Surveiller la sécurité de vos serveurs en temps réel

Lorsque qu’on a des serveurs sur internet, on se doute bien qu’ils vont se faire attaquer un jour. Ce qu’on ne sait peut être pas, c’est qu’ils vont se faire attaquer dès les premières minutes de leur mise en ligne.
broken image
Attaques enregistrées le 14 janvier 2016 sur le site www.oppidumsecurity.com
Avertis de cela, les administrateurs consciencieux (et ayant le temps) suivront les instructions d’un des nombreux guide de « hardening » présents sur internet afin de «sécuriser» leurs serveurs. (Voici mon préféré pour Ubuntu : http://blog.mattbrock.co.uk/hardening-the-security-on-ubuntu-server-14-04/)
Une fois ce rituel terminé, la sécurité des serveurs sera le plus souvent oubliée. De nouvelles applications seront installées, des comptes seront créés, des ports ouverts, le firewall désactivé, des pages web seront hébergées puis très vite oubliées, de nouvelles failles seront découvertes, etc. Vous l’aurez compris : avec le temps, vos serveurs seront des cibles simples pour les hackers.
Une manière de limiter la lente décomposition de la sécurité de vos serveurs est de monitorer ce qui se passe dessus. L’installation sur vos serveurs d’un HIPS comme OSSEC couplé avec une application d’analyse centralisée des logs comme Splunk ou Logentries vous aidera à détecter les évènements potentiellement risqués afin de pouvoir agir dans les plus brefs délais.
Nous nous proposons dans cet article de vous faire découvrir de manière très succincte comment monitorer un serveur.
Surveillance des fichiers et répertoires critiques :
La surveillance des fichiers et répertoires critiques permet de s’assurer qu’aucun code malicieux n’a été déposé sur le serveur par un hacker.
Si un hacker installe une backdoor ou bien modifie votre formulaire de saisie des cartes de crédits vous en serez averti. Les antivirus traditionnels ne vous protégeront pas contre ces types d’attaques. Il est donc primordial de surveiller les modifications de vos fichiers et répertoires critiques en temps réel :
broken image
Changement détecté sur un fichier de configuration
 
Si vous disposez d’un site e-commerce acceptant des paiements par cartes de crédit, assurez-vous de surveiller l’intégrité de votre site. Cela est requis par le standard PCI DSS.
 
Surveillances des ouvertures de ports:
 
Il est important d’être avertis lorqu’un nouveau port est ouvert sur votre serveur. En effet, chaque nouveau port est une nouvelle cible pour les hackers. Il peut aussi bien s’agir d’une backdoor déposée par un hacker afin de pouvoir revenir plus tard sur votre serveur.
broken image

Ouverture du port 25 sur le serveur

Surveillance des attaques par brute force :
La plupart des hackers essaient de se connecter aux serveurs en testant des centaines de comptes et mots de passe. Il est important d’identifier ces attaques et de les arrêter de manière automatique.
broken image

Plusieurs tentatives de connexions infructueuses entrainent le bannissement de l’IP du hacker

Surveillance des comptes créés sur vos serveurs :

Des comptes peuvent être créés à votre insu par des applications ou par d’autres administrateurs. Il est important d’investiguer toute création de compte et de s’assurer que ces derniers utilisent des mots de passe complexes pour s’authentifier.
broken image
Surveillance des connexions à distance:
Vous êtes sur la plage et vous recevez une alerte qu’un hacker vient de se connecter au serveur avec votre compte?
broken image
Il est temps d’investiguer ce qui a été fait sur le serveur avec votre compte:
broken image

Conclusion

Vous l’aurez compris, que ce soit sur Unix ou Windows, la quantité de logs disponibles est impressionnante. La mise en place d’un HIPS comme OSSEC couplée à une analyse en temps réel des logs permet d’agir rapidement pour sécuriser vos serveurs.
Sans l’analyse de ces logs, vous ne pourrez jamais savoir ce qui se passe réellement sur vos serveurs. Il n’est pas rare de trouver sur internet des serveurs entièrement piratés sans que leurs administrateurs n’en aient encore pris conscience: 
broken image

Site internet hacké d’une université. Découvert grâce à une recherche google 

Des questions concernant cet article? 
N’hésitez pas à laisser un commentaire pour en faire profiter tout le monde. 
Vous pouvez aussi nous joindre à ce courriel : info@oppidumsecurity.com

Ou nous parler via notre site internet : https://oppidumsecurity.com/

Billet précédentBillet suivant
Utilisation des cookies
Nous utilisons des cookies pour améliorer l'expérience de navigation, la sécurité et la collecte de données. En acceptant, vous consentez à l'utilisation de cookies à des fins publicitaires et d'analyse. Vous pouvez modifier vos paramètres de cookies à tout moment. En savoir plus
Accepter tout
Paramètres
Refuser Tout
Paramètres des Cookies
Cookies nécessaires
Ces cookies sont destinés pour des fonctionnalités de base telles que la sécurité, la gestion du réseau et l'accessibilité. Ces cookies ne peuvent pas être désactivés.
Cookies pour les statistiques
Ces cookies nous aident à mieux comprendre comment les visiteurs interagissent avec notre site web et nous aident à découvrir les erreurs de navigation.
Préférence pour les Cookies
Ces cookies permettent au site web de se souvenir des choix que vous avez faits afin de fournir une fonctionnalité et une personnalisation améliorées.
Enregistrer