Product SiteDocumentation Site

Chapitre 11. Après la compromission (la réponse à l'incident)

11.1. Comportement général
11.2. Copies de sauvegarde du système
11.3. Contacter le CERT local
11.4. Analyse post mortem
11.5. Analyse des programmes malveillants (malware)

11.1. Comportement général

Si vous êtes physiquement présent quand l'attaque se déroule et que faire ce qui suit n'a pas d'effet fâcheux sur vos transactions commerciales, la première réaction devrait être de débrancher simplement la machine du réseau en débranchant la carte réseau. La désactivation du réseau à la première couche est le seul vrai moyen de garder un attaquant en dehors d'une machine compromise (conseil avisé de Phillip Hofmeister).
Cependant, certains outils installés à l'aide d'un rootkit, d'un cheval de Troie ou même d'un utilisateur malhonnête connecté par une porte dérobée (backdoor), pourraient être capables de détecter cet évènement et d'y réagir. Voir un rm -rf / s'exécuter au moment de débrancher le réseau du système n'est pas vraiment très drôle. Si vous ne désirez pas prendre ce risque et que vous êtes certain que le système est compromis, vous devriez débrancher le câble d'alimentation (voire tous, s'il y en a plusieurs) et croiser les doigts. Cela peut sembler extrême, mais en fait cela désamorcera toute bombe à retardement que l'intrus pourrait avoir programmé. Dans ce cas, le système compromis ne doit pas être redémarré. Soit le disque dur devrait être déplacé sur un autre système pour analyse, soit vous devriez utiliser un autre support (un CD) pour amorcer le système et pour l'analyser. Vous ne devriez pas utiliser les disquettes de récupération de Debian pour amorcer le système, mais vous pouvez utiliser l'invite de commande fournie par les disquettes d'installation (Alt+F2 pour l'atteindre) pour analyser[77] le système.
La méthode recommandée pour récupérer un système compromis est d'utiliser un CD autonome avec tous les outils (et les modules du noyau) dont vous pouvez avoir besoin pour accéder au système compromis. Vous pouvez utiliser le paquet mkinitrd-cd pour construire un tel CD[78]. Vous pourriez également trouver le CD http://www.caine-live.net/ (Computer Aided Investigative Environment) utile ici, car il s'agit d'un CD autonome activement développé avec des outils d'analyse post mortem utiles dans ces situations. Il n'y a pas (encore) d'outil basé sur Debian comme celui-ci, ni de moyen simple de construire un CD en utilisant sa propre sélection de paquets Debian et mkinitrd-cd (vous devrez donc lire la documentation fournie avec celui-ci pour faire vos propres CD).
Si vous voulez colmater la brèche de sécurité vraiment rapidement, vous devriez retirer l'hôte compromis du réseau et réinstaller le système d'exploitation à partir de zéro. Cela pourrait n'avoir aucun effet si vous ne savez pas comment l'intrus a obtenu les droits du superutilisateur. Dans ce cas vous devez tout vérifier : pare-feu, intégrité des fichiers, les différents journaux de l'hôte de journalisation, etc. Pour plus d'informations sur la marche à suivre après une intrusion, reportez-vous aux documents http://www.sans.org/reading_room/whitepapers/incident/ ou http://www.cert.org/tech_tips/win-UNIX-system_compromise.html.
Certaines questions générales sur la façon de gérer un système Debian GNU/Linux compromis sont également disponibles dans Section 12.1.2, « Le système est vulnérable ! (En êtes-vous certain ?) ».

[77] Si vous êtes aventureux, vous pouvez vous connecter au système et sauver les informations sur tous les processus en fonctionnement (vous en aurez beaucoup dans /proc/nnn/). Il est possible d'avoir l'intégralité du code exécutable depuis la mémoire, même si l'attaquant a supprimé les fichiers exécutables du disque. Puis tirez sur le cordon d'alimentation.
[78] En fait, c'est l'outil utilisé pour construire les CD pour le projet http://www.gibraltar.at/ (un pare-feu sur un CD autonome basé sur la distribution Debian).