Lorsque qu’on a des serveurs sur internet, on se doute bien qu’ils vont se faire attaquer un jour. Ce qu’on ne sait peut être pas, c’est qu’ils vont se faire attaquer dès les premières minutes de leur mise en ligne.
Attaques enregistrées le 14 janvier 2016 sur le site www.oppidumsecurity.com
Avertis de cela, les administrateurs consciencieux (et ayant le temps) suivront les instructions d’un des nombreux guide de « hardening » présents sur internet afin de «sécuriser» leurs serveurs. (Voici mon préféré pour Ubuntu : http://blog.mattbrock.co.uk/hardening-the-security-on-ubuntu-server-14-04/)
Une fois ce rituel terminé, la sécurité des serveurs sera le plus souvent oubliée. De nouvelles applications seront installées, des comptes seront créés, des ports ouverts, le firewall désactivé, des pages web seront hébergées puis très vite oubliées, de nouvelles failles seront découvertes, etc. Vous l’aurez compris : avec le temps, vos serveurs seront des cibles simples pour les hackers.
Une manière de limiter la lente décomposition de la sécurité de vos serveurs est de monitorer ce qui se passe dessus. L’installation sur vos serveurs d’un HIPS comme OSSEC couplé avec une application d’analyse centralisée des logs comme Splunk ou Logentries vous aidera à détecter les évènements potentiellement risqués afin de pouvoir agir dans les plus brefs délais.
Nous nous proposons dans cet article de vous faire découvrir de manière très succincte comment monitorer un serveur.
Surveillance des fichiers et répertoires critiques :
La surveillance des fichiers et répertoires critiques permet de s’assurer qu’aucun code malicieux n’a été déposé sur le serveur par un hacker.
Si un hacker installe une backdoor ou bien modifie votre formulaire de saisie des cartes de crédits vous en serez averti. Les antivirus traditionnels ne vous protégeront pas contre ces types d’attaques. Il est donc primordial de surveiller les modifications de vos fichiers et répertoires critiques en temps réel :
Changement détecté sur un fichier de configuration
Si vous disposez d’un site e-commerce acceptant des paiements par cartes de crédit, assurez-vous de surveiller l’intégrité de votre site. Cela est requis par le standard PCI DSS.
Surveillances des ouvertures de ports:
Il est important d’être avertis lorqu’un nouveau port est ouvert sur votre serveur. En effet, chaque nouveau port est une nouvelle cible pour les hackers. Il peut aussi bien s’agir d’une backdoor déposée par un hacker afin de pouvoir revenir plus tard sur votre serveur.
Ouverture du port 25 sur le serveur
Surveillance des attaques par brute force :
La plupart des hackers essaient de se connecter aux serveurs en testant des centaines de comptes et mots de passe. Il est important d’identifier ces attaques et de les arrêter de manière automatique.
Plusieurs tentatives de connexions infructueuses entrainent le bannissement de l’IP du hacker
Surveillance des comptes créés sur vos serveurs :
Des comptes peuvent être créés à votre insu par des applications ou par d’autres administrateurs. Il est important d’investiguer toute création de compte et de s’assurer que ces derniers utilisent des mots de passe complexes pour s’authentifier.
Surveillance des connexions à distance:
Vous êtes sur la plage et vous recevez une alerte qu’un hacker vient de se connecter au serveur avec votre compte?
Il est temps d’investiguer ce qui a été fait sur le serveur avec votre compte:
Conclusion
Vous l’aurez compris, que ce soit sur Unix ou Windows, la quantité de logs disponibles est impressionnante. La mise en place d’un HIPS comme OSSEC couplée à une analyse en temps réel des logs permet d’agir rapidement pour sécuriser vos serveurs.
Sans l’analyse de ces logs, vous ne pourrez jamais savoir ce qui se passe réellement sur vos serveurs. Il n’est pas rare de trouver sur internet des serveurs entièrement piratés sans que leurs administrateurs n’en aient encore pris conscience:
Site internet hacké d’une université. Découvert grâce à une recherche google
Des questions concernant cet article?
N’hésitez pas à laisser un commentaire pour en faire profiter tout le monde.
Vous pouvez aussi nous joindre à ce courriel : info@oppidumsecurity.com
Ou nous parler via notre site internet : https://oppidumsecurity.com/