Comment voir si ma machine a été hackée?

Comment voir si ma machine a été hackée?


Une des grandes questions que l’on se pose souvent est « Comment voir si ma machine a été hackée? »

Voici un article qui va vous aider à déterminer si votre Windows NT, XP, ou 2000 a été hacké et comment nettoyer les fichiers qui ont été placés à votre insu.

  1. Comment voir si ma machine a été hackée?
    1. Voici la liste des utilitaires qui peuvent être utiles:
    2. Pourquoi veut-on hacker ma machine ?
    3. Comment voir si j’ai été hacké?
    4. Que faire si Fport ou TCPView dit qu’il y a un programme qui tourne mais que je n’arrive pas à le trouver ?
    5. Les autres Hacks? sont-ils détectables?
    6. Conclusion

Voici la liste des utilitaires qui peuvent être utiles:

Fport : Fport est un utilitaire qui fonctionne en console, il permet de lister tous les ports TCP/UDP ports ouverts sur votre machine et par quel programme.
Téléchargez Fport

Capture de Fport

TCPView : TCPView est un programme similaire à Fport qui lui possède une interface graphique. En plus de lister les ports ouverts, il permet aussi de lister les connexions établies, en attentes ou fermées.
Téléchargez TCPView

Capture de TCPView

Process Explorer : Ce programme liste les processus et les sous-processus en mémoire. C’est un gestionnaire de tâches amélioré.
Téléchargez Process Explorer

Capture de Process Explorer


PSTools :
Collection de programmes en lignes de commandes qui permet de lister les processus, tuer un processus et plein d’autres fonctions utiles.
Téléchargez PSTools

NTFSDOS : Ce programme permet de créer une disquette de boot qui pourra lire les volumes NTFS. La version freeware ne permet pas d’écrire sur ces volumes.
Téléchargez NTFSDOS

Dos/Windows Boot Disk ?
Téléchargez Ultimate BootCD – voir Désinfecter son ordinateur avec un CD Live
Téléchargez Disquettes de démarrage

Filealyzer : FileAnalizer permet de visualiser une multitude d’informations sur vos fichiers comme la version, des informations en hexadécimal qui permettent de voir ce que fait le fichier.
RegAnalyzer: Permet de se déplacer dans la base de registre pour y supprimer des entrées etc.. avec quelques fonctionnalités en plus de celles proposées par regedit
RunAnalyzer: Affiche et permet de supprimer les programmes et services qui se lancent au démarrage de Windows
Téléchargez *Analyzer

Capture de FileAnalyzer
Capture de FileAnalyzer

Pourquoi veut-on hacker ma machine ?

Il y a de nombreuses raisons pour que quelqu’un veuille hacker votre ordinateur, les raisons les plus communes sont :

1. Installer un serveur FTP (Pubstros) pour distribuer des programmes commerciaux.
2. Installer un client/bot IRC pour effectuer des attaques DDOS, IRC flood, scanner/hacker d’autre machines  ou pour distribuer des programmes commerciaux sur IRC (FServce / XDCC).
3. Utiliser votre ordinateur pour scanner ou hacker d’autres ordinateurs pour ne pas trouver l’identité du hacker via son adresse IP.

Comment voir si j’ai été hacké?

Lorsque votre machine a été hackée, cela nécessite de laisser un programme pour que le hackeur puisse retourner/prendre la main dessus, ou ne pas vous laisser la possibilité de corriger la faille de sécurité exploitée par le hackeur. Si le hackeur ne laisse pas de programmes derrière lui, c’est qu’il a cherché des informations particulières, ce qui est très rare.
Les programmes laissés par les hackeurs sont en général, des clients IRC qui leurs permettent de contrôler votre machine à partir d’un channel ou une Backdoor/trojan. Voir la page
Les PC Zombis

A partir du moment où ces clients ou trojans doivent attendre une connexion du hackeur, ils doivent ouvrir un port TCP ou UDP. Avec les programmes mentionnés plus haut, comme Fport ou TCPView nous pouvons voir les  ports TCP/UDP ouverts et quel programme les ouvre (se reporter à la page : Ports ouverts et sécurité)

Par exemple, si un hackeur utilise une faille RPC/DCOM pour accéder à votre ordinateur. Il va télécharger SubSeven sur votre ordinateur. En général, SubSeven utilise le port TCP 27374.

En utilisant Fport, vous pourriez voir quelque chose comme :
FPort v2.0 – TCP/IP Process to Port Mapper Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com
Pid Process Port Proto Path
636 svchost -> 135 TCP C:\Windows\System32svchost.exe
4 System -> 139 TCP
4 System -> 445 TCP
660 svchost -> 27374 TCP C:WINDOWSSystem32s.exe

En regardant de près, nous pouvons voir que le programme s.exe dans le dossier c:windowsSystem32\. Nous pouvons voir que ce programme a un nom suspicieux.

Vous devez alors arreter le programme avec le gestionnaire de tâches et supprimer le fichier. En règle générale un hackeur laisse plus d’un programme, vous devez donc bien faire attention.

Si vous ne pouvez pas arreter le processus, vous devez alors regarder si le programme ne tourne pas en service. Si c’est le cas, arretez le service et retentez de supprimer le fichier. (voir Dossier sur les processus et les services Windows)

Vous devez aussi regarder comment le programme se lance au démarrage de l’ordinateur, en règle général, si le programme ne tourne pas en service, vous devez regarder la clef :

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

Les autres entrées/fichiers à regarder sont les fichiers :
Winstart.bat
Win.ini
System.ini
The Startup folder.
Pour modifier les programmes au démarrage, vous pouvez utiliser L’utilitaire Windows MsConfig

Vous pouvez aussi vous aider de la page: Vérifier la légitimité des programmes, qui permet de déterminer les programmes qui tournent sur votre ordinateur et voir si ces derniers sont légitimes.
Enfin effectuer un Scan avec un antivirus en ligne pour révéler la présence de fichier infectieux. Dans le cas où le scan en ligne révèle des éléments infectieux reportez-vous à la page: Je suis infecté! Que Faire ?

Que faire si Fport ou TCPView dit qu’il y a un programme qui tourne mais que je n’arrive pas à le trouver ?

Dans un premier temps, vous devez afficher les fichiers cachés et les fichiers systèmes. Si vous utilisez les lignes de commande, utilisez l’option /a avec la commande dir pour voir les fichiers cachés.

Si vous ne pouvez pas voir les fichiers, c’est qu’un programme comme un rootkit cache les fichiers. Les rootkits sont des programmes qui peuvent cacher des entrées dans la base de registre, des services, processus, répertoires et fichiers. Ils viennent du monde Unix mais sont de plus en plus communs sous Windows (voir Le danger et fonctionnement des rootkits)

Il existe tout de même des manières de les voir et de les supprimer, à partir du moment, où le rootkit fonctionne sur la machine et empêche de voir les fichiers, processus, services et entrées dans la base de registre. Les rootkit n’affectent pas les autres machines et ne peuvent pas vous empêcher de voir les fichiers.

Vous pouvez alors vous connecter sur votre machine et regarder les fichiers du disque C : \nomdelamachineC$
N’hésitez pas alors à faire une recherche complète sur le lecteur.

Si vous avez besoin de supprimer des entrées de la base de registre, vous pouvez le faire à partir d’une machine distante. Regedit permet de se connecter sur une base de registre distante, dès lors que le service « Accès à distance au Registre » (RemoteRegistry) est démarré.

Si vous n’avez pas de machines supplémentaires, vous pouvez booter à partir d’une disquette bootable, le rootkit ne sera alors pas démarré. Vous pouvez aussi utiliser des CDLive Linux qui supportent le NTFS :

Téléchargez le CdLive Trinity Rescue Kit 3.0
Téléchargez le CDLive Fire

Les autres Hacks? sont-ils détectables?

Les hacks mentionnés plus haut, sont les hacks les plus communs. Il est impossible de parler de tous les hacks . Mais voici tout de même quelques autres types de hacks :

Alternate Data Streams (Flux de Données Additionnels):
Alternate Data a été introduit avec les volumes NTFS pour supporter le FileSystem « Macintosh Hierarchical File System » mais il est assez mal documenté. En utilisant le Alternate Data Stream, un hackeur peut cacher des fichiers, des exécutables à l’OS et donc vous aussi. Il y a beaucoup d’utilitaires, dont LADS qui permettent de voir les fichiers ADS, mais qui ne permettent pas de les supprimer. Heureusement, Si une application internet utilise ADS pour se cacher, Fport pourra tout de même le voir, il affichera :somefilename or somefilename:somefilename2.

ADSSpy – Outil qui permet de visualiser les fichiers ADS.
LADS – Outil qui permet de visualiser les fichiers ADS.

Quelques liens qui expliquent le fonctionnement des ADS :
Article ADS chez HSC
Hidden Threat: Alternate Data Streams
NTFS Alternate Data Streams chez DiamondCS

Depuis peu, des malwares (pe386, Gromozon troyen/rootkit, adware.Magic.Control) utilisent la technique de rootkit à travers des Kernel and Device Driver hacks.
Concrètement les fichiers de ces rootkit ne sont pas :

  • visualisables depuis l’explorateur de fichiers
  • les processus des rootkit ne sont pas visualisables depuis le gestionnaîre de tâches (taskmgr)

Ce qui rend leur détection impossible pour un antivirus classique. Les fichiers utilisés par ces rootkit sont généralement composés de :

  • d’un driver : xxx.sys (mode kernel)
  • d’une dll : xxx.dll (mode user)
  • d’un programme : xxx.exe
  • d’un fichier de configuration : xxx.ini

Il est à noter dans le cas de Magic.Control que ces fichiers sont visualisables en mode sans échec, vous pouvez donc les supprimer.
La présence d’un rootkit kernel-mode peut occasionner des plantages de services.exe.

Liens pour les rootkits :

Néanmoins, les éditeurs de solutions de sécurité commencent à réagir, puisqu’ils mettent à votre disposition des scanner rootkit qui permettent de les détecter. Certans sont incorporés dans les suites de sécurité. Vous trouverez une liste des Anti-Rootkit / Scanner Rootkit dans la partie programmes du forum.
En voici quelques uns :

F-Secure BlackLight

Voir le tutorial de F-Secure BlackLight

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 92 times, 2 visits today)

2 thoughts on “Comment voir si ma machine a été hackée?

  1. Merci pour cette excellent page, je pensais connaître une bonne partie de ces outils, mais je trouve ta page vraiment bien carrée, et très pratique.

    Merci

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *