• # Quel outil d'analyse à posteriori ?

    Posté par (site web personnel) . En réponse à la dépêche Note d'information du CERTA. Évalué à 10.

    Cette note d'information est intéressante pour ceux dont la sécurité n'est pas la tâche primordiale. Elle permet de donner une bonne vision d'una attaque "courante", des outils de hack utilisés et des buts recherchés par cette intrusion.

    Néanmoins, la question que je me pose est la validité technique de la démonstration : quels outils sont utilisés à posteriori pour le suivi des modifs du système de fichiers ?

    Je pense particulièrement aux lignes du type suivant présentes dans le document :

    La première activité suspecte est visible à 04:28:33. Le pirate télécharge (via la commande lynx) une première archive (.a. signifie que la date d'accès a été modifiée):

    Oct 15 2002 04:28:23 1102236 .a. -rwxr-xr-x 0 0 663612 /usr/bin/lynx

    Le pirate parvient peu de temps après à télécharger une archive, rk.tgz.

    Oct 15 2002 04:29:12 382403 m.. -rw------- 0 7 1462 /rk.tgz (deleted)

    Quel outil le CERTA utilise car il ne le précise pas dans la note ?