Académique Documents
Professionnel Documents
Culture Documents
sites outre atlantique sous forme d'URL, pour des documents ou des
produits.
SVP, verifier s'ils ne sont pas deja soit ici, soit sur ftp.urec.fr.
==========================================================================
(aussi Ici
Via FTP
Ici (Rennes)
A. Comment d�terminer si votre syst�me � �t� "compromis" (attaqu� avec succ�s
! ).
1. Examinez les fichiers log tels que 'last'-log, comptabilit� des activit�s,
syslog et security log, afin de d�tecter des acc�s de provenance
inhabituelle,
ou des activit�s non usuelles.
Notez que ceci n'est pas fiable � 100 pour 100, beaucoup d'intrus �ditent
les
fichiers d'"accounting" afin de cacher leur activit�.
3. Rechercher partout dans votre syst�me des fichiers ayant un setuid ( suid
root surtout ).
Les pirates laissent souvent des copies de /bin/sh avec setuid afin
d'avoir un acc�s
root ult�rieurement.
La commande UNIX find peut �tre utilis�e pour "chasser" ces fichiers
Une autre fa�on de chercher les fichiers setuid est d'utiliser la commande
ncheck sur
chaque partition.
Par exemple, utilisez la commande suivante pour rechercher les fichiers
setuid et
sp�ciaux sur la partition /dev/rsd0g :
ncheck -s /dev/rsd0g
4. Testez les binaires de votre syst�me afin �tre s�r qu'il n'ont pas �t�
modifi�s.
Des fichiers tels que login, su, telnet, netstat, ifconfig, ls, find, du,
df, libc,
sync, et autres binaires vis�s par inetd.conf ou tout autre programme
'critique'
r�seau et syst�me ont �t� par le pass� modifi�s par les pirates.
Sur les syst�mes VMS, voir les programmes loginout.exe et show.exe.
Comparez les versions sur votre syst�me avec de 'bonnes copies' telles que
celles
fournies sur les bandes d'initialisation (CD-ROM).
Soyez circonspects vis � vis de vos 'backups' (sauvegardes), ils peuvent
eux aussi
contenir des chevaux de Troie.
Les programmes des chevaux de Troie peuvent produire les m�mes 'checksumm'
standard
et date que la version l�gitime; c'est pourquoi la commande UNIX sum et
les dates
associ�es aux programmes ne sont pas suffisants pour d�terminer si les
programmes
ont �t� remplac�s.
fournie par ces outils n'�tant pas modifiable par les intrus.
5. Examinez tous les fichiers lanc�s par cron et at : les pirates peuvent
laisser des
entr�es de service dans les fichiers lanc�s par cron ou soumis � at.
Ces techniques peuvent permettre le retour des intrus m�me apr�s que vous
les ayez
'chass�s' de votre syst�me.
V�rifiez bien aussi que tous les fichiers r�f�renc�s, directement ou
indirectement,
par les 'jobs' cron et at ainsi que les fichiers 'jobs' (scripts) eux-
m�mes ne sont
pas accessibles en �criture par tout le monde.
8. Examinez toutes les machines sur le r�seau local lorsque vous recherchez
des signes
d'une intrusion. La plupart du temps, si une machine � �t� pirat�e, les
autres sur le
r�seau l'ont �t� aussi. C'est surtout vrai sur les r�seau o� tourne NIS et
o� les
serveurs s'autorisent les un les autres � travers l'usage des fichiers
.rhosts ou
/etc/hosts.equiv. V�rifiez donc tous les serveurs avec lesquels vos
"users" partagent
des acc�s.
B. Les probl�mes de configuration des syst�mes UNIX qui ont �t� exploit�s.
Les intrus utilisent souvent finger ou ruser pour d�couvrir les noms des
comptes et
essayent des mots de passe simples. Persuadez vos utilisateurs de choisir
des mots
de passe difficiles � deviner (par exemple, mots qui ne sont dans aucun
dictionnaire
quelle que soit la langue; pas de nom propre, y compris les noms de
personnages
c�l�bres r�els ou imaginaires, pas d'acronymes qui sont communs aux
professionnels
de l'informatique, pas de variations simples du nom ou du pr�nom).
De plus recommandez � vos utilisateurs de ne laisser des informations
en clair sur les nom d'utilisateur/mot de passe sur quelque machine que ce
soit.
Si des intrus peuvent obtenir un fichier passwd, ils le copient sur une
autre
machine, et font tourner un programme de recherche des mots de passe qui
incluent des recherches dans de gros dictionnaires et travaillent
rapidement
m�me sur des machines lentes. La plupart des syst�mes o� on n'a mis aucun
contr�le sur les mots de passe en ont au moins un qui peut �tre facilement
trouv�.
Si vous pensez que le fichier passwd peut avoir �t� copi�, changez tous
les mots de passe. � tout le moins, les mots de passe syst�me, un intrus
peut
se concentrer sur eux et peut �tre capable de deviner m�me un 'bon' mot
passe.
Les intrus utilisent les mots de passe par d�faut qui n'ont pas �t�
chang�s
depuis l'installation, y compris le comptes avec des mots de passe fournis
par
le distributeur. Assurez vous de changer tous les mots de passe par d�faut
lorsque
le logiciel est install�.
Soyez attentifs au fait que les mises � jour peuvent changer les mots de
passe
de comptes par de nouveaux mots de passe par d�faut.
Mieux vaut changer les mots de passe des comptes par d�faut apr�s mise �
jour.
Scrutez votre fichier passwd et rep�rez les comptes avec UID 0
suppl�mentaires,
les comptes sans mot de passe, tous les nouveaux comptes.
N'autorisez pas les comptes sans mot de passe.
Supprimez les comptes inutilis�s.
Pour interdire un compte, changez le champ mot de passe du fichier
/etc/passwd
avec une ast�risque '*' et changez le login shell par /bin/false afin �tre
s�r
qu'un intrus ne peut se 'loger' depuis une machine du r�seau.
M�me quand d'excellents mots de passe sont choisis, ils sont envoy�s en
clair
� travers les r�seaux (locaux ou publics), ils sont susceptibles d'�tre
capt�s
par des programmes 'sniffeurs/renifleurs'.
Nous recommandons de changer pour des mots de passe � usage unique,
sp�cialement pour les acc�s authentifi�s en provenance de r�seaux
ext�rieurs,
ou pour des acc�s � des ressources sensibles telles les serveurs de nom ou
les routeurs. Pour plus d'information voir :
info.cert.org:/pub/tech_tidbits/one-time-passwords.
(n'existe pas , j'ai poste un mail au CERT)
get /etc/motd
5. Vuln�rabilit�s du sendmail.
vuln�rabilit�s.
Pour statuer sur la version de sendmail que vous utilisez, utilisez telnet
telnet machine.domaine.pays 25
info.cert.org:/pub/tech_tips/anonymous_ftp.
Les intrus utilisent souvent les mots de passe par d�faut qui n'ont pas
�t� chang�s depuis l'installation. Assurez vous de changer tous les mots
de passe par d�faut lorsque le syst�me est install�.
Soyez attentifs au fait que des mise � jour de logiciels peuvent,
sans pr�venir, remettre des mots de passe par d�faut. Il est pr�f�rable de
----------------------------------------------------------------------------------
---
La section D a �t� supprim�e de ce document.