Fiche de declaration d'incident de securite

A utiliser si possible a chaque fois qu'un piratage est constate

Bonjour,

Vous avez ete victime d'un incident de sécurité sur votre site.

En tant qu'administrateur vous pouvez recevoir de l'aide de notre part afin de régler efficacement le problème.

Cette lettre type est indicative vous pouvez tres bien y ajouter d'autres informations utiles et nécessaires au travail d'investigation. Sachez qu'elle represente pour nous l'essentiel de ce que nous avons besoin de savoir pour vous assurer un service efficace.

A reception de ce message nous vous attribuerons un numero de ticket CERTSVPaammjj-x que nous vous demandons de rappeler dans le champ Subject de toutes correspondances.


0.1 VOS COORDONNEES (si vous preferez, votre signature e-mail complete)

0.1.1 Nom du SITE :

0.1.2 Votre Nom :

0.1.3 Votre email :

0.1.4 Si vous etes correspondant securite recevez vous les avis et les statistiques du CERT-Renater ? (oui/non) :


0.2 Y-a-t-il eu compromission (oui/non) a quelle date (estimation/trace de log) ?

0.2.1 Avez-vous deconnecte temporairement cette machine ? (recommande)

0.2.2 Hypothese, quel est votre avis sur cette attaque et sur la (ou les) vulnerabilitee(s) qui aurait pu etre exploitee ?

IDENTIFICATION pour CHAQUE machine compromise.

0.2.3 Nom Complet :

0.2.4 Adresse IP :

0.2.5 OS :

0.2.6 Les principaux services installes sur la machine et leurs versions (exemple phpBB v2.0.13) :

0.2.7 Pour Windows joindre le resultat de la commande netstat -an et netstat -ano pour XP

0.2.8 Pour Windows joindre le resultat de la commande fport :

0.2.9 Pour les Unix joindre le resultat de la commande lsof :

0.3 Y-a-t-il des traces relatives a ce piratage (oui/non, lesquelles ?) :

Exemple : dans /var/log/auth.log connexions ssh illicites, dans les logs du routeur.

0.3.1 Date des connexions illicites et traces de log :

Y-a-t-il des traces de connexions vers d'autres machines ? (oui/non, traces de logs) :

Y-a-t-il des traces de scans ou d'attaques depuis votre machine ?

(oui/non, traces de logs) :


0.4 Avez-vous trouve des fichiers suspects (lesquels ?) :

(exemple C :\WINNT\system32\recycler\, /sbin/xlogin, /…/bob/)

0.4.1 Avez-vous trouve de nouveaux comptes utilisateurs ?

→Pour les Unix voir dans /etc/passwd, /etc/shadow →Pour Windows Executer control panel Choisir :comptes utilisateurs - modifier les parametres

0.4.2 Avez-vous verifie les services lances au demarrage ?

Pour les Unix voir dans /etc/rc.d/rc.sysinit

0.4.3 Avez-vous trouve d'autres symptomes ?

(exemple : flux anormaux, login suspect, ralentissement de la machine, fichiers temporaires suspects…)


0.5 Souhaitez vous deposer plainte suite a ce piratage ? (oui/non)

0.5.1 En cas de depot de plainte il vous faudra travailler sur une image du disque, pouvez vous faire une image de ce disque ? (oui/non)

0.5.2 Meme sans depot de plainte souhaitez vous analyser la machine ? (oui/non)

0.5.3 Recherche de rootkit sur la machine (en cas de non depot de plainte ou d'analyse sur l'image disque )

Sous Windows joindre le resultat de l'outil rootkitreveal :

(http://www.sysinternals.com/SecurityUtilities.html)

Sous Unix joindre le resultat de l'outil checkrootkit :

(http://www.chkrootkit.org)

Si possible ne pas reinstaller ou reformater la machine.


Grace a ces renseignements, nous allons vous recontacter et contacter les sites impliques

Cordialement,

CERT-RENATER
tel : 04-67-16-38-20
tel : 01-53-94-20-44
151 bd de l'Hopital | fax : 01-53-94-20-41
75013 Paris | email : graphics1

Pour savoir le minimum vital sur la securite, consulter : http://www.cru.fr/securite/Documents-generaux/Recommandations.html http://www.urec.cnrs.fr/securite/chartes/quefaire.html _

Dernière mise à jour : 14 juin 2007