Procédure Investigation Intrusion

Avant toutes choses voici les actions à éviter lors de l'investigation pour éviter d'altérer des preuves :

• Ne redémarre pas la machine

• Évite toute mise à jour ou nettoyage

• Si possible :

  • Travaille avec un compte sudo dédié

  • Monte un répertoire de travail en lecture seule

  • Sauvegarde les logs avant analyse

 

1. Identifier les connexions suspectes

1.1 Logs d’authentification

📄 Fichiers

• /var/log/auth.log

• /var/log/auth.log.1

• /var/log/auth.log.*.gz

🎯 Pourquoi
Ces fichiers enregistrent :

• connexions SSH réussies / échouées

• élévations de privilèges (sudo)

• changements de mots de passe

• ajouts d’utilisateurs

🔍 À analyser

grep -i "sshd" /var/log/auth.log 
grep -i "accepted" /var/log/auth.log 
grep -i "failed" /var/log/auth.log