 |
Détection d'attaques - Contrôle d'intégrité des serveurs
 |
 |
 |
Contrôle d'intégrité
Lorsqu'un serveur a été compromis, le pirate masque généralement son passage en supprimant les traces dans les journaux d'activités. Par ailleurs, il installe un certain nombre d'outils lui permettant de créer une porte dérobée, afin d'être à même de pouvoir revenir ultérieurement.
Nec plus ultra, le pirate pense généralement à corriger la vulnérabilité lui ayant permis de s'introduire afin d'éviter que d'autres pirates s'infiltrent.
Sa présence sur un serveur peut néanmoins être trahie par un certains nombre de commandes d'administration permettant d'afficher la liste des processus en cours ou bien tout simplement les utilisateurs connectés à la machine. Il existe ainsi des logiciels, appelés rootkits, chargés d'écraser la plupart des outils du système et de les remplacer par des commandes équivalentes masquant la présence du pirate.
Il est donc aisé de comprendre qu'en l'absence de détérioration il peut être très difficile pour un administrateur de s'apercevoir qu'une machine a été compromise. Une des premières actions lors de la découverte d'une compromission consiste à dater la compromission afin d'évaluer l'étendue potentielle sur les autres serveurs.
En effet, d'une manière générale les serveurs stockent dans des fichiers une trace de leur activité et en particulier des erreurs rencontrées.
Or, lors d'une attaque informatique il est rare que le pirate parvienne à compromettre un système du premier coup. Il agit la plupart du temps par tâtonnement, en essayant différentes requêtes.
Ainsi la surveillance des journaux permet de détecter une activité suspecte. Il est en particulier important de surveiller les journaux d'activité des dispositifs de protection car tout aussi bien configuré qu'il soient, il se peut qu'ils soient un jour la cible d'une attaque.
Analyse de la présence de rootkits
Il existe certains logiciels (chkrootkit par exemple) permettant de vérifier la présence de rootkirs sur le système. Néanmoins, afin de pouvoir utiliser ce type d'outils, il est essentiel d'être certain de l'intégrité de l'outil et de l'affichage qu'il délivre. Or, un système compromis ne peut pas être considéré comme fiable.
Analyse d'intégrité
Afin de s'assurer de l'intégrité d'un système, il est donc nécessaire de détecter les compromissions en amont. C'est ainsi l'objectif poursuivi par les contôleurs d'intégrité tel que Tripwire.
Le logiciel Tripwire, développé à l'origine par Eugène Spafford et gene Kim en 1992, permet d'assurer l'intégrité des systèmes en surveillant de façon permanente les modifications apportées à certains fichiers ou répertoires. Tripwire effectie en effet un contrôle d'intégrité et maintient à jour une base de signature. A intervalles réguliers il inspecte notamment les caractéristiques suivantes des fichiers afin d'identifier les modifications et les éventuelles compromissions :
- permissions ;
- date de dernière modification ;
- date d'accès ;
- taille du fichier ;
- signature du fichier.
Les alertes sont envoyées par courrier électronique, de préférence sur un serveur distant, afin d'éviter tout effacement de la part du pirate.
Limites du contrôle d'intégrité
Afin de pouvoir s'appuyer sur les résultats d'un contrôleur d'intégrité il est essentiel d'être sûr de l'intégrité de la machine lors de l'installation. Il est également très difficile de configurer ce type de logiciel tant le nombre potentiel de fichiers à surveiller peut être important. De plus, lors de l'installation de nouvelles applications il est indispensable de mettre leurs fichiers de configuration sous contrôle.
Par ailleurs, ce type de solution est susceptible d'envoyer un grand nombre de fausses alertes, notamment lorsque le système modifie seul des fichiers de configuration ou lors de mises à jour du système.
Enfin, si la machine est effectivement compromise, il est possible que le pirate tentera de compromettre le contrôleur d'intégrité avant la prochaine mise à jour, d'où l'importance de stocker les alertes sur une machine distante ou bien un support externe non réinscriptible.
Ressources
Article rédigé le 22 mai 2006 par Jean-François PILLOU.
Trucs & astuces pertinents trouvés dans la base de connaissances
| 25/01 15h07 |  Se connecter à un serveur FTP en mode Ms-Dos (MS-Dos) |
|
| 23/01 16h50 | Installer un serveur derrière FreeBox/ Neuf/AOL/Alice / Live Box (Réseaux) |
|
| 23/01 16h49 | Installation d'un serveur ssh sous Windows (Réseaux) |
|
| 15/11 19h10 | Serveur introuvable (Réseaux) |
|
| 31/10 09h20 | Un minuscule serveur web sous Windows (Web) |
|
| 29/09 13h56 | Le serveur RPC n'est pas disponible (Imprimantes) |
|
| 28/09 13h29 | Installer un serveur FTP (FTP) |
|
| 22/09 11h23 | Démarrer 2 serveur X (X-Window) |
|
| 26/03 12h53 | Installation serveur Samba (Réseaux) |
|
| 17/01 12h21 | Réponse du serveur : 554 Access denied (0x800CCC79) (Microsoft Outlook) |
|
 Plus d'astuces sur « Integrite serveur » | ||
Discussions pertinentes trouvées dans le forum
| 02/01 11h30 |  creation de serveur |
Internet | 13/02 21h31->Masahiro | 190 |
| 30/10 10h42 | monter un serveur ssh |
Virus/Sécurité | 14/02 09h49->sebsauvage | 59 |
| 17/04 03h20 | Comment faire un serveur html |
Internet | 19/02 15h11->loutalie | 26 |
| 21/03 21h28 | Incapable de rejoindre mon serveur web |
Réseaux | 06/04 19h59->Equilirius | 22 |
| 27/04 16h30 | [Erreur] Connexion au serveur POP impossible |
Internet | 07/03 00h53->mél | 20 |
| 31/12 18h10 | Configurer la LIVE BOX pour serveur dedier cs |
Réseaux | 18/03 11h00->grdscarabee | 19 |
| 11/05 15h36 | Serveur FTP (proftpd) avec No-Ip |
Linux/Unix | 12/05 23h32->__fabrice | 18 |
| 06/10 19h19 | Probleme Linksys et serveur JS100 |
Réseaux | 11/10 21h20->Scarface41 | 17 |
| 18/03 13h37 | [PHP] Uploader sur un serveur FTP => problème |
Webmastering | 12/05 22h24->Thom@s | 16 |
| 20/06 14h19 | Download fichier sur serveur |
Webmastering | 10/07 16h41->pour_quoi_pas | 16 |
 Discussion fermée
Problème résolu |
Plus de discussions sur « Integrite serveur » | |||