Jump to content

All Activity

This stream auto-updates     

  1. Today
  2. Yesterday
  3. Etant donné qu'aucun problème n'a été remonté du serveur de test, je pense faire la MAJ le WE prochain.
  4. Last week
  5. Bonjour à tous ! Après un petit moment d’absence nous allons voir aujourd’hui comment essayer de détecter une intrusion sur un système GNU/Linux. Introduction Aujourd’hui nous sommes beaucoup à rencontrer des tentatives d’intrusion sur nos SI, et ça peu importe le cœur de métier. Les intérêts peuvent être nombreux pour les attaquants, par exemple le vol de données, récupérer de la puissance de calcul, etc. Il est important d’avoir une procédure pour décrire comment détecter et vérifier si la machine est intègre, au moins au niveau du système et des actions des utilisateurs. De mon côté, j’ai pu utiliser les commandes suivantes, la liste n’est pas exhaustive et les différentes commandes sont sûrement améliorables avec des paramètres d’ailleurs. Les commandes et actions Sauf indication contraire les commandes sont lancées avec un utilisateur ayant des droits super utilisateur. w & who Les commandes w et who vont permettre dans un premier temps de voir si quelqu’un est connecté à la machine. Selon la commande lancée les informations sont différentes : Ici les IPs ne remontent pas car je suis en local sur ma machine. last & lastb Les systèmes GNU/Linux gardent également des traces des connexions. Cela peut aller de l’utilisateur, l’IP et même la durée de la connexion. Vous pouvez récupérer ces informations avec la commande last : Comme pour w & who les IPs ne remontent pas car je suis en local sur ma machine, mais en cas de connexion distante l’IP est affichée. La commande lastb affiche de son côté les tentatives de connexion erronées avec les mêmes informations. Pour que cela soit plus exhaustif j’ai lancé la commande lastb sur le VPS hébergeant l’instance Mattermost de Net-Security : Les utilisateurs et shells history Si un attaquant arrive à prendre la main sur un utilisateur de votre machine il a de grande chance qu’il laisse des traces. Vous pouvez vérifier les commandes lancées par un utilisateur en utilisant la commande history depuis l’utilisateur en question. Exemple avec mon utilisateur : Pour le faire pour un utilisateur différent il suffit de se connecter en son nom et de lancer la même commande : su user1 history L’ensemble des commandes sont tracées dans un fichier qui se nomme .bash_history et qui se trouve à la race du dossier de l’utilisateur. Vous pouvez également le consulter de la façon suivante : cat /home/user/.bash_history /etc/passwd & /etc/shells Si un attaquant dispose de droit élevé il sera en capacité de créer son propre utilisateur. Nous allons donc vérifier les utilisateurs du système avec les commandes suivantes : less /etc/passwd cat /etc/passwd Vous pouvez également filtrer seulement le nom des utilisateurs avec la commande suivante : awk -F':' '{ print $1}' /etc/passwd Ou bien afficher seulement les utilisateurs pouvant utiliser un shell : cat /etc/passwd | grep /bin/bash (ou zsh, sh, etc.) Vous pouvez récupérer la liste des shells disponibles sur votre machine de la façon suivante : cat /etc/shells Les processus Lorsqu’un attaquant prend la main sur votre machine son but va être de la garder ou bien d’installer un programme malveillant comme un mineur, un botnet, etc. Pour vérifier cela vous pouvez utiliser les commandes permettant de lister les processus. Comme la commande ps (process status) qui va permettre de lister l’ensemble des processus de la machine : ps ps aux Vous pouvez également utiliser la commande top qui grâce à son interface permettre également de surveiller les consommations de la machine et d’afficher les processus les plus gourmands en ressources. top Pour finir vous pouvez également lancer la commande lsof. Cette dernière permet grâce à ses options de retrouver des informations sur les processus. Afficher les connexions ouvertes par un processus : lsof -i lsof -i -p <pid-proc> Afficher les fichiers ouverts par un processus : lsof -l lsof -p <pid-proc> ss & netstat L’utilitaire netstat est présent sur presque toutes les distributions mais il est aujourd’hui déprécié. Il va permettre de vérifier des informations comme les ports exposés, les routes, etc. Un attaquant pour garder accès à votre machine est capable d’exposer un port TCP ou UDP afin d’avoir un autre moyen de se connecter à la machine. netstat -lntup (liste les ports TCP/UDP exposés avec les services) netstat -r (liste les routes) netstat -s (affiche les stats des cartes) L’utilitaire ss de son côté reste très proche de netstat au niveau des fonctionnalités. Il est présent nativement sur les dernières distributions et est le remplaçant de netstat. Il reste possible de récupérer les ports exposés avec cet outil : ss -lntup ss -s (affiche les stats de la carte) Les cartes réseau et les routes Au niveau du réseau, le trafic peut être redirigé par l’attaquant et les cartes réseaux modifiées (ajout, suppression, etc.). Vous pouvez vérifier les informations au niveau des cartes avec la commande ip : ip address ip a Les routes peuvent également être affichées grâce à la même commande : ip route crontab L’utilisation de la fonctionnalité crontab est fréquente dans le cas d’une intrusion. Personnellement j’ai déjà vu plusieurs serveurs utilisant un crontab pour relancer leurs mineurs ou leurs scanners. Il faut donc vérifier les différents utilisateurs pour être sûr qu’aucune tâche malicieuse ne se relance automatiquement. Pour cela il suffit d’utiliser la commande crontab avec les différentes options proposées. Vérification de l’utilisateur courant : crontab -l Vérification d’un autre utilisateur : crontab -u user -l Il est aussi possible de voir les tâches planifiées par heure, jour ou semaine : ls -la /etc/cron.daily ls -la /etc/cron.hourly ls -la /etc/cron.weekly Les fichiers modifiés Si vous êtes victimes d’une intrusion des fichiers seront probablement modifiés sur votre système. Il est possible de les lister avec l’outil très puissant find. Voici deux exemples à adapter selon vos besoins. Retrouver tous les fichiers créés/modifiés les 5 derniers jours : find / -mtime -5 -ctime -5 Retrouver les fichiers modifiés dans la dernière minute : find / -mmin -1 La commande find permet également de récupérer les fichiers en fonction des UID des utilisateurs mais je ne maîtrise pas encore toutes ses subtilités. Vous trouverez plus d’informations ici. Les logs Même si cela paraît évident, les logs doivent être analysées en cas d’intrusion ou de tentative d’intrusion. Sauf indication contraire elles sont présentes dans /var/log et vous pouvez les analyser avec différents outils comme : tail, cat, less, grep… L’analyse des logs dépendra forcément de votre système et de vos applicatifs mais voici quelques exemples : cat /var/log/syslog cat /var/log/syslog | less tail -f -n 5 /var/log/syslog cat /var/log/syslog | grep fail tail -f /var/log/syslog Les IPs publiques Pour terminer avec cet article vous pouvez également analyser les IPs remontées dans vos systèmes ainsi que votre IP pour savoir si elles sont considérées comme malveillante. Si une de vos machines est utilisée pour scanner internet ou émettre du spam cela peut être le cas et il faudra engager des changements et des démarches. Voici quelques sites qui permettent de trouver ce genre d’information : Sources Conclusion Voilà c’est la fin de cet articlé dédié à la détection d’intrusion sur les systèmes GNU/Linux ! Si ça vous intéresse tous les tests ont été réalisés sur ma machine ArchLinux ainsi que sur un VPS utilisant Debian 10 ! J’espère que cet article vous aura plu, si vous avez des questions ou des remarques sur ce que j’ai pu écrire n’hésitez pas à réagir avec moi par mail ou en commentaire ! N’hésitez pas à me dire également si ce genre d’article vous plaît ! Merci pour votre lecture et à bientôt ! Afficher l’article complet
  6. Changements clés : + Faites un clic droit sur l'onglet pour ajouter le site Web à la page à des onglets + Les enregistrements de l'appareil pour Passkeeper peuvent être vérifiés dans cette version + Optimisation de l'affichage de l'onglet sous le skin personnalisé + Optimisation de l'affichage du contenu sélectionné dans la zone de recherche + Optimisation de la mise en page sous le redimensionnement de la fenêtre du navigateur + Optimisation de la fonction d'importation des données de Maxthon 5 + Optimisation du problème concernant le processus gelé - Correction du problème du dossier corbeille de Maxthon 5 qui s'importait à tort vers Maxthon 6 - Correction du problème d'ouverture de la fonction toutes les URL / notes ne pouvaient pas fonctionner - Correction du problème qui empêchait la dernière page de session d'afficher correctement les icônes des sites Web - Correction du problème selon lequel le thème ne pouvait pas être changé correctement - Correction du problème selon lequel les skins du navigateur ne pouvaient pas s'afficher correctement dans le système Windows 7
  7. Maxthon 6.1.0.900 Bêta pour Windows est sorti aujourd'hui et il apporte son lot de nouvelles fonctionnalités / améliorations et de corrections de bugs. Attention : ceci est une version Bêta, donc à ne pas utiliser en lieu et place de la version stable, mais uniquement à des fins de tests. Téléchargement : 64-bits : Version Installable: https://dl.maxthon.cn/mx6/maxthon_6.1.0.900_beta_x64.exeVersion Portable: https://dl.maxthon.cn/mx6/maxthon_portable_6.1.0.900_beta_x64.7z 32-bits :Version Installable : https://dl.maxthon.cn/mx6/maxthon_6.1.0.900_beta_x86.exeVersion Portable: https://dl.maxthon.cn/mx6/maxthon_portable_6.1.0.900_beta_x86.7z Les changements sont ici en anglais et là en français. Vous pouvez également vous abonner au groupe Telegram NBdomain & MX6 pour faire remonter vos demandes d'améliorations et bugs rencontrés. Source : https://forum.maxthon.com/index.php?/release-notes6/v610900-r18/
  8. Oui j'ai traduit par ça avec onglets au pluriel même si dans le texte d'origine ce n'est pas au pluriel. Votes terminés pour moi
  9. Encore : aujourd'hui 14:45 ----------------------------- Hello Ernest, There are new strings to translate in the Maxthon for Windows Version 6.0 project. You were a project participant previously so your help will be appreciated a lot. 6 new strings for translation (18 words). Get Involved > This is an automated email from Crowdin. If you are a professional translator, please contact a project manager to make sure your work will be paid. Kind regards, Crowdin Team --------------------------- Je vais voir : donc "Add to the new tab page" ? je ne vois pas bien quoi en dire : Ajouter à la nouvelle page d'onglet !!! ?
  10. Menu -> Plus d'outils -> Effacer les données de navigation.
  11. Dans les mouvements de la souris, il y a également la fonction : Réglage des touches de raccourcis, à examiner, aussi 👀
  12. Voir paramètres - avancés (c'est sûrement prévu ... pour la prochaine fois !) 🙈
  13. Merci à vous deux, je dois avoir une rigidité de la souris qui fait que je n'ai jamais voulu employer les glissés du mulot 😉 J'ai toujours fait des tracés bizarres quand j'essayais de maîtriser ce genre de raccourcis... Et ça fait aussi des noeuds de cerveau... Mais tu as raison probablement concernant l'amélioration des options disponibles. Cependant, je regrette, compte tenu des nombreux paramétrages toujours disponibles pour les clic maintenu + clic voisin (hum, j'espère que c'est pas trop confus comme expression), que la commande onglet suivant n'ait pas été conservée, ne reste dans le genre que page précédente ou suivante. Je vais m'intéresser à tes indications 👍
  14. Bonjour tous, y aura t'il une option comme dans Maxthon 5, pour effacer les données à chaque fermeture du navigateur ?? Merci pour votre retour.
  15. Dans les paramètres il y une fonctionnalité : Mouvements de la souris. Souris avec laquelle : Clic droit maintenu et glissement vers le haut et la droite permet de passer dans l'onglet situé à droite (s'il y en a un, bien sûr) de l'onglet en cours Clic droit glissement vers le haut et la gauche ... pareil Clic droit maintenu sur un lien dans une page et glissement vers la droite (ou la gauche) = ouvre le lien dans un nouvel onglet (Dans Mx5 il faut appuyer sur Maj et cliquer gauche pour cette action) Etc. Au niveau de la souris c'est très agréablement bien revisité à mon avis 🥰.
  16. @Bracam,Je pense qu'il s'inscrit comme navigateur par défaut ( comme les autres ..) La version installable c'est un peu pareil, il faut l'autoriser à accéder aux réseaux publics / privés, plein de trucs qui demandent une élévation de Droits que n'a pas l'installeur qui est exécuté à partir d'un compte (Trusted Installer) qui n'est pas le compte courant et n'a pas les mêmes droits .. Sinon, il faudrait faire un clic droit sur l'exe et exécuter en tant que ...
  17. Bonjour, je me demande ce que signifie la fenêtre qui apparaît au lancement de la version portable que j'ai essayée (6.1.0.600) qui me demande si Maxthon est autoriser à effectuer des modifications sur le pc. Le navigateur fonctionne si je refuse, mais de quelles modifications est-il question ? A part ça, bravo pour le courage que me semble exiger le suivi de cette nouvelle mouture 6, qui comme dans la branche 5 fait l'objet de betas à n'en plus finir. Je présume qu'une fois abouti (dans 5 ans ?) la version 6 montrera toutes ses qualités, mais pour l'instant évidemment, il y a des fonctions qui ne marchent pas bien, je me borne à l'exemple des raccourcis comme souris clic gauche maintenu + clic droit qui devrait faire passer à l'onglet de droite une fois activé. Bref, je regarde ça de loin, bien que ma version 5.3 soit de plus en plus dépassée (parfois mise en cause sur certains sites) édition : plus exactement, maintenir bouton gauche + clic droit permettait dans les versions 5 de passer à l'onglet droit alors que maintenant la même commande ne permet plus cette option...
  18. Vous trouverez sur ce serveur virtuel de test la version MAJ d'IP.Board v4.5.2 du site de Support Francophone de Maxthon, afin de valider cette MAJ avant de l'installer sur le serveur en production ici même. Si vous rencontrez des difficultés ou que vous découvrez des bugs, de poster un message à la suite de ce sujet de discussion.
  19. effectivement @Ldfa, j'ai pris ce que j'avais sous la main à la maison, donc rien, puisque mon PC est en XP, j'ai donc recyclé un vieux message bon, je l'ai quand même testé sur un de mes pcs du bureau, mais à distance on ne peut pas tout faire, comme un "Print Screen", j'étais en train de finaliser mais tu es intervenu avant....
  20. pour l'info @POLAURENT, je me suis permis de MAJ la copie d'écran.
  21. Changements clés + Le mode rétro est disponible dans cette version + Importer manuellement les données de compte de Maxthon 5 + Définir les images locales comme les skins du navigateur + Passage du moteur Chromium en version 85 - Correction du problème selon lequel les thèmes ne pouvaient pas être supprimés - Correction du problème selon lequel QuickAccess ne pouvait pas se charger correctement sous certains conditions
  22. Maxthon 6.1.0.801 Bêta pour Windows est sorti aujourd'hui et il apporte son lot de nouvelles fonctionnalités / améliorations et de corrections de bugs. Attention : ceci est une version Bêta, donc à ne pas utiliser en lieu et place de la version stable, mais uniquement à des fins de tests. Téléchargement : 64-bits : Version Installable : https://dl.maxthon.cn/mx6/maxthon_6.1.0.801_beta_x64.exe Version Portable : https://dl.maxthon.cn/mx6/maxthon_portable_6.1.0.801_beta_x64.7z 32-bits : Version Installable : https://dl.maxthon.cn/mx6/maxthon_6.1.0.801_beta_x86.exe Version Portable : https://dl.maxthon.cn/mx6/maxthon_portable_6.1.0.801_beta_x86.7z Les changements sont ici en anglais et là en français. Vous pouvez également vous abonner au groupe Telegram NBdomain & MX6 pour faire remonter vos demandes d'améliorations et bugs rencontrés. Source : https://forum.maxthon.com/index.php?/release-notes6/v610801-r17/
  23. Earlier
  1. Load more activity
  • Newsletter

    Want to keep up to date with all our latest news and information?
    Sign Up
×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.