GNU/Linux >> Tutoriels Linux >  >> Linux

Enquêter sur un serveur Windows compromis

Cet article vous aide à comprendre et à identifier les indications d'un serveur Windows® compromis. Il s'agit d'un document de très haut niveau, que vous pouvez utiliser comme ressource pour rechercher un problème potentiel plutôt que de résoudre un serveur compromis.

Types de compromis

Cet article traite de deux types de compromis :au niveau de l'application et au niveau du système ou au niveau de la racine. Ceux-ci sont assez graves et nécessitent souvent un plan de reprise après sinistre robuste pour les atténuer.

Compromise au niveau de l'application

Une compromission au niveau de l'application se produit lorsqu'un service ou un utilisateur de bas niveau est compromis. Les compromis typiques de ce groupe incluent les problèmes suivants :

  • Dégradation du site
  • Marquage FTP
  • Manipulation de fichiers FTP
  • Injection SQL

Ce type de compromis peut altérer les données sur le serveur. Cependant, ils n'obtiennent jamais un accès administratif ou de niveau racine sur le serveur. Dans ces cas, vous pourrez peut-être identifier et sécuriser la vulnérabilité. La sécurisation de la vulnérabilité au niveau de l'application peut impliquer la suppression de l'accès en écriture d'un utilisateur Web anonyme, la suppression des virus d'un serveur ou la sécurisation d'une application via les correctifs disponibles. Pour réparer les fichiers modifiés, vous devez restaurer à partir de la sauvegarde.

Compromise administrative, système ou racine

Ce type de compromis a lieu lorsqu'un attaquant obtient un accès administratif au système et peut inclure les problèmes suivants :

  • Service compromis exécuté en tant que System , LocalService , ou Administrative utilisateur
  • Compte utilisateur compromis disposant de droits d'administration
  • Accès via un utilisateur non administrateur à un emplacement réservé aux utilisateurs administratifs (tels que les répertoires système, etc.)
  • Virus détecté dans le répertoire système ou administratif
  • Activité réseau sortante visiblement malveillante
  • Injection SQL (inclut l'exécution de commandes)

Important : Lorsqu'un attaquant obtient ce niveau d'accès, vous ne pouvez pas déterminer les modifications qui se sont produites au cours de la compromission.

Outils Windows que vous pouvez utiliser pour rechercher un compromis

  • Liste de tâches : Outil de ligne de commande fournissant des détails sur les processus et les services du système
  • Gestionnaire de tâches : Outil graphique fournissant des détails sur les processus, les statistiques des ressources et l'activité du réseau dans le système
  • Gestionnaire des ressources : Outil graphique similaire à Taskmanager maisfournir plus de détails sur l'utilisation des ressources

Explorer un serveur compromis

Pour explorer une éventuelle situation de compromission, effectuez les tâches suivantes, décrites dans cette section :

  • Identifiez le compromis
  • Examiner les processus
  • Passer en revue les services
  • Passer en revue les utilisateurs

Identifier le compromis

Une utilisation inattendue et soutenue de la bande passante est souvent un symptôme courant. Étant donné que les attaquants compromettent généralement les systèmes dans l'intention d'y exécuter un service réseau, un service peut être en cours d'exécution sur le système. L'écoute d'un port étrange peut donc indiquer un serveur compromis.

  • Pour vérifier les connexions réseau pour TCP, exécutez la commande suivante :

    NetStat -naop 'TCP'

  • Pour vérifier les connexions réseau pour UDP, exécutez la commande suivante :

    NetStat** -naop 'UDP'

  • Pour compter des connexions spécifiques, exécutez l'une des commandes suivantes :

    NetStat** -naop 'TCP'

find /c ":<port>"

Remarque : Le TCP Sysinterne view offre des outils graphiques alternatifs pour cette revue.

Revoir les processus

Identifiez tout processus suspect. Un serveur compromis a probablement un ou plusieurs processus malveillants en cours d'exécution. Vous pouvez parfois les identifier car ils contiennent des fautes de frappe, des erreurs de grammaire ou une description suspecte.

  • Pour répertorier les processus en cours d'exécution sur le système, exécutez la commande suivante :

    Tasklist /FI "USERNAME ne NT AUTHORITY\SYSTEM" /FI "STATUS eq running"

  • Pour lister les processus définis en tant que service, exécutez la commande suivante :

    Tasklist /svc

  • Pour répertorier un instantané du processus en cours d'exécution avec la même sortie que la liste des processus du gestionnaire de tâches, exécutez la commande suivante :

    Get-Process

  • Pour répertorier les processus et l'utilisateur sous lequel ils s'exécutent, exécutez l'une des commandes suivantes :

    gwmi win32_process

select Name, @{l="User name";e={$_.getowner().user}}

Passer en revue les services

Recherchez les fautes de frappe, les erreurs de grammaire ou les descriptions suspectes. Si un service semble douteux, examinez les propriétés et les dépendances. Déterminez également si le fichier est exécutable. Utiliser l'interface graphique des services pour afficher les services en cours d'exécution.

  • Pour répertorier les services en cours d'exécution, exécutez la commande suivante :

    get-service | where-object {$_.Status -eq "Running"}

Passer en revue les utilisateurs

Pour savoir si un serveur est compromis et identifier rapidement une mauvaise configuration, passez en revue les comptes d'utilisateurs de base.

  • Pour identifier les comptes d'utilisateurs inconnus ou aux noms inhabituels en répertoriant les utilisateurs configurés, exécutez la commande suivante :

    net user

  • Pour identifier les utilisateurs inconnus dans le groupe Administrateurs local en répertoriant les administrateurs configurés, exécutez la commande suivante :

    net localgroup Administrators

  • Pour voir si un compte invité est activé et dans le groupe Administrateurs, exécutez la commande suivante :

    net user guest

Outils disponibles auprès de Microsoft Sysinternals

Pour plus d'informations, consultez les sources suivantes :

  • Documentation pour Sysinternals
  • Lien en direct vers les outils sysinternal
  • Sophos AntiRootkit

Utilisez l'onglet Commentaires pour faire des commentaires ou poser des questions. Vous pouvez également entamer une conversation avec nous.


Linux

  1. Hébergement Windows DotNetPanel

  2. Ajouter une adresse IP à un serveur Windows

  3. Installer IIS sur Windows 2012

  4. Préparer la migration d'un serveur Windows

  5. Serveur VNC sans système X Window

Installer des certificats SSL sur un serveur Windows

L'utilisateur est verrouillé dans Windows

Mise à jour du système du serveur Plesk

Serveur de surveillance Graylog sur Ubuntu Linux pour la surveillance du serveur/des services

Installer FTP sur Windows Server 2012 (R2)

Dois-je choisir Linux Server ou Windows ?