Rkhunter. Rkhunter (pour Rootkit Hunter) est un programme qui essaye de détecter les rootkits, portes dérobées et exploits.
Pour cela, il compare le hash SHA256, SHA512, SH1 et MD5 des fichiers importants avec les hash connus, qui sont accessibles à partir d'une base de données en ligne. Il alerte également l'utilisateur lorsqu'il trouve des permissions qu'il juge anormales, des fichiers cachés, des chaînes suspectes dans le kernel etc. De part l'exhaustivité des tests qu'il effectue, et à cause du nombre de systèmes sur lesquels il tourne, rkhunter renvoie généralement de nombreux avertissements. L'analyse de ces avertissements (warnings) nécessite une bonne connaissance des systèmes Unix. Dans une écrasante majorité des cas, ces avertissements son bénins et peuvent être ignorés. Un système véritablement compromis peut, par définition, faire ou afficher n'importe quoi… Dès lors, rkhunter pourrait parfaitement vous afficher que tout va bien alors que ce n'est pas du tout le cas !
Installation et utilisation de rkhunter l'anti rootkit. Petit tutoriel sur l'installation et la configuration de Rkhunter.
Présentation de la bête : Rkhunter est un programme Unix qui permet de détecter les Rootkits, portes dérobées et exploits. Pour cela, il compare le hash MD5 des fichiers importants avec les hash connus, qui sont accessibles à partir d'une base de données en ligne. Home Page. Unhide – Trouver les processus cachés. Unhide – Trouver les processus cachés Si vous avez un doute sur l'intégrité de votre système (Linux / Unix) et que vous voulez savoir si certains processus n'ont pas été cachés à votre insu, il existe un petit outil bien pratique.
Unhide permet de détecter les process cachés, mais aussi les ports ouverts que vous ne voyez pas avec la commande netstat. Pour l'installer sur Ubuntu, il suffit d'un petit sudo apt-get install unhide. Sniffer des connexions réseaux avec la commande tcpdump sous Linux. Tcpdump est un logiciel en ligne de commande sous Linux, qui permet de capturer et d'analyser tous les paquets qui transitent par une carte réseau.
Cet article explique son fonctionnement et est illustré de quelques exemples. 1. Installation Lancez cette commande en root pour une distribution à base de rpm (Fedora, CentOS, RedHat . yum install tcpdump Ou celle-ci pour une distribution à base de debian (Ubuntu, Debian apt-get install tcpdump 2. Dans les exemples donnés ici, la carte réseau utilisée est identifiée par eth0. Nessus, scanner de réseaux. Je viens de me rendre compte qu’au fil des articles présentés sur ce blog, je n’ai pas présenté les outils les plus utilisés dans le monde des tests intrusifs tels : Nessus, Acunetix, w3af, Qualys, AppScan etc.
Nous allons remédier à cela ! Nessus est un scanner réseaux édité par Tenable Network Security permettant de déceler les faiblesses des serveurs sur votre SI. L’outil est capable d’auditer différents systèmes tels Windows, Unix/Linux, FreeBSD, Solaris, AIX etc… que ce soit en interne comme en externe. Étant basé sur une architecture client/serveur il est possible de placer le serveur Nessus à l’intérieur du réseau afin d’effectuer des tests internes depuis l’externe (en plaçant la partie cliente à l’extérieur du réseau).
Ce type de configuration peut-être utile lors de tests récurrents pour un client. L’outil est simple à prendre en main et propose différentes fonctionnalités : Nessus. Nessus est un outil de sécurité informatique.
Il signale les faiblesses potentielles ou avérées du matériel testé (machines, équipement réseau). Nessus est capable de scanner un équipement (machine ou matériel réseau), un ensemble d'équipements (à partir d'un fichier ou d'une plage IP) ou encore un réseau entier. Le résultat du scan fournira : RogueKiller. English webpage link For english speakers, the official english webpage can be found here : English webpage.
Présentation du logiciel -- RogueKiller est un programme informatique antivirus écrit en C/C++, qui scanne les processus windows en cours d'éxécution, et tue ceux qui sont malicieux. -- Le programme est basé sur un ciblage des menaces: il va faire le ménage dans les processus en cours d'exécution, et sur demande nettoyer la base de registre. Il possède également des fonctionnalités annexes (Restauration du fichier Hosts, des configurations Proxy et DNS, récupération des fichiers masqués). -- RogueKiller est capable d'analyser et supprimer les clés de registre malicieuses, mais aussi les taches planifiées, les dossiers de démarrage automatique et les emplacements de fichiers suspects ou connus. -- RogueKiller dans sa nouvelle version présente une interface graphique.
Nous avons besoin de vous! RogueKiller est un logiciel gratuit, mis à jour environ une fois par semaine. RogueKillerCMD. Home Page. [Tutoriels] Installation de Snort + Basic Analysis and Security Engine. Lors de mon dernier stage en entreprise, j’ai eu pour projet de mettre en place un IDS (Intrusion Detection System) à l’aide de Snort pour la partie IDS et Basic Analysis and Security Engine (BASE) pour l’interprétation graphique des alertes, le système utilisé est Debian Lenny.
Ce tutoriel présente succinctement l’installation de Snort et de BASE. {*style:<b> </b>*} Pré-requis : {*style:<b><i>apt-get install apache2. Using the 'snort' Intrusion Detection System. Snort is the leading open source Network Intrusion Detection System and is a valuable addition to the security framework at any site.
Even if you are employing lots of preventative measures, such as firewalling, patching, etc., a detection system can give you an assurance that your defences truly are effective, or if not, will give you valuable information about what you need to improve. Fortunately, there is a good set of snort packages for Debian which takes a lot of the tedious work out of building a useful Network Intrusion Detection System.
Before we start on installation, we should review a few details about the networking satack that you're going to need to make sense of the alerts snort will generate. Impatient readers and those who are familiar with the TCP/IP suite of protocols may do now skip to the bit that says Stand alone snort. Sensor placement and hardware ifconfig eth0 up - and snort puts it into promiscuous mode when it runs. Network 'layers.