1. Ne rien laisser dans les répertoires HOME et TMP des serveurs.

2. Lister tous les éléments modifiés avant de se déconnecter : ls -altr

3. Utiliser les commandes csh suivantes pour effacer les données d'historique sans laisser de trace :

mv .logout save.1

echo rm .history>.logout

echo rm .logout>>.logout

echo mv save.1 .logout>>.logout

4. Nettoyer les fichiers " logs " des servers :

Sous Unix, il faut connaitre au moin 3 fichiers importants :

WTMP - chaque connection/déconnection avec l'heure, le server, et le terminal concerné.

UTMP - Tous les utilisateurs connectés à un moment donné.

LASTLOG - origine des connexions.

L'admin peut utiliser ces fichiers pour les commandes statistiques ( lastlogin ), pour par exemple savoir quand a eu lieu l'intrusion, le serveur d'origine de l'intrusion et puis le temp estimé de l'attaque. ( tout pour vous retrouver ).

Il faut savoir aussi que toutes les connexions par, ftt, rlogin, telnet, sont enregistré dans ces fichiers.

Mais ne pas effacer ces fichiers car l'admin saura immédiatement que l'intrusion a eu lieu. Pour vous simplifier la tache utiliser un prog de modification de ces fichiers : ZAP ou ZAP2 (remplace la derniere donnée de connexion par des 00000000. ).

Recommendation :

Pour modifier le LASTLOG sans toucher au fichier , une fois connecté, lancer un rlogin "server cible" avec le login et pass du compte utilisateur hacké. Cela a pour effet d'enregister un LASTLOGIN à partir du serveur et non à parir de l'exterieur.

Normalement ces modifs sont possible que par le ROOT. MAis si le ROOT n'a pas été obtenu, il suffit pour certaines version d'Unix de faire un rlogin lors de votre connexion sur le serveur pour modifier le LASTLOG.

5. Trouver tous les fichiers modifié après la connexion :

Juste après être connecté faire : "touche /tmp/check" avant de continuer à travailler.

Par la suite faire : "find / -newer /tmpcheck -print" ou "find / -ctime 0 -print" ou encore "find / -cmin 0 -print", vérifier les fichiers d'audit et les modifier.

6. Vérifier les répertoire s par défault :

/usr/adm , /var/adm , /var/log.

7. Manipuler les prg de sécurité installés :

Sur les serveurs sécurisés, les prg de sécurité sont lancés à intervalles périodiques par cron. Ces programmes vérifient les tailles de fichiers ou analyse les logs serveurs. Ils peuvent également être stockés dans les répertoires /adm ou ~bin ( pour les sniffers ).

accéder aux paramètres de cron. Le rep par default est /var/spool/cron/crontabs.

Vérifiez toutes les entrées surtout les fichiers "root" et analysez les prgs lancés.

Faire par exemple : "crontab -l root".

Les prg de sécurités sont en général : tiger, spi, tripewire, 15, binaudit, hobgoblin, s3,...

« joker » : j’ai trouvé ce texte sur le net mais qui avait été repris et je ne connais pas l’auteur original, désolé. Si l’auteur de ce texte lit notre zine, merci qu’il me contacte pour que je rectifie et que je mette son nom dans le prochain numéro.