À utiliser si possible a chaque fois qu'un piratage est constaté

Vous avez été victime d'un incident de sécurité sur votre site.

En tant qu'administrateur vous pouvez recevoir de l'aide de notre part afin de régler efficacement le problème.

Cette lettre type est indicative vous pouvez très bien y ajouter d'autres informations utiles et nécessaires au travail d'investigation. Sachez qu'elle représente pour nous l'essentiel de ce que nous avons besoin de savoir pour vous assurer un service efficace.

À réception de ce message nous vous attribuerons un numéro de ticket CERTSVPaammjj-x que nous vous demandons de rappeler dans le champ Subject de toutes correspondances.

=======================================================

1. VOS COORDONNÉES (si vous préférez, votre signature e-mail complète)

1.1. Nom du SITE : 
1.2. Votre Nom : 
1.3. Votre email : 

1.4. Si vous êtes correspondant sécurité, recevez-vous les avis et les statistiques du CERT-Renater ? (oui/non) :

=======================================================

2. Y-a-t-il eu compromission (oui/non) a quelle date (estimation/trace de log) ?

2.1.Avez-vous déconnecté temporairement cette machine ? (recommandé )

2.2. Hypothèse, quel est votre avis sur cette attaque et sur la (ou les) vulnérabilité(s) 
qui aurait pu être exploitée(s) ?

IDENTIFICATION pour CHAQUE machine compromise. 
2.3. Nom Complet : 
2.4. Adresse IP : 
2.5. OS :

2.6. Les principaux services installés sur la machine et leurs versions (exemple phpBB v2.0.13) :

2.7. Pour Windows joindre le résultat de la commande netstat -an et netstat -ano pour XP

2.8. Pour Windows joindre le résultat de la commande fport : 
(http://www.foundstone.com)

2.9. Pour les Unix joindre le résultat de la commande lsof : 
(ftp://ftp.cert.dfn.de/pub/tools/admin/lsof/) 

=======================================================

3. Y-a-t-il des traces relatives à ce piratage (oui/non, lesquelles ?) : 
Exemple : dans /var/log/auth.log connexions ssh illicites, dans les logs du routeur.

3.1. Date des connexions illicites et traces de log :

3.2. Y-a-t-il des traces de connexions vers d’autres machines ? (oui/non, traces de logs) :

3.3. Y-a-t-il des traces de scans ou d’attaques depuis votre machine ? 
(oui/non, traces de logs) :

=======================================================

4. Avez-vous trouvé des fichiers suspects (lesquels ?) : 
(exemple C :\WINNT\system32\recycler\, /sbin/xlogin, /.../bob/)

4.1. Avez-vous trouvé de nouveaux comptes utilisateurs ? 
->Pour les Unix voir dans /etc/passwd, /etc/shadow 
->Pour Windows Exécuter control panel Choisir :comptes utilisateurs - modifier les paramètres

4.2. Avez-vous vérifié les services lancés au démarrage ? 
Pour les Unix voir dans /etc/rc.d/rc.sysinit

4.3. Avez-vous trouvé d’autres symptômes ? 
(exemple : flux anormaux, login suspect, ralentissement de la machine, fichiers temporaires suspects...)

=======================================================

5. Souhaitez vous déposer plainte suite a ce piratage ? (oui/non)

5.1. En cas de dépôt de plainte il vous faudra travailler sur une image du disque, pouvez vous faire une image de ce disque ? (oui/non)

5.2. Même sans dépôt de plainte, souhaitez vous analyser la machine ? (oui/non)

5.3. Recherche de rootkit sur la machine (en cas de non depot de plainte ou d’analyse sur l’image disque )

Sous Windows joindre le résultat de l’outil rootkitreveal :

(http://www.sysinternals.com/SecurityUtilities.html)

Sous Unix joindre le résultat de l’outil checkrootkit :

(http://www.chkrootkit.org)

Si possible ne pas réinstaller ou reformater la machine.