système linux suite à une intrusion L’inspection d’une machine Linux, suite à une attaque (directe où indirect), suite à la détection d’un événement de sécurité suspect où suite à la détection d’un comportement virale, doit suivre une certaine logique fondamentale qui nous permettra de comprendre le scénario et préciser les vulnérabilités qui affectent notre système. L’entité chargée de la mission d’investigation doit suivre les étapes suivantes : 1) Date et temps système : L’intervenant doit extraire la date et le temps système et les synchronisés avec son horloge pour définir les écarts entre toutes les entités en relation avec la machine en question. Date et le temps système date de la machine compromise Horloge de l’analyste NB : il ya un avance de 59 seconde de la machine compromise par rapport à l’horloge de l’intervenant. 2) Connexions réseaux: a) Analyse interne : Il est très important de voir les connexions réseaux courantes (Port TCP, UDP ouvert), pour détecter les connexions suspectes, pour cela la commande «netstat» est disponible sur toutes les distributions Linux et qui nous permet d’afficher les connexions réseau ouvertes, les tables de routage, les statistiques des interfaces, les connexions masquées, les messages netlink et les membres multicast. Afin de visualiser plus de détails sur les connexions réseaux courantes vous pouvez utiliser les options de la commande « netstat» par exemple la commande « netstat –a» vous permet de visualiser les connexions et des ports en écoute sur la machine.
  • 3. Pour lister les noms des programmes qui ouvert les ports, nous allons exécuter la commande « netstat –nap». Une attaque peut modifier la table de routage pour rediriger les flux sortants de la machine, afin de surpasser à travers les règles du pare-feu. Et pour afficher la table de routage interne utilisez la commande «netstat –rn» ou à l’aide de la commande « route –c ». b) Analyse externe : Dans la plupart des incidents, les programmes malveillants (rootkits , malwares, virus,..) infectent les machines linux en modifiant leurs binaires, en particulier le binaire de « netstat » pour cacher les ports ouvertes et les connexions réseaux camouflés par les programmes malveillants. Pour cela, on va utiliser le l'analyseur réseau (sniffer) wireshark (www.wireshark.org) et le scanneur des ports Nmap ( http://nmap.org). -Wirshark : Connecter la machine de l’investigateur et la machine infectée sur le même HUB ou SWITCH (brancher la machine d’investigation sur un port mirroring pour pouvoir écouter et capter tous les trafics réseau). Ensuite, lancer wirshark et faites un filtre sur l’adresse IP de la machine infectée. Nmap : Lancer un scan avec l’outil nmap depuis l’extérieur sur la machine victime infecté pour lister tous les ports ouverts. 3) Les programmes responsables sur l’ouverture des ports (TCP, UDP) et les fichiers : Après l’identification des ports et les connexions distantes suspectes, il faut vérifier les exécutables qui ouvet les fichiers et les ports TCP et UDP, pour cela, utiliser l’outil « lsof » (LiSt Open File) et appliquer les filtres adéquats en utilisant les options de la commande « losf » suivantes :  lsof -i : afficher seulement les résultats en relation avec les services internet TCP et UDP.  lsof –i tcp : afficher seulement les résultats en relation avec les services internet TCP.  lsof –i udp : afficher seulement les résultats en relation avec les services internet UDP.
  • 4.  losf –i tcp :22 : Pour afficher seulement les résultats en relation avec les services internet TCP sur le port 22.  lsof -i @192.168.1.46 : (Pour afficher seulement les résultats en relation avec les services internet avec l’adresse IP 192.168.1.46. 4) les processus actifs : Habituellement les programmes malveillants (malwares, virus, rootkits,…) lancent des processus suspects. Donc il est très important de savoir les processus en exécutions, et pour cela il suffit d’utiliser la commande « ps -aux ». Dans l’exemple ci-dessus le processus ayant le PID=1199 est exécuté par le utilisateur root. Pour faire un filtre sur un processus vous pouvez utiliser la commande « ps –e | grep nom_process » par exemple pour vérifier le processus ssh ; « ps –e|grep ssh ». 5) Tâches planifiées et services de démarrage : D’une part, la plupart des incidents liées aux systèmes linux, l’attaquant infecte le système en mettant des tâches planifiés ou des services au démarrage qui exécutent certaines commandes ou lancent quelques processus pour ouvrir une porte dérobée sur la machine victime. Vérification des tâches planifiées : il suffit de taper « crontab –l » mais probablement l’exécutable crontab peut être compromis donc il vaut mieux observer manuellement le fichier /etc/crontab. Vérification des services de démarrage : il vaut mieux vérifier sur quel niveau les services démarrages (/etc/init.d/ et /etc/rc.local et /etc/xinit.d) sont chargés avec la commande runlevel et selon ce niveau on visualise le contenue du dossier correspondant (rc0.d/, rc1.d/, rc2.d/,rc3.d/, rc4.d/, rc5.d/, rc6.d/) et n’oubliez pas d’analyse du fichier rc.sysinit. D’autre part, l’évolution des attaques sophistiquées en particulier le rootkit kernel qui s’installe au niveau du noyau, et pour identifier les modules suspectes chargés au niveau du noyau, il suffit d’utiliser la commande « lsmod » qui affiche le nom du module, leur taille et utilisateurs. 6) Les utilisateurs et leur historique : L’identification des utilisateurs connectés sur la machine, les comptes utilisateurs et l’historique des login pour détecter les utilisateurs suspects et voir les commandes qui ont été exécuté par chaque utilisateur.  La commande « last » pour lister toutes les connexions et déconnexions des utilisateurs dans notre système qui ont journalisé dans « /var/log/wtmp »,  La commande « Lastb » se comporte comme last, mais il journalise toutes les tentatives des connexions infructueuses dans « /var/log/btmp».
  • 5.  On peut aussi utiliser la commande « last » avec leurs options par exemple « last -d» pour afficher seulement les connexions distantes ; le nom d'hôte ainsi son adresse IP.  La commande « w » pour afficher les utilisateurs qui ont actuellement connectés sur la machine sont journalisés sous le log «/var/run/utmp»  N’oubliez pas de vérifier la création de nouveaux comptes non autorisés, les comptes sans mots de passe, les changements d’UID sur les comptes déjà existant, pour cela afficher la contenu de fichier « /etc/passwd ».  La commande « history » pour voir toutes commandes exécutées par chaque utilisateur.
  • 6. 7) Intégrité des fichiers binaires : Une attaque peut modifier les binaires usuels (netstat, ls, ps, su, telnet, ifconfig, find, ...) pour cacher leur identité en cas de l’utilisation des ces binaires au cours de la mission d’investigation. Donc, il faut vérifier l’intégrité de ces programmes. Et pour la vérification de l’intégrité des binaires ;  Démarrer sur une distribution linux bootable (par exemple knoppix http://knoppix.net) .Utiliser l’outil « md5sum » de la distribution bootable pour calculer les signatures des binaires de la machine victime, les signatures de la distribution bootable et comparer les deux résultats, si deux signatures d’un même binaires différents alors la machine est certainement compromise par un rootkit.  Ttapez les commandes avec des options réellement inexistants tel que « -/ » (' netstat -/ ', ' ps -/ ', ' ls-/’,..) , ces essais ne devraient retourner que des erreurs ; dans le cas contraire, la machine est certainement compromise par un rootkit. 8) Recherche des fichiers cachés : Généralement un intrus ou un malware dépose souvent dans un répertoire utilisateur, des répertoires cachés avec des noms inhabituels (deux points suivis d’un espace, trois points, deux points suivis d’un control G) ou bien des fichiers dont le nom paraîtrait normal à première vue (".XX" ou ".mail"). Pour chercher ces dossiers cachés on va utiliser la commande suivante : find / -name ".. " -print ou find / -name ".*" -print. 9) Recherche des fichiers setuid et setgid : Recherchez les fichiers setuid et setgid (en particulier les fichiers setuid) dans toute l’arborescence. Tout processus exécutant un fichier ayant setuid peut exécuter ces tâches avec des permissions de super utilisateur root. En effet, la plupart des intrus laissent des exécutables setuid pour pouvoir l’utiliser ultérieurement. Vous pouvez utiliser les commandes suivantes afin de rechercher les fichiers setuid et setgid : find / -user root -perm -4000 -print find / -group root -perm -2000 -print