Lorsque
qu’on a des serveurs sur internet, on se doute bien qu’ils vont se faire
attaquer un jour. Ce qu’on ne sait peut être pas, c’est qu’ils vont se faire
attaquer dès les premières minutes de leur mise en ligne.
Attaques enregistrées le
14 janvier 2016 sur le site www.oppidumsecurity.com
Avertis de cela, les administrateurs consciencieux (et ayant
le temps) suivront les instructions d’un des nombreux guide de « hardening »
présents sur internet afin de «sécuriser» leurs serveurs. (Voici mon préféré
pour Ubuntu : http://blog.mattbrock.co.uk/hardening-the-security-on-ubuntu-server-14-04/)
Une fois ce rituel terminé, la sécurité des serveurs sera le
plus souvent oubliée. De nouvelles applications seront installées, des comptes
seront créés, des ports ouverts, le firewall désactivé, des pages web seront
hébergées puis très vite oubliées, de nouvelles failles seront découvertes, etc. Vous l’aurez compris : avec le temps, vos
serveurs seront des cibles simples pour les hackers.
Une manière de limiter la lente décomposition de la sécurité
de vos serveurs est de monitorer ce qui se passe dessus. L’installation sur vos
serveurs d’un HIPS comme OSSEC couplé avec une application d’analyse centralisée
des logs comme Splunk ou Logentries vous aidera à détecter les évènements
potentiellement risqués afin de pouvoir agir dans les plus brefs délais.
Nous nous proposons dans cet article de vous faire découvrir
de manière très succincte comment monitorer un serveur.
Surveillance des fichiers et répertoires critiques :
La surveillance des fichiers et répertoires critiques permet
de s’assurer qu’aucun code malicieux n’a été déposé sur le serveur par un
hacker.
Changement détecté sur
un fichier de configuration
Si vous disposez d’un site e-commerce acceptant des
paiements par cartes de crédit, assurez-vous de surveiller l’intégrité de votre
site. Cela est requis par le standard PCI DSS.
Surveillances des ouvertures de ports:
Il
est important d’être avertis lorqu’un nouveau port est ouvert sur votre serveur.
En effet, chaque nouveau port est une nouvelle cible pour les hackers. Il peut
aussi bien s’agir d’une backdoor déposée par un hacker afin de pouvoir revenir
plus tard sur votre serveur.
Ouverture du port 25
sur le serveur
Surveillance des attaques par brute force :
La plupart des hackers essaient de se connecter aux serveurs
en testant des centaines de comptes et mots de passe. Il est important d’identifier
ces attaques et de les arrêter de manière automatique.
Plusieurs tentatives
de connexions infructueuses entrainent le bannissement de l’IP du hacker
Surveillance des comptes créés sur vos serveurs :
Des comptes peuvent être créés à votre insu par des
applications ou par d’autres administrateurs. Il est important d’investiguer
toute création de compte et de s’assurer que ces derniers utilisent des mots de
passe complexes pour s’authentifier.
Surveillance des connexions à distance:
Vous êtes sur la plage et vous recevez une alerte qu’un
hacker vient de se connecter au serveur avec votre compte?
Il est temps d’investiguer ce qui a été fait sur le serveur avec
votre compte:
Conclusion
Vous l’aurez compris, que ce soit sur Unix ou Windows, la
quantité de logs disponibles est impressionnante. La mise en place d’un HIPS
comme OSSEC couplée à une analyse en temps réel des logs permet d’agir rapidement
pour sécuriser vos serveurs.
Sans l’analyse de ces logs, vous ne pourrez jamais savoir ce
qui se passe réellement sur vos serveurs. Il n’est pas rare de trouver sur
internet des serveurs entièrement piratés sans que leurs administrateurs n’en aient
encore pris conscience:
Site internet hacké d’une
université. Découvert grâce à une recherche google
Des questions concernant cet article?
N’hésitez pas à laisser un commentaire pour en faire profiter tout le monde.
Vous pouvez aussi nous joindre à ce courriel : info@oppidumsecurity.com
Ou nous parler via notre site internet : https://oppidumsecurity.com/
Des questions concernant cet article?
N’hésitez pas à laisser un commentaire pour en faire profiter tout le monde.
Vous pouvez aussi nous joindre à ce courriel : info@oppidumsecurity.com
Ou nous parler via notre site internet : https://oppidumsecurity.com/