Yep!
Quels sont les indices/preuves qui te permettent de dire que tu es attaqués ???
Sais-tu quel protocole réseau est utilisé, l'adresse ip du pirate, la faille utilisée ???
L'idéal dans un premier temps est de sniffer l'activité du pirate en temps réel avec
wireshark par exemple. L'outil permet entre autre d'enregistrer l'activité du réseau et donc du pirate.
Dans un registre identique,
snort permet de détecter les attaques et de rendre compte sous forme de rapport. C'est un outil trés complet dont une large communauté met à jour régulièrement la base de donnée.
Tu peux également renforcer la sécurité de ton système avec
Bastille. En fonction de la configuration, il bloquera certain accés dont on ne pense pas toujours.
fail2ban est une bonne solution.
As-tu un parefeu ???
Passe un coup de
chkrootkit aussi (en faisant gaffe aux faux-positifs dans le rapport, c'est d'ailleurs énervant
).
Fait aussi un scan de tes ports réseaux avec
Nmap pour voir si il n'y a pas un chemin dérobé.
Il existe aussi les pots de miel (
honeypots) pour coincer le pirate, mais je n'ai jamais eu l'occasion d'en utiliser un, donc pas trop d'experience sur le sujet...En gros, tu simules un réseau virtuel qui te laisse tout loisir de déterminer le matricule de l'individu.
Penses à faire des backups si ce n'est déjà fait...(le cas échéant, il faudra vérifier leur intégrité).
En dernier lieu, le shell est ton ami : who, netstat, ps, ...
@+
Zoroastre.
Dernière modification par zoroastre74 (15-06-2012 19:46:27)