Vérifier le /etc/passwd

A la recherche d’utilisateurs suspects (nouveaux comptes, uid modifié, home inhabituel…).

Vérifier les tâches planifiées

/etc/crontab et crontab -l

Qui est connecté ?

# w

Utilisateurs dernièrement connectés

Afficher la liste des utilisateurs dernièrement connectés :

# last -20

Vérification des journaux

messages, syslog, auth.log, dmesg… Notez tout ce qui vous paraît anormal.

auth.log montre les éventuelles tentatives de connexion SSH.

Si un intrus est présent sur cette machine ? Qu’a-t-il modifié, installé ? Nous tentons de le savoir maintenant.

Date des répertoires modifiés

ls -lart /

Nous obtenons la liste des dossiers récemment modifiés, peut être une corrélation avec les dates de connexions obtenues précédemment ?

Le but est de repérer d’éventuels fichiers/dossiers modifiés.

Fichiers récemment modifiés

find / -mtime 2

Cette commande permet de rechercher les fichiers modifiés dans les 2 derniers jours.

Lister les processus

ps aux

Rechercher les processus inhabituels et notez les utilisateurs qui ont lancé ces processus.

lsof permet d’en savoir un peu plus :

lsof | grep IPv
lsof | grep LIST
lsof | grep ESTAB
lsof -n -p PID

La dernière commande lsof, permet de définir si un processus effectue des connexions.

Vérifier les dossiers communément utilisés en cas de compromission

# ls /tmp -lab 
# ls /var/tmp -lab 
# ls /dev/shm -lab

Vérifier les bash_history

En effet, certains ne prennent même pas la peine de supprimer leurs traces. Nous aurions ainsi la liste de commandes tapées.

Sockets en écoute

Liste les sockets en cours d’écoute. Vérifier qu’un backdoor ne soit pas lancé.

# netstat -an
# watch -d "netstat -nalp | grep -v DGRAM | grep -v STREAM | grep -v LISTEN"

Observer le trafic sur votre machine

tcpdump -S0

Installer tiger

Cet outils effectuera un check-up de votre OS.

apt-get install tiger

Passer des anti rootkits

Rkunter
Chkrootkit 

Vérifier l’intégrité du système de fichier

Samhain

Pour conclure

Lorsque les processus et leurs sources sont découverts, il ne reste qu’a les killer et éventuellement les supprimer.

Rechercher l’origine de la compromission permet de combler la « faille » qui a été exploitée.

Il est nécessaire de s’assurer que la même vulnérabilité ne peut pas être ré-exploitée.

Il n’est pas toujours simple de « récupérer » une machine compromise. Je recommanderais même une réinstallation totale pour être totalement serein. Malgré tout, les investigations menées permettent toujours, en recherchant l’origine de la compromission, d‘améliorer la sécurité des systèmes.

Ouvrir la console Exchange Management Shell

Via le menu démarrer.

Lister les certificats avec la commande Get-ExchangeCertificate et rechercher celui qui est utilisé par votre client outlook (correspondance de l’empreinte).
Dans cette liste les certificats utilisés pour Exchange sont repérés par un « W ».

Créer un nouveau certificat

Dans la console, taper (Remplacer empreinte par l’empreinte de votre certificat) :

Get-ExchangeCertificate {Empreinte} | New-ExchangeCertificate

Copier l’empreinte du nouveau certificat créé.

Activer le nouveau certificat pour IIS

Enable-ExchangeCertificate -Thumbprint {EmpreinteNouveauCertificat} -Services "IIS"

Pour finir

Il est possible de supprimer l’ancien certificat (pas obligatoire).

Remove-ExchangeCertificate

Exécuter le script : hubiC.py (téléchargement ici).

root@srv:~# chmod +x hubiC.py
root@srv:~# ./hubiC.py
Login: ab01-ovh
Password:
URL : https://cloudnas1.ovh.com/XXXXXXXXXX/
Login : yyyyyyyy
Password : xxxxxxxxxxxx
mount -t davfs https://cloudnas1.ovh.com/XXXXXXXXX /mnt

Vous connaissez maintenant votre login et mot de passe webdav hubiC.

Installer davfs2

apt-get install davfs2

Paramétrer /etc/davfs2/secrets

https://cloudnas1.ovh.com/XXXXXXXXXXXX login password

Créer le point de montage

mkdir /mnt/hubic

Editer /etc/fstab

https://cloudnas1.ovh.com/XXXXXXXXXX /mnt/hubic davfs defaults 0 0

Monter /mnt/hubic

mount /mnt/hubic

Pour finir

Augmenter le cache davfs pour éviter les erreurs syslog du type :

mount.davfs: open files exceed max cache size by 130 MiBytes

Editer /etc/davfs2/davfs2.conf :

cache_size 500

Remonter /mnt/hubic.

Voici plusieurs mois que je suis ce projet qui permet d’héberger sur son propre serveur, fichiers, agendas, contacts, etc, le tout accessible depuis n’importe quel ordinateur ou autre device connecté à internet. Un accès web permet l’accès « nomade ».

Je ne l’avais pas testé jusqu’ici car j’attendais l’arrivée du client de synchronisation pour obtenir une alternative aux solutions telles que Dropbox.

Le client de synchro est maintenant disponible.

Tests du client de synchronisation

Le client est disponible pour Windows, Linux et Mac. J’ai effectué un test sur Windows (version stable) et sur Mac (version beta).

Téléchargement de la version Mac (beta) http://download.owncloud.com/download/ownCloudClientSetup-1.0.1.dmg

Téléchargement de la version Windows http://owncloud.org/sync-clients/

1) Un premier lancement, on paramètre l’accès au compte OwnCloud du serveur, et pour la version Windows, il faut commencer par quitter et ouvrir l’application pour résoudre un problème connu par l’équipe de développement. Ca ne pose pas de gros problème, puisqu’il ne faut faire cette manipulation qu’au premier démarrage.

Pas de problème à l’install sur la version Mac.

2) Message : la synchro ne fonctionne pas, en effet j’obtiens un message d’erreur me demandant de corriger l’horloge de mon PC dont l’heure diffère du serveur. C’est en fait mon serveur ownCloud qui n’était pas vraiment à l’heure (quelques secondes de décalage), un petit coup de ntpdate et la syncrho fonctionne !

Pour conclure ce premier court article, je dirais que ownCloud est très prometteur ! Une parfaite alternative à Dropbox avec les avantages suivants :

• vous savez où sont stockées vos données
• vous savez qui accède à vos données
• pas de limite de stockage à 2 Go, le seule limite est celle du disque dur de votre serveur !

Je pense que ce projet a un grand avenir et j’encourage cette communauté !!

Problème d’accents dans les noms de fichiers dans votre ownCloud

A priori cette solution fonctionne, modifier le fichier

ownCloud/lib/files.php

en ajoutant ceci au début du fichier :

setlocale(LC_ALL, 'fr_FR.UTF-8');

Article à suivre : l’installation du serveur.

Il est donc très fortement conseiller de patcher toutes machines, surtout si le service RDP est actif.

Voici le résultat sur un Windows XP SP3 :

Pré-requis

• PERL
• PERL Module Net:DNS
• PERL Module Time::HiRes
• PERL Module Getopt::Long

Télécharger le plugin Cacti suivant

http://docs.cacti.net/_media/userscript:dnsresponsetimeping-latest.tar.gz

Le décompresser dans le dossier

/usr/share/cacti/resource/script_server/

Configurer Cacti

Dans l’interface web Cacti, choisir « import template » à gauche.
Cliquer parcourir et uploader le fichier cacti_graph_template_dns_resolution.xml (présent dans le tar.gz téléchargé précédemment).

Ajouter un nouveau « device »

Ce device sera le serveur DNS (adresse IP de préférence) utilisé pour grapher le temps de réponse de résolution DNS d’un nom dns que nous choisiront plus bas.

Devices -> Add -> Description = opendns (par exemple) -> Hostname = 208.67.222.222 -> Template = NONE -> Availability = None -> Create.

Créé un graph

Associated Graph Templates -> DNS Resolution -> Add
Create Graphs for this Host (en haut de la page) -> Cocher Create: DNS Resolution -> Create -> Create

Configurer le nom dns à résoudre

Dans la colonne de gauche : Data templates -> DNS Resolution -> Host to Resolve (entrer un nom dns : www.google.fr)

Les graphs commencent.

Tester le script en ligne de commande

perl dnsResponseTimePing.pl -hwww.google.fr -s 208.67.222.222  -r -v -d -t 5

Pour plus d’infos : http://docs.cacti.net/userscript:dnsresponsetimeping

nmap -sS -sU -O -oN trace.log 192.168.0.1-254

• Le paramètre -sS spécifie le type de scan (ici un SYN scan)
• -sU spécifie de scanner également les ports UDP
• -O permet d’identifier l’OS de la machine ciblée
• -oN sauvegarde la sortie de l’exécution de la commande dans un fichier trace.log
• le dernier paramètre spécifie qu’il faut scanner le réseau 192.168.0.0

RedirectPermanent / https://domaine.fr

Pour que Apache prenne en compte les fichiers .htaccess, il faut modifier sa configuration apache2.conf ou httpd.conf selon les distributions.
Modifier la directive AllowOverride None par :

AllowOverride All

Recharger Apache et tester la redirection.

Installation des paquets

yum install mysql-server ruby rubygems httpd ruby-devel mysql-devel gcc-c++ curl-devel httpd-devel apr-devel apr-util-devel

Créer la base de données

mysql> create database redmine character set utf8;
mysql> create user 'redmine'@'localhost' identified by 'my_password';
mysql> grant all privileges on redmine.* to 'redmine'@'localhost';

Télécharger Redmine

Le décompresser dans /var/www/html/redmine

Configuration de Redmine

/var/www/html/redmine/config/database.yml (paramètre de connexion à la base mysql)
/var/www/html/redmine/Gemfile :

# file: /var/www/redmine/Gemfile
source "http://rubygems.org"
gem "rake", "0.8.7"
gem "rack", "1.1.0"
gem "i18n", "0.4.2"
gem "rubytree", "0.5.2", :require => "tree"
gem "RedCloth", "~>4.2.3", :require => "redcloth" # for CodeRay
gem "mysql"
gem "coderay", "~>0.9.7"
gem "rails"
gem "fastercsv"
gem "net-ldap"

« Pré-paramètrage » Rails

Avant la prochaine étape je conseil de vérifier si des librairies rails sont déjà installées. Si c’est le cas, les supprimer pour éviter tout risque de confusion.

Pour connaitre les éléments installés :
# gem list
Pour tout désinstaller :
# for x in `gem list –no-versions` ; do gem uninstall $x; done

Paramètres Rails

# gem install bundle
# cd /var/www/html/redmine
# bundle install

Paramètre de l’environnement

nano /var/www/redmine/config/environment.rb

Décommenter cette ligne :

ENV['RAILS_ENV'] ||= 'production'

Générer le « session store »

RAILS_ENV=production bundle exec rake generate_session_store

Migration de la base

RAILS_ENV=production rake db:migrate

Charger les données par défaut

RAILS_ENV=production bundle exec rake redmine:load_default_data

Renommer les fichiers

cd /var/www/redmine/public
cp dispatch.cgi.example dispatch.cgi
cp dispatch.fcgi.example dispatch.fcgi
cp dispatch.rb.example dispatch.rb

Démarrage

Ajouter au /etc/rc.local :

ruby /var/www/html/redmine/script/server webrick -e production -d

Puis lancer /etc/rc.local, se connecter sur http://serveur:3000

Ip Fixe :
DEVICE=eth0
BOOTPROTO=none
ONBOOT=yes
NETWORK=10.0.1.0
NETMASK=255.255.255.0
IPADDR=10.0.1.27
USERCTL=no