Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
A propos des Hackers
Analyses
News
Glossaire


Détection d'Attaque de Hacker

 
Encyclopédie Virus
Encyclopédie Virus

Découvrez tous les vers, virus, Trojans et plus dans notre Encyclopédie Virus.

A propos du Spam
A propos du Spam

En savoir plus sur les spams et les spammeurs dans notre section A propos du Spam.

 

  Page d'accueil / Hackers / A propos des Hackers / Détection d'Attaque de Hacker

Comment détecter une attaque de hacker ?

La plupart des vulnérabilités informatiques peuvent être exploitées de diverses façons. Les hackers peuvent utiliser un simple exploit, plusieurs exploits en même temps, une misconfiguration dans l'un des composants du système ou une porte dérobée (backdoor) installée antérieurement.

Aussi, la détection de présence de hackers est loin d'être simple surtout pour un utilisateur peu expérimenté. Cette section vous donne quelques conseils basiques pour vous aider à comprendre si votre machine est menacée ou si votre système de sécurité est mis en danger. Rappelez-vous que tout comme avec les virus, il n' y a pas 100% de garantie que vous détectiez une attaque de hacker de cette manière. Cependant, il y a de fortes chances pour que votre système se comporte des façons suivantes s'il a été attaqué.

Sur machines tournant sous Windows:

  • Un trafic du réseau sortant anormalement élevé. Si vous êtes sur un compte dial-up ou utilisez une connexion ADSL et remarquez un volume inhabituel de réseau sortant (surtout si votre ordinateur est isolé/inactif ou ne télécharge pas de données depuis le serveur), alors il est possible que votre ordinateur soit en danger. Il peut soit servir de plateforme pour envoi massif de spams ou être utilisé par un ver qui se copie et envoie ses copies. Pour les liaisons par câble, c'est moins évident car il est normal d'avoir le même volume de trafic sortant qu'entrant même si vous vous limitez à la visite de de sites ou au téléchargement depuis Internet.
  • Une activité plus élévée du disque, ou des fichiers suspects dans le répertoire racine de n'importe quel lecteur. Une fois le système forcé, nombreux sont les hackers qui effectuent un scanning massif pour des documents qu'ils jugent intéressants ou à la recherche de fichiers contenant des mots de passe ou logins pour des banques ou des comptes de e-paiements tel que PayPal. De la même manière certains vers cherchent le disque pour des fichiers d'adresses emails à propager. Si vous êtes témoin d'une sur-activité du disque même lorsque le système est inactif en plus de noms de fichiers douteux dans les dossiers communs, c'est peut être le signe d'un piratage ou d'une infection par malware.
  • Un grand nombre de paquets venant d'une adresse unique sont stoppés par un pare-feu personnel. Après avoir localisé une cible (une IP de société par exemple) les hackers exécutent en général des outils d'essais qui tentent d'utiliser les divers exploits pour entrer dans le système. Si vous utilisez un pare-feu personnel (élément indispensable contre les attaques de hackers) et que vous observez une quantité anormale de paquets stoppés venant de la même adresse alors c'est le signe que votre machine est victime d'attaques. La bonne nouvelle, c'est que si votre pare-feu vous informe de ces attaques alors vous êtes protégés. Cependant, en fonction des services que vous exposez sur Internet, le pare-feu personnel peut manquer de vous protéger contre une attaque dirigée contre un service FTP spécifique fonctionnant sous un système que vous avez rendu accessible à tous. Dans ce cas, la solution est de bloquer l'adresse IP demandeuse jusqu'à ce qu'il n'y ait plus de tentatives de connection. De nombreux pare-feux personnels et IDSs ont déjà cette fonction intégrée.
  • Votre antivirus vous reporte soudainement que backdoors et trojans ont été détectés même si vous n'avez rien fait d'inhabituel. Même si les attaques de hackers peuvent être complexes et innovantes du point de vue technologique, beaucoup se développent sur des trojans ou backdoors connus pour obtenir l'accès à un système compromis. Si votre antivirus détecte et reporte un malware de la sorte, c'est le signe que votre ordinateur est accessible de l'extérieur.

Sur machines tournant sous Unix:

  • Les Fichiers suspects stockés dans le dossier /tmp. De nombreux exploits dans le monde Unix s'appuient sur la création de fichiers temporaires dans le dossier standard /tmp. Ces fichiers temporaires ne sont pas toujours détectés après le piratage du système. C'est la même chose pour certains vers connus qui infectent les systèmes Unix; ils se copient dans le dossier /tmp et l'utilise comme répertoire de travail au même titre que “/home.”
  • Des systèmes binaires qui sont modifiés tels que 'login', 'telnet', 'ftp', 'finger', voir même des daemons comme 'sshd', 'ftpd' et autres. Après s'être infiltré dans un système, un hacker tente généralement de sécuriser son accès en installant un cheval de troie dans l'un des daemons. Celui-ci aura pour but d'offrir l'accès direct à Internet. D'une autre manière, il peut aussi modifier les utilitaires standards du système. Ces utilitaires sont alors utilisés pour se connecter à d'autres systèmes. Ces binaires modifiés font généralement partie d'un rootkit et sont généralement invisibles lors d'une inspection directe. Dans tous les cas, il est bon de maintenir un contrôle d'intégrité de ces utilitaires systèmes et de les vérifier périodiquement lorsque l'ordinateur est déconnecté du réseau et en mode « single user ».
  • Des fichiers /etc/passwd, /etc/shadow modifiés, ou autre système de fichiers dans le répertoire /etc. Les attaques de hackers peuvent parfois ajouter un nouvel utilisateur dans /etc/passwd. Celui sera alors utilisé à distance. Vérifiez s'il n'y a pas de noms d'utilisateurs suspects dans le fichier de mot de passe et contrôlez touts les rajouts surtout si vous vous trouvez dans un environnement multi utilisateurs.
  • Des services suspects ajoutés dans /etc/services. Ouvrir une porte sur un système Unix peut s'effectuer en ajoutant deux lignes de texte. Il suffit de modifier les fichiers /etc/services et/ou /etc/inetd.conf. Il est recommandé de contrôler de très près ces deux fichiers. Recherchez d'éventuels rajouts qui indiquent la présence d'un cheval de Troie si des ports suspects ou inexploités sont ouverts.
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com