# Analyse Intrusion

# Procédure Investigation Intrusion

> Avant toutes choses voici les actions à éviter lors de l'investigation pour éviter d'altérer des preuves :
> 
> - Ne **redémarre pas** la machine
> - Évite toute mise à jour ou nettoyage
> - Si possible :
>     
>     
>     - Travaille avec un **compte sudo dédié**
>     - Monte un **répertoire de travail en lecture seule**
>     - Sauvegarde les logs avant analyse

---

### 1. Identifier les connexions suspectes

#### 1.1 Logs d’authentification

📄 **Fichiers**

- `/var/log/auth.log`
- `/var/log/auth.log.1`
- `/var/log/auth.log.*.gz`

🎯 **Pourquoi**  
Ces fichiers enregistrent :

- connexions SSH réussies / échouées
- élévations de privilèges (sudo)
- changements de mots de passe
- ajouts d’utilisateurs

🔍 **À analyser**

```bash
grep -i "sshd" /var/log/auth.log 
grep -i "accepted" /var/log/auth.log 
grep -i "failed" /var/log/auth.log
```

#### 1.2 Historique des connexions

**Outils**

- `last`
- `lastlog`
- `who`
- `w`

🎯 **Pourquoi**  
Permet de voir :

- qui s’est connecté
- quand
- depuis quelle IP
- durée de session

```bash
last -a 
lastlog
```

<div class="contain-inline-size rounded-2xl corner-superellipse/1.1 relative bg-token-sidebar-surface-primary" id="bkmrk-%E2%9A%A0%EF%B8%8F-attention-%3Aces-do"><div class="sticky top-[calc(--spacing(9)+var(--header-height))] @w-xl/main:top-9"><div class="absolute end-0 bottom-0 flex h-9 items-center pe-2"><div class="bg-token-bg-elevated-secondary text-token-text-secondary flex items-center gap-4 rounded-sm px-2 font-sans text-xs">⚠️ Attention :  
Ces données peuvent être **effacées par un attaquant avancé**, d’où la corrélation avec les logs.</div></div></div></div>---

### 2. Vérifier l’élévation de privilèges

#### 2.1 Utilisation de sudo

📄 **Fichier**

- `/var/log/auth.log`

<div class="contain-inline-size rounded-2xl corner-superellipse/1.1 relative bg-token-sidebar-surface-primary" id="bkmrk-grep--i-%22sudo%22-%2Fvar%2F"><div class="sticky top-[calc(--spacing(9)+var(--header-height))] @w-xl/main:top-9"><div class="absolute end-0 bottom-0 flex h-9 items-center pe-2"><div class="bg-token-bg-elevated-secondary text-token-text-secondary flex items-center gap-4 rounded-sm px-2 font-sans text-xs">  
</div></div></div><div class="overflow-y-auto p-4" dir="ltr">`grep -i <span class="hljs-string">"sudo"</span> /var/log/auth.log`</div></div>🎯 **Pourquoi**  
Un attaquant cherche quasi systématiquement à :

- devenir root
- exécuter des commandes sensibles

<span style="text-decoration: underline;">**Points critiques :**</span>

- `sudo su`
- `sudo bash`
- Commandes système inhabituelles (`useradd`, `chmod`, `curl`, `wget`)

####  

#### 2.2 Comptes utilisateurs

📄 **Fichiers**

- `/etc/passwd`
- `/etc/shadow`
- `/etc/group`

🎯 **Pourquoi**  
Détecter :

- création de backdoor utilisateur
- UID 0 non autorisé
- comptes sans mot de passe

<div class="contain-inline-size rounded-2xl corner-superellipse/1.1 relative bg-token-sidebar-surface-primary" id="bkmrk-awk--f%3A-%27%243-%3D%3D-0-%7Bpr"><div class="sticky top-[calc(--spacing(9)+var(--header-height))] @w-xl/main:top-9"><div class="absolute end-0 bottom-0 flex h-9 items-center pe-2"><div class="bg-token-bg-elevated-secondary text-token-text-secondary flex items-center gap-4 rounded-sm px-2 font-sans text-xs">  
</div></div></div><div class="overflow-y-auto p-4" dir="ltr">`awk -F: <span class="hljs-string">'$3 == 0 {print}'</span> /etc/passwd`</div></div>---

### 3. Reconstituer les actions de l’attaquant

#### 3.1 Historique des commandes

📄 **Fichiers**

<div class="overflow-y-auto p-4" dir="ltr" id="bkmrk-%7E%2F.bash_history-%2Froo">- `~/.bash_history`
- `/root/.bash_history`
- autres shells (`.zsh_history`)

</div>🎯 **Pourquoi**  
Souvent négligé par les attaquants débutants.

⚠️ Limites :

<div class="overflow-y-auto p-4" dir="ltr" id="bkmrk-peut-%C3%AAtre-effac%C3%A9-peu">- Peut être effacé
- Peut être désactivé (`HISTFILE=/dev/null`)

  
</div><div class="overflow-y-auto p-4" dir="ltr" id="bkmrk--4"></div>#### 3.2 Recherche de fichiers récemment modifiés

<div class="overflow-y-auto p-4" dir="ltr" id="bkmrk-find-%2F--mtime--2--ty"><div class="contain-inline-size rounded-2xl corner-superellipse/1.1 relative bg-token-sidebar-surface-primary"><div class="sticky top-[calc(--spacing(9)+var(--header-height))] @w-xl/main:top-9"><div class="absolute end-0 bottom-0 flex h-9 items-center pe-2"><div class="bg-token-bg-elevated-secondary text-token-text-secondary flex items-center gap-4 rounded-sm px-2 font-sans text-xs">  
</div></div></div><div class="overflow-y-auto p-4" dir="ltr">`find / -mtime -2 -<span class="hljs-built_in">type</span> f 2>/dev/null`</div></div></div>🎯 **Pourquoi**  
Identifier :

<div class="overflow-y-auto p-4" dir="ltr" id="bkmrk-scripts-d%C3%A9pos%C3%A9s-bina">- scripts déposés
- binaires modifiés
- fichiers suspects dans `/tmp`, `/var/tmp`, `/dev/shm`

</div>Répertoires à **prioriser** :

<div class="overflow-y-auto p-4" dir="ltr" id="bkmrk-%2Ftmp-%2Fvar%2Ftmp-%2Fdev%2Fs">- `/tmp`
- `/var/tmp`
- `/dev/shm`
- `/usr/local/bin`
- `/etc/cron*`

</div>