Skip to main content

Procédure Investigation Intrusion

Avant toutes choses voici les actions à éviter lors de l'investigation pour éviter d'altérer des preuves :

  • Ne redémarre pas la machine

  • Évite toute mise à jour ou nettoyage

  • Si possible :

    • Travaille avec un compte sudo dédié

    • Monte un répertoire de travail en lecture seule

    • Sauvegarde les logs avant analyse

1. Identifier les connexions suspectes

1.1 Logs d’authentification

📄 Fichiers

  • /var/log/auth.log

  • /var/log/auth.log.1

  • /var/log/auth.log.*.gz

🎯 Pourquoi
Ces fichiers enregistrent :

  • connexions SSH réussies / échouées

  • élévations de privilèges (sudo)

  • changements de mots de passe

  • ajouts d’utilisateurs

🔍 À analyser

grep -i "sshd" /var/log/auth.log 
grep -i "accepted" /var/log/auth.log 
grep -i "failed" /var/log/auth.log

1.2 Historique des connexions

Outils

  • last

  • lastlog

  • who

  • w

🎯 Pourquoi
Permet de voir :

  • qui s’est connecté

  • quand

  • depuis quelle IP

  • durée de session

last -a 
lastlog

 

⚠️ Attention :
Ces données peuvent être effacées par un attaquant avancé, d’où la corrélation avec les logs.


Back to top