Comment
voir si ma machine a été
hackée?
Une des grandes
questions que l'on se pose souvent est "Comment voir si ma machine a
été hackée?"
Voici un article qui va vous aider à déterminer si
votre Windows NT, XP, ou 2000 a été
hacké et comment nettoyer les fichiers qui ont
été placés à votre insu.
- Comment voir si ma
machine a
été
hackée?
- Voici la
liste
des utilitaires qui peuvent être utiles:
- Pourquoi
veut-on hacker
ma machine ?
- Comment
voir si
j'ai été hacké?
- Que
faire
si Fport ou TCPView dit qu'il y a un programme qui tourne mais
que je n'arrive pas à le trouver ?
- Les
autres
Hacks? sont-ils détectables?
- Conclusion
Voici
la liste
des utilitaires qui peuvent être utiles:
Fport : Fport
est un utilitaire
qui fonctionne en console, il permet de lister tous les ports TCP/UDP
ports ouverts sur votre machine et par quel programme.
Téléchargez
Fport
TCPView : TCPView
est un
programme similaire à Fport qui lui possède une
interface
graphique. En plus de lister les ports ouverts, il permet aussi de
lister les connexions établies, en attentes ou
fermées.
Téléchargez
TCPView
Process Explorer :
Ce programme
liste les processus et les sous-processus en mémoire. C'est
un
gestionnaire de tâches amélioré.
Téléchargez
Process Explorer
PSTools :
Collection de
programmes en lignes de commandes qui permet de lister les processus,
tuer un processus et plein d'autres fonctions utiles.
Téléchargez
PSTools
NTFSDOS : Ce
programme permet
de créer une disquette de boot qui pourra lire les volumes
NTFS.
La version freeware ne permet pas d'écrire sur ces volumes.
Téléchargez
NTFSDOS
Dos/Windows Boot Disk ?
Téléchargez
Ultimate BootCD - voir
Désinfecter
son ordinateur avec un CD Live
Téléchargez
Disquettes de démarrage
Filealyzer :
FileAnalizer
permet de visualiser une multitude d'informations sur vos fichiers
comme la version, des informations en hexadécimal qui
permettent
de voir ce que fait le fichier.
RegAnalyzer:
Permet de se
déplacer dans la base de registre pour y supprimer des
entrées etc.. avec quelques fonctionnalités en
plus de
celles proposées par regedit
RunAnalyzer:
Affiche et permet de supprimer les programmes et services qui se
lancent au démarrage de Windows
Téléchargez
*Analyzer
Pourquoi
veut-on hacker
ma machine ?
Il
y a de nombreuses raisons pour que quelqu'un veuille
hacker votre ordinateur, les raisons les plus communes sont :
1. Installer un serveur FTP (Pubstros) pour distribuer des programmes
commerciaux.
2. Installer un client/bot IRC pour effectuer des attaques DDOS, IRC
flood, scanner/hacker d'autre machines ou pour distribuer des
programmes commerciaux sur IRC (FServce / XDCC).
3. Utiliser votre ordinateur pour scanner ou hacker d'autres
ordinateurs pour ne pas trouver l'identité du hacker via son
adresse IP.
Comment
voir si
j'ai été hacké?
Lorsque votre machine a été hackée,
cela nécessite
de laisser un programme pour que le hackeur puisse retourner/prendre la
main dessus, ou ne pas vous laisser la possibilité de
corriger
la faille de sécurité exploitée par le
hackeur. Si
le hackeur ne laisse pas de programmes derrière lui, c'est
qu'il
a cherché des informations particulières, ce qui est
très rare.
Les programmes laissés par les hackeurs sont en
général, des clients IRC qui leurs permettent de
contrôler votre machine à partir d'un channel ou une
Backdoor/trojan. Voir la page
Les PC Zombis
A partir du moment où ces clients ou trojans doivent
attendre
une connexion du hackeur, ils doivent ouvrir un port TCP ou UDP. Avec
les programmes mentionnés plus haut, comme Fport ou TCPView
nous
pouvons voir les ports TCP/UDP ouverts et quel programme les
ouvre (se reporter à la page :
Ports ouverts
et sécurité)
Par exemple, si un hackeur utilise une faille RPC/DCOM pour
accéder à votre ordinateur. Il va télécharger SubSeven sur votre ordinateur. En
général, SubSeven utilise le port TCP 27374.
En utilisant Fport, vous pourriez voir quelque chose comme :
FPort
v2.0 - TCP/IP Process to Port Mapper Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com
Pid Process Port Proto
Path
636 svchost ->
135 TCP C:\WINDOWS\system32\svchost.exe
4 System -> 139
TCP
4 System -> 445
TCP
660 svchost ->
27374 TCP C:\WINDOWS\System32\s.exe
En regardant de près, nous pouvons voir que le
programme
s.exe dans le dossier c:\windows\system32. Nous pouvons voir que ce
programme a un nom suspicieux.
Vous devez alors arreter le programme avec le gestionnaire de
tâches et supprimer le fichier. En règle
générale un hackeur laisse plus d'un programme,
vous devez
donc bien faire attention.
Si vous ne pouvez pas arreter le processus, vous devez alors regarder
si le programme ne tourne pas en service. Si c'est le cas, arretez le
service et retentez de supprimer le fichier. (voir
Dossier sur les processus et les services Windows)
Vous devez aussi regarder comment le programme se lance au
démarrage de l'ordinateur, en règle
général, si le programme ne tourne pas en
service, vous
devez regarder la clef :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Les autres entrées/fichiers à regarder sont les
fichiers :
Winstart.bat
Win.ini
System.ini
The Startup folder.
Pour modifier les programmes au démarrage, vous pouvez utiliser
L'utilitaire Windows MsConfigVous pouvez aussi vous aider de la page:
Vérifier
la légitimité des programmes, qui permet de déterminer les programmes qui tournent sur votre ordinateur et voir si ces derniers sont légitimes.
Enfin effectuer un
Scan avec un antivirus en ligne
pour révéler la présence de fichier infectieux. Dans le cas où le scan
en ligne révèle des éléments infectieux reportez-vous à la page:
Je suis infecté! Que Faire ?
Que
faire
si Fport ou TCPView dit qu'il y a un programme qui tourne mais
que je n'arrive pas à le trouver ?
Dans
un premier temps, vous devez afficher les fichiers
cachés et les fichiers systèmes. Si vous utilisez
les
lignes de commande, utilisez l'option /a avec la commande dir pour voir
les fichiers cachés.
Si vous ne pouvez pas voir les fichiers, c'est qu'un programme comme un
rootkit cache les fichiers. Les rootkits sont des programmes qui
peuvent cacher des entrées dans la base de registre, des
services, processus, répertoires et fichiers. Ils viennent
du
monde Unix mais sont de plus en plus communs sous Windows (voir
Le danger et fonctionnement des rootkits)
Il existe tout de même des manières de les voir et
de les
supprimer, à partir du moment, où le rootkit fonctionne sur
la
machine et empêche de voir les fichiers, processus,
services et
entrées dans la base de registre. Les rootkit n'affectent
pas
les autres machines et ne peuvent pas vous empêcher de voir
les
fichiers.
Vous pouvez alors vous connecter sur votre machine et regarder les
fichiers du disque C :
\\nomdelamachine\C$
N'hésitez pas alors à faire une recherche
complète sur le lecteur.
Si vous avez besoin de supprimer des entrées de la base de
registre, vous pouvez le faire à partir d'une machine
distante.
Regedit permet de se connecter sur une base de registre distante,
dès lors que le service "Accès à
distance au Registre" (RemoteRegistry) est
démarré.
Si vous n'avez pas de machines supplémentaires, vous pouvez
booter à partir d'une disquette bootable, le rootkit ne
sera
alors pas démarré. Vous pouvez aussi utiliser des
CDLive
Linux qui supportent le NTFS :
Téléchargez
le CdLive Trinity Rescue Kit 3.0
Téléchargez
le CDLive Fire
Les
autres
Hacks? sont-ils détectables?
Les hacks mentionnés plus haut, sont les hacks les plus
communs. Il est impossible de parler de tous les hacks . Mais voici
tout de même quelques autres types de hacks :
Alternate Data Streams
(Flux de Données Additionnels)
:
Alternate Data a été introduit avec les volumes
NTFS pour
supporter le FileSystem "Macintosh Hierarchical File System" mais il
est assez mal documenté. En utilisant le Alternate
Data
Stream, un hackeur peut cacher des fichiers, des exécutables
à
l'OS et donc vous aussi. Il y a beaucoup d'utilitaires, dont LADS qui
permettent de voir les fichiers ADS, mais qui ne permettent pas de les
supprimer. Heureusement, Si une application internet utilise ADS pour
se cacher, Fport pourra tout de même le voir, il
affichera :somefilename or somefilename:somefilename2.
ADSSpy
- Outil qui permet de visualiser les fichiers ADS.
LADS
- Outil qui permet de visualiser les fichiers ADS.
Quelques liens qui expliquent le fonctionnement des ADS :
Article
ADS chez HSC
Hidden
Threat: Alternate Data Streams
NTFS
Alternate Data Streams chez DiamondCS
Depuis peu, des malwares (pe386, Gromozon troyen/rootkit,
adware.Magic.Control) utilisent la technique de rootkit à travers des
Kernel and Device Driver
hacks.
Concrètement les fichiers de ces rootkit ne sont pas :
- visualisables depuis l'explorateur de fichiers
- les processus des rootkit ne sont pas visualisables depuis le gestionnaîre de tâches (taskmgr)
Ce qui rend leur détection impossible pour un antivirus
classique. Les fichiers utilisés par ces rootkit sont
généralement composés de :
- d’un driver : xxx.sys (mode kernel)
- d’une dll : xxx.dll (mode user)
- d’un programme : xxx.exe
- d’un fichier de configuration : xxx.ini
Il est à noter dans le cas de
Magic.Control que ces fichiers
sont visualisables en mode sans échec, vous pouvez donc les supprimer.
La présence d'un rootkit kernel-mode peut occasionner des plantages de services.exe.
Liens pour les rootkits :
Néanmoins, les éditeurs de solutions de
sécurité commencent à réagir, puisqu'ils
mettent à votre disposition des scanner rootkit qui permettent
de les détecter. Certans sont incorporés dans les suites de sécurité. Vous trouverez une
liste des Anti-Rootkit / Scanner Rootkit
dans la partie programmes du forum.
En voici quelques uns :
F-Secure BlackLight
Voir le tutorial de F-Secure BlackLight
