GNU/Linux >> Tutoriels Linux >  >> Linux

Rechercher un compromis de sécurité :portes dérobées et intrus

Les serveurs cloud peuvent être compromis par divers facteurs :mots de passe faibles, tables IP faibles, anciennes versions logicielles avec des exploits connus, etc.

Si votre serveur cloud a été compromis, ne paniquez pas. La panique conduit à de mauvaises décisions, ce qui pourrait aggraver la situation. Au lieu de cela, essayez de comprendre ce qui s'est passé et assurez-vous que votre serveur cloud n'est pas à nouveau compromis de la même manière. Le but de cet article est de vous aider à apprendre de vos erreurs et à éviter de répéter les mêmes erreurs.

Cet article décrit certaines techniques et outils que vous pouvez utiliser pour enquêter sur vos serveurs si vous pensez qu'ils ont été compromis. Vous devez utiliser ces outils avant de passer en mode de secours (consultez Recherche d'un compromis de sécurité :enquête en mode de secours pour plus d'informations sur le mode de secours). Le serveur cloud utilisé pour cet article exécutait Ubuntu® 8.10. Cependant, les étapes présentées sont similaires pour les autres distributions Linux®.

Avertissement important

Avant de poursuivre, vous devez prendre une décision importante. Prévoyez-vous d'impliquer les forces de l'ordre et de poursuivre l'agresseur ? Si vous le faites, laissez le système compromis seul et n'y apportez aucune modification. Tout changement que vous apporterez après l'attaque pourrait altérer les preuves et compliquer l'enquête. Pour cette raison, une politique courante consiste à éteindre un système après la détection d'un compromis et à le laisser éteint jusqu'à ce que les forces de l'ordre soient prêtes à enquêter.

Vérifier les connexions réseau

Commencez votre enquête en vérifiant les connexions réseau de votre serveur cloud.

Utilisez le netstat -an , qui produit une sortie similaire à l'exemple suivant, pour vérifier les portes dérobées qui sont ouvertes sur votre serveur cloud.

netstat -an
Active Internet connections (servers and established)
Proto Recv-Q Send-Q             Local Address                     Foreign Address            State
tcp        0               0                         0.0.0.0:22                               0.0.0.0:*                  LISTEN
tcp        0               0                         0.0.0.0:80                               0.0.0.0:*                  LISTEN
tcp        0               0                         0.0.0.0:25                               0.0.0.0:*                  LISTEN
tcp        0             284                      1.2.3.4:6697                           5.6.7.8:34506              ESTABLISHED

Dans cet exemple, le port 6697 est ouvert. Ce port est couramment utilisé par les serveurs Internet Relay Chat (IRC). À moins que vous n'utilisiez votre propre serveur de chat, ce n'est pas bon signe. Vous pouvez découvrir toutes les connexions à ce port en utilisant le tcpdump suivant commande :

tcpdump src port 6697

Cette commande capture tous les paquets avec le port de destination 6697.

Utiliser lsof

De nombreux systèmes basés sur UNIX® utilisent la liste des fichiers ouverts (lsof ) utilitaire de ligne de commande pour générer une liste de tous les fichiers ouverts et des processus qui les ont ouverts. Par défaut, Linux traite tout, y compris les périphériques, comme un fichier. Cela fait lsof un outil très puissant.

Toutes les machines virtuelles (VM) n'ont pas lsof installé par défaut, vous devrez donc peut-être l'installer en utilisant yum ou apt-get si vous voyez la réponse suivante :

-bash: lsof: command not found

Par exemple, vous pouvez utiliser lsof pour voir quel utilisateur a ouvert un fichier particulier :

sudo lsof /etc/passwd

Si vous découvrez le nom d'utilisateur sous le contrôle de l'intrus, vous pouvez utiliser lsof pour afficher tous les processus en cours de l'intrus :

sudo lsof -u hisUserName

lsof vous aide également à vérifier vos connexions réseau. Il est important d'étudier divers aspects de votre serveur cloud avec plusieurs outils, car si vous pensez que le système est compromis, vous ne pouvez pas être sûr des commandes qui fourniront des résultats fiables. Aussi, lsof fournit quelques options que netstat pas.

Pour répertorier tous les sockets IP (Internet Protocol) ouverts associés au serveur Secure Shell (SSH) de votre serveur cloud, exécutez la commande suivante :

sudo lsof -i:22

Résumé

Dans cet article, vous avez appris quelques techniques pour découvrir les portes dérobées et suivre les intrus sur votre serveur. Ces techniques vous aident à éviter de répéter la situation ou l'erreur qui a conduit au compromis, de sorte que vous êtes moins susceptible d'être à nouveau piraté de la même manière. Dans l'article suivant, Recherche d'un compromis de sécurité :enquête en mode de secours, vous apprendrez à enquêter sur votre serveur cloud en mode de secours.


Linux

  1. Top 6 des distributions Linux gratuites et open-source pour le piratage

  2. Comment vérifier l'intégralité du disque dur pour les erreurs et les secteurs défectueux ?

  3. Ramenez l'espace arrière à Nautilus (3.18+) une fois pour toutes ! ?

  4. Vérifier la validité IP

  5. Bash Shell Script - Recherchez un indicateur et saisissez sa valeur

Meilleures pratiques DNS pour la sécurité et les performances

Comment vérifier les vulnérabilités Meltdown et Spectre et les corriger sous Linux

Fail2ban sur Linux :un outil de sécurité Internet et utilitaire pour l'administrateur de serveur

Parrot OS Une distribution Linux pour les pentesters, les analystes de la sécurité et les pirates

Les 8 meilleurs téléphones sécurisés Linux pour la confidentialité et la sécurité

Autoconf vérifie le programme et échoue s'il n'est pas trouvé