Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 06-12-2012 22:50:46

Y316
Membre
Distrib. : stretch/sid
Noyau : 4.3.0-1-amd64
Inscription : 15-11-2012

Sécurité : Chercher l'intrus.

Bonjour,
mes questions sont dans le titre : 
- comment détecter une possible intrusion ?
- comment surveiller le système ?
- quels "signes" peut-on observer au quotidien ?

Debian 8.3 (jessie)  + la pire ICC que vous ayez probablement jamais rencontré.

Hors ligne

#2 06-12-2012 22:54:02

MaTTuX_
La Paillasse !!!
Lieu : Zoubidou-Land
Distrib. : 75 serveurs
Noyau : 3.2.0-4-amd64
(G)UI : tty et ... pas gnome en tout cas....
Inscription : 28-05-2007
Site Web

Re : Sécurité : Chercher l'intrus.

Détecter l'intrus on peut utiliser : les rootkits
Surveiller, lire les logs, on peut utiliser des outils pour ça aussi tel que nagios pour le reseau par exemple.
Pour les signes faut lire les logs, voir comment tourne ton serveur ou pc de bureau.

Salutation

\o/ Le closedSource c'est tabou on a viendra tous à bout \o/

Hors ligne

#3 07-12-2012 09:59:23

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : Sécurité : Chercher l'intrus.

Vivement un TP dans le wiki. big_smile

I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#4 07-12-2012 17:01:11

lorus
Modérateur
Lieu : /var/log/snort/alert
Distrib. : Debian Squeeze/Wheezy/Freebsd amd64
Noyau : 2.6.32 / 3.2/
(G)UI : Gnome 2.30.2 / 3.2.4 / (bsd)2.32.1
Inscription : 25-07-2010

Re : Sécurité : Chercher l'intrus.

Il y a une commande assez complète pour les ports en écoute sur ta machine et voir les processus associés...

# netstat -aln | grep -i listen



Retour de cette commande chez moi

tcp        0      0 0.0.0.0:41483           0.0.0.0:*               LISTEN    
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN    
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN    
unix  2      [ ACC ]     STREAM     LISTENING     12972    @/tmp/.ICE-unix/7996
unix  2      [ ACC ]     STREAM     LISTENING     6362     @/tmp/dbus-PiD3wEIws1
unix  2      [ ACC ]     STREAM     LISTENING     4529     /var/run/dbus/system_bus_socket
unix  2      [ ACC ]     STREAM     LISTENING     7905     /tmp/orbit-lorus/linc-897-0-7527d128bf412
unix  2      [ ACC ]     STREAM     LISTENING     10113    /tmp/orbit-lorus/linc-d1c-0-e1f34b6a523f
unix  2      [ ACC ]     STREAM     LISTENING     5286     @/tmp/gdm-session-GbBZXyCD
unix  2      [ ACC ]     STREAM     LISTENING     11591    /tmp/.X11-unix/X1
unix  2      [ ACC ]     STREAM     LISTENING     11590    @/tmp/.X11-unix/X1
unix  2      [ ACC ]     STREAM     LISTENING     4917     @/tmp/.X11-unix/X0
unix  2      [ ACC ]     STREAM     LISTENING     12933    /tmp/ssh-AZTbNL7996/agent.7996
unix  2      [ ACC ]     STREAM     LISTENING     12973    /tmp/.ICE-unix/7996
unix  2      [ ACC ]     STREAM     LISTENING     4918     /tmp/.X11-unix/X0
unix  2      [ ACC ]     STREAM     LISTENING     11855    @/tmp/gdm-session-ZikboBAH
unix  2      [ ACC ]     STREAM     LISTENING     12995    /tmp/orbit-lorus/linc-1f62-0-61fa413fad40
unix  2      [ ACC ]     STREAM     LISTENING     13154    /tmp/orbit-lorus/linc-1f3c-0-7400fb6e12150
unix  2      [ ACC ]     STREAM     LISTENING     13215    /tmp/keyring-Bt6bnT/ssh
unix  2      [ ACC ]     STREAM     LISTENING     13334    /tmp/keyring-Bt6bnT/pkcs11
unix  2      [ ACC ]     STREAM     LISTENING     20474    /home/lorus/.moc/socket2
unix  2      [ ACC ]     STREAM     LISTENING     13355    /tmp/orbit-lorus/linc-1f69-0-5c3fdad278b8c
unix  2      [ ACC ]     STREAM     LISTENING     12371    /tmp/orbit-Debian-gdm/linc-1efb-0-784ead17c216
unix  2      [ ACC ]     STREAM     LISTENING     13367    /tmp/orbit-lorus/linc-1f68-0-4b5e8a507d38f
unix  2      [ ACC ]     STREAM     LISTENING     13872    /tmp/orbit-lorus/linc-1f8b-0-695162a313fcc
 



tu as les ports tcp (mon pare feu est activé, m'en fou) et les ports unix, ça peut être bien pour trouver les rootkits big_smile


Si vous êtes fan du « Si ce n’est pas cassé, ne le corrigez pas » , vous serez un grand fan de BSD. Mais si vous êtes du genre à avoir besoin que tout soit le plus récent possible, vous feriez mieux de migrer vers Linux aussi vite que possible histoire de ne pas être à la traîne.BSD a un système de base comprenant de nombreux outils, ils sont tous développés et packagés ensemble pour être cohésif.

Hors ligne

#5 07-12-2012 17:45:03

Y316
Membre
Distrib. : stretch/sid
Noyau : 4.3.0-1-amd64
Inscription : 15-11-2012

Re : Sécurité : Chercher l'intrus.

Merci.
Hélas, je suis incapable de "lire" un tel retour de commande.
# netstat -aln | grep -i listen

netstat; |; grep; listen je comprends
mais il me manque la signification du principal : -aln et -i .

Debian 8.3 (jessie)  + la pire ICC que vous ayez probablement jamais rencontré.

Hors ligne

#6 07-12-2012 18:52:52

lorus
Modérateur
Lieu : /var/log/snort/alert
Distrib. : Debian Squeeze/Wheezy/Freebsd amd64
Noyau : 2.6.32 / 3.2/
(G)UI : Gnome 2.30.2 / 3.2.4 / (bsd)2.32.1
Inscription : 25-07-2010

Re : Sécurité : Chercher l'intrus.

Dans le même genre, il y a celle ci :

# netstat -tulp


V'la ti pas qui cause:

root@anonyme:/home/lorus# netstat -tulp
Connexions Internet actives (seulement serveurs)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat        PID/Program name
tcp        0      0 *:41483                 *:*                     LISTEN      1070/rpc.statd  
tcp        0      0 *:sunrpc                *:*                     LISTEN      1058/portmap    
tcp        0      0 localhost:ipp           *:*                     LISTEN      1835/cupsd      
udp        0      0 *:822                   *:*                                 1070/rpc.statd  
udp        0      0 *:55487                 *:*                                 1735/avahi-daemon:
udp        0      0 *:bootpc                *:*                                 1765/dhclient  
udp        0      0 *:mdns                  *:*                                 1735/avahi-daemon:
udp        0      0 *:47466                 *:*                                 1070/rpc.statd  
udp        0      0 *:sunrpc                *:*                                 1058/portmap    
udp        0      0 *:ipp                   *:*                                 1835/cupsd



t=tcp, u=udp, l=socket en état listen, p=affiche le nom et le PID des processus propriétaires de chaque socket décrite

tu peux faire une variante avec deux éléments ci dessus:
u=udp, t=tcp, a=all

root@anonyme:/home/lorus# netstat -uta
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat      
tcp        0      0 *:41483                 *:*                     LISTEN    
tcp        0      0 *:sunrpc                *:*                     LISTEN    
tcp        0      0 localhost:ipp           *:*                     LISTEN    
tcp        0      0 192.168.1.11:58419      web.tuxfamily.net:www   TIME_WAIT  
tcp        0      1 192.168.1.11:56481      wb-in-f105.1e100.ne:www FIN_WAIT1  
udp        0      0 *:822                   *:*                                
udp        0      0 *:55487                 *:*                                
udp        0      0 *:bootpc                *:*                                
udp        0      0 *:mdns                  *:*                                
udp        0      0 *:47466                 *:*                                
udp        0      0 *:sunrpc                *:*                                
udp        0      0 *:ipp                   *:*  



Voilà principalement les commandes que j'utilise. Sinon tu as le man de netstat wink
smile


Si vous êtes fan du « Si ce n’est pas cassé, ne le corrigez pas » , vous serez un grand fan de BSD. Mais si vous êtes du genre à avoir besoin que tout soit le plus récent possible, vous feriez mieux de migrer vers Linux aussi vite que possible histoire de ne pas être à la traîne.BSD a un système de base comprenant de nombreux outils, ils sont tous développés et packagés ensemble pour être cohésif.

Hors ligne

#7 08-12-2012 00:40:23

MaTTuX_
La Paillasse !!!
Lieu : Zoubidou-Land
Distrib. : 75 serveurs
Noyau : 3.2.0-4-amd64
(G)UI : tty et ... pas gnome en tout cas....
Inscription : 28-05-2007
Site Web

Re : Sécurité : Chercher l'intrus.

paskal a écrit :

Vivement un TP dans le wiki. big_smile

Tu dis ça pour moi ? lol


\o/ Le closedSource c'est tabou on a viendra tous à bout \o/

Hors ligne

#8 08-12-2012 10:49:35

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : Sécurité : Chercher l'intrus.

Nan, mais comme tu te proposes si gentiment ... big_smile

I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#9 08-12-2012 10:53:38

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Sid/Rc-Buggy
Noyau : Linux (≥ 4.3)
(G)UI : i3-wm (≥ 4.11)
Inscription : 07-07-2008
Site Web

Re : Sécurité : Chercher l'intrus.

Ah, quel homme ce MaTTuX_ et quelles bonnes initiatives ! smile C'est pas notre chef pour rien lol

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#10 08-12-2012 10:59:08

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 8 (jessie) 64 bits + backports
Noyau : 4.6.0-0.bpo.1-amd64
(G)UI : gnome 3.14.1
Inscription : 21-10-2008

Re : Sécurité : Chercher l'intrus.

Y donne l'exemple du dévouement à tous !
lol

Dernière modification par smolski (08-12-2012 11:02:39)


"Définition d'eric besson : S'il fallait en chier des tonnes pour devenir ministre, il aurait 2 trous du cul." - JP Douillon
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

Hors ligne

#11 08-12-2012 17:55:42

MaTTuX_
La Paillasse !!!
Lieu : Zoubidou-Land
Distrib. : 75 serveurs
Noyau : 3.2.0-4-amd64
(G)UI : tty et ... pas gnome en tout cas....
Inscription : 28-05-2007
Site Web

Re : Sécurité : Chercher l'intrus.

Rhòooooooo les sal*** et mes points chocolat alors ? c'est 40% avant de commencer MOUAHAHAHAHAHAHA lol

\o/ Le closedSource c'est tabou on a viendra tous à bout \o/

Hors ligne

#12 09-12-2012 01:41:32

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : Sécurité : Chercher l'intrus.

Tu crois encore à la mère Nolwen ? big_smile

I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#13 09-12-2012 01:46:36

MaTTuX_
La Paillasse !!!
Lieu : Zoubidou-Land
Distrib. : 75 serveurs
Noyau : 3.2.0-4-amd64
(G)UI : tty et ... pas gnome en tout cas....
Inscription : 28-05-2007
Site Web

Re : Sécurité : Chercher l'intrus.

MaTTuX_ ne voit pas d'utilisateur Nolwen lol lol lol lol

\o/ Le closedSource c'est tabou on a viendra tous à bout \o/

Hors ligne

#14 09-12-2012 22:44:18

Y316
Membre
Distrib. : stretch/sid
Noyau : 4.3.0-1-amd64
Inscription : 15-11-2012

Re : Sécurité : Chercher l'intrus.

@lorus :
Tranquille, tout semble correct.
C'est bien aussi pour apprendre/observer le système. 
Pour vérifier, j'ai viré ntpd, je me demandais ce que c'était (serveur temps ntp).

Reste à : savoir quoi chercher ou connaitre tout ce qui est !
cool

Debian 8.3 (jessie)  + la pire ICC que vous ayez probablement jamais rencontré.

Hors ligne

#15 10-12-2012 10:51:34

lorus
Modérateur
Lieu : /var/log/snort/alert
Distrib. : Debian Squeeze/Wheezy/Freebsd amd64
Noyau : 2.6.32 / 3.2/
(G)UI : Gnome 2.30.2 / 3.2.4 / (bsd)2.32.1
Inscription : 25-07-2010

Re : Sécurité : Chercher l'intrus.

Y316,
Oui, ntp est un protocole réseau utilisé pour garder ton horloge pc à jour via internet ou par un serveur réseau de ton réseau local...
smile

Si vous êtes fan du « Si ce n’est pas cassé, ne le corrigez pas » , vous serez un grand fan de BSD. Mais si vous êtes du genre à avoir besoin que tout soit le plus récent possible, vous feriez mieux de migrer vers Linux aussi vite que possible histoire de ne pas être à la traîne.BSD a un système de base comprenant de nombreux outils, ils sont tous développés et packagés ensemble pour être cohésif.

Hors ligne

#16 10-12-2012 15:13:39

Y316
Membre
Distrib. : stretch/sid
Noyau : 4.3.0-1-amd64
Inscription : 15-11-2012

Re : Sécurité : Chercher l'intrus.

ntp ouvrait 3 ports (ou 3 fois le même, je ne sais pas), disons :  3 lignes dans la commande netstat -tulp.

Est-ce "normal" ?
ntp : utile ou pas utile ?

Debian 8.3 (jessie)  + la pire ICC que vous ayez probablement jamais rencontré.

Hors ligne

#17 10-12-2012 23:25:43

lorus
Modérateur
Lieu : /var/log/snort/alert
Distrib. : Debian Squeeze/Wheezy/Freebsd amd64
Noyau : 2.6.32 / 3.2/
(G)UI : Gnome 2.30.2 / 3.2.4 / (bsd)2.32.1
Inscription : 25-07-2010

Re : Sécurité : Chercher l'intrus.

Y316 a écrit :

ntp ouvrait 3 ports (ou 3 fois le même, je ne sais pas), disons :  3 lignes dans la commande netstat -tulp.

Est-ce "normal" ?
ntp : utile ou pas utile ?



J'y vois une utilité surtout pour un serveur d'entreprise puisqu'il permet de donner l'heure sur un réseau informatique
Personnellement, je ne l'utilise pas, mais le client est ntpdate, et le serveur ntpd.

Pour le résultat qu'il t'affiche, 3 ports d'ouverts ou 3 lignes de résultat, je n'en n'ai pas la moindre idée. Comme tu es derrière ufw, tu aurais du ouvrir le port  ou le service comme suit

ufw allow ntp

pour le service ou

ufw allow out 123/tcp

port tcp correspondant à ntp

ufw allow out 123/udp

port udp correspondant à ntp

Ceci explique peut être les résultat "bizarre" si tu ne l'avais pas fait?...
smile


Si vous êtes fan du « Si ce n’est pas cassé, ne le corrigez pas » , vous serez un grand fan de BSD. Mais si vous êtes du genre à avoir besoin que tout soit le plus récent possible, vous feriez mieux de migrer vers Linux aussi vite que possible histoire de ne pas être à la traîne.BSD a un système de base comprenant de nombreux outils, ils sont tous développés et packagés ensemble pour être cohésif.

Hors ligne

Pied de page des forums