[Shakan]

Bonjour tout le monde j'avais une question concernant les logs qui sont tant sollicités par les administrateurs reseaux.

Voilà en fait je vais vous dire comment je vois la chose ensuite je vous poserai ma question afin que vous puissiez m'éclairer :

Donc admettons que je me connecte sur un serveur IIS tournant sur Windows server 2003 et que je decide d'exploiter une faille unicode ( je sais c'est une vieille faille ). ( Je voulais tout de même souligner le fait que je suis au courant d'une autre faille semblable à celle-ci et qui porte le doux nom de faille <Directory traversal> et qui en suivant le même principe que l'exploit unicode permet de fouiner un peu partout dans les dossiers d'un serveur.

En exploitant cette faille j'aurais donc la possibilité de remonter dans les répertoires du serveur, ce qui me permettra d'obtenir un accès à la ligne de commande en utilisant notamment le CMD qui se trouve dans le répertoire ==> Winnt/System32/
A l'aide du CMD je pourrais alors executer un certain nombre de commandes tels que :

==> [DIR]
==> [RENAME]
==> [COPY]
==> [MD]

Donc automatiquement mes actions qu'elles soient bonnes ou mauvaises, seront donc automatiquement enregistrées dans un fichier log qui je rappelle est chargé de journaliser les événements survenus sur le serveur et cela tant qu'il tourne.

Certes mais voilà comme je suis prudent et que je desire brouiller les pistes de mon passage j'ai une petite idée :

Admettons que je crée un répertoire sur le serveur Web en l'occurence le serveur IIS et que j'y mette une copie renommé du fichier CMD ( situé dans le répertoire Winnt/System32/ ) en CMD1.

Ensuite admettons que j'utilise ce nouveau CMD ==> CMD1 pour exécuter des commandes sur le serveur cela suffirait-il alors à contraindre l'administrateur reseau à suivre la piste d'un tout autre fichier log ?

En admettant bien sûr que le fichier log qui est chargé d'enregistrer mes actions sur le serveur ne se base uniquement que sur le CMD d'origine.

Je pense en effet que l'utilisation du CMD et que les commandes utilisées provoquent une sauvegarde automatique dans un log recensant ainsi les demandes du client au serveur.
En effet puisque les opérations qui sont réalisées dans la barre URL et qui sont exécutées correspondent à des requêtes par conséquent le serveur qui répond à ces requêtes effectue une sauvegarde de ces demandes du client dans un fichier log.

Je ne sais pas si je suis parfaitement claire mais sachez tout de même que mes intentions ne sont pas mauvaises et que je nourris une seule volonté celle d'apprendre et de comprendre.

Merçi d'avance pour vos réponses et à bientôt

PS : Je tenais à signaler que je n'ai pas tenu à apporter trop de précisions afin de fournir un mail d'une taille modeste et de ce fait plus claire afin d'obtenir un maximum de réponses.

[Zmx]

Dans les log IIS tu a les "requete" effectué.
Peut importe que tu utilise cmd, ou "cmd1"

2ement dans les log tu as les ip et l'horodatage.
La meilleur solution pour brouiller les pistes c'est de modifier le fichier de log "en partant".

(le supprimer etant forcement flagrant.)

Maintenant ça ne brouille les pistes QUE sur le serveur.
Tu as 10 000 chance d'avoir des log aussi sur:
- le firewall
- le NIDS (Netword Intrusion Detection System) qui log justement les "url a la con connu pour etre des faille)
- ton FAI.

[Shakan]

J'ai tout à fait compris ce que tu m'as expliqué mais ma question portait particulièrement sur l'utilisation du CMD.
C'est à dire en quoi l'on pourrait dissocier le CMD du CMD1 ou plutôt en quoi l'utilisation du CMD diffère-t-elle de l'utilisation du CMD1 ?

En fait je me demandais si le fait d'utiliser un nouveau CMD ne permettait pas en quelque part de semer un peu de brouillard sur ses traces ?

Pour tout de dire je suis en train d'analyser une attaque et dans cette attaque le hacker avait en fait renommé le CMD qui se trouve dans le répertoire :

==> Winnt/system32/

pour le placer dans un dossier qu'il avait crée comme je l'avais déjà dit ensuite il s'est servie de ce nouveau CMD pour créer une page web sur le serveur distant puis la suite je vous laisse deviner ==> deface !!

C'est la raison pour laquelle je me demandais pourquoi est-ce qu'il aurait agit ainsi certes c'est une question que je me réserve mais comme j'aime partager je vous la pose également
Bref si quelqu'un pouvez m'éclairer sur le comment du pourquoi de cette méthode qui consiste à utiliser un nouveau CMD pour terminer son travail de deface qu'il m'explique je suis tout ouïe !!

Je tiens donc ce raisonnement concernant l'attaque que j'analyse :

==> Au début le hacker utilise le CMD d'origine pour executer des commandes sur le serveur distant il se sert de ces commandes disons pour regarder dans les répertoires du serveur et ainsi se repérer.

==> Une fois qu'il a établie une cartographie complète des répertoires si j'ose dire il se crée un répertoire à lui dans le lecteur C:\

==> En admettant qu'il veuille commencer la seconde partie de son travail qui je rappelle est l'étape finale de son deface ( en l'occurence, création de la page web incriminée qui sera affichée à la place de la page index.html du site ) il fait une copie du CMD original qu'il renomme en CMD1 afin que les recherches concernant les commandes tapées n'inclut nullement les commandes qui vont suivre concernant l'étape du deface.

==> C'est ainsi qu'il effectue la copie et renomme le CMD en CMD1 pour le placer dans le répertoire qu'il avait précedemment crée

==> Dans ce répertoire il crée une page HTML avec comme contenu un message qui flatte la sécurité mise en place par les administrateurs ( je vous laisse imaginer la nature du message )

Bref à la fin on fait le bilan des courses :

L'administrateur du site décide d'effectuer une analyse des logs concernant les actions du hacker sur son serveur web.
Le fait est que le hacker n'a pas utilisé le même CMD pour executer des commandes sur le serveur distant.
On pourrait donc dire que cette méthode de renommage du CMD a consisté à brouiller les pistes et à semer le trouble sur la nature de ses actions du moins c'est ce que je pense !!

Bon je n'ai pas parlé des autres actions effectuées par le hacker je me suis uniquement concentré sur le fait qu'il ai renommé le CMD durant son attaque donc il est évident qu'un hack ne se base pas uniquement sur tout ce que j'ai mentionné plus haut.

Sinon je vous remerçie d'avance pour votre aide, sur ce bonne soirée

[Zmx]

Brouiller les pistes j'y crois pas trop.

Je pense plutot qu'il a fait ça soit:
- dans une optique de laisser une "backdoor" (au cas ou on soit un mauvais admin qui efface simplement le cmd.exe pour se protéger de la faille)
- dans une crise de flemmagite aigue pour pas avoir a mettre dans l'url le chemin complet de cmd.exe :p

Apres si tu a le log sous la main je suis preneur

[Shakan]

Apres si tu a le log sous la main je suis preneur

Donc si j'ai bien compris tu n'exclut pas le fait que cette méthode soit une astuce pour brouiller la piste d'un audit de sécurité ?

Car si tu étais sûr du manque de véracité de cette façon d'opérer afin de brouiller les pistes, je suis sûr que tu n'aurais pas dis ça

Donc tu n'admet pas que tout ce que j'ai dis concernant cette méthode soit faux à 100% n'est ce pas ?
En tout cas étant donné que tu me demandes le log j'en conclu que tu penses que cela est possible

Ben pour tout te dire je n'ai pas le log sous la main donc cela me laisse sur ma faim malheureusement !!

Mais je ne voudrais pas penser que ce que j'ai dit soit totalement faux donc qu'en penses-tu ?

[Zmx]

bah j'pense que sur un gros fichier de log, l'admin va surement commencer par un coup de "grep"
Mais je pense qu'il va grepper sur l"ip plutot que sur "cmd.exe" ou "system32".

Donc j'etais juste curieux de voir le fichier de log,  si il y avais une raison quelquonque de se renommage.

[Shakan]

Merçi ZMX tu viens de répondre à ma question du moins je crois tu me parles en effet de la commande grep en admettant qu'il cherche des pistes concernant l'attaque et qu'il cherche du côté du CMD d'origine il ne trouvera en effet que les commandes qui ont été tapées à l'aide de ce dernier et non à l'aide du CMD1 qui comme je l'ai dit a permis au hacker d'effectuer la seconde partie de son méfait ( le deface )ok ?

Donc ce n'est pas une manière efficace de brouiller les pistes mais ça peut néanmmoins permettre de camoufler certaines pistes surtout si le fichier log est volumineux.

Justement un fichier log crée par un serveur est-il volumineux au point de devoir utiliser la commande grep afin d'y dénicher des pistes ?

Si un administrateur se met à utiliser cette commande c'est uniquement parce qu'il ne veut pas chercher des pistes ligne par ligne.
( Après tout qui aimerait perdre son temps à chercher dans plusieurs centaines de lignes une information aussi crucial soit-elle afin de déceler les actions employées par le hacker )

Bien entendu je n'exclut pas cette possibilité dans le cas des admin peu sérieux au pire fénéant, qu'en dis-tu ?

Donc j'en conclut que si le hacker a utilisé cette méthode c'est uniquement pour forcer l'administrateur a devoir se concentrer sur un autre échantillon du log en admettant qu'il n'ai rien trouvé de compromettant concernant l'utilisation du CMD par le hacker ( l'attaquant ).

Mais justement il me vient une question :

Est-il frauduleux de la part d'un utilisateur quelque peu éclairé d'explorer les répertoires d'un serveur ? ( je pense que oui mais je repose cette question )

A toi de voir mais j'avoue que tu m'as quelque peu éclairé là-dessus !!

Merçi à toi !!

[Zmx]

Non, je pense que meme un bon admin se servira de grep. (pour une premiere approche)
Mais une fois le pirate identifié (horodatage, adresseip*) il va se concentrer sur cette partie du log.
Malheuresement les admins que je connais ne sont pas spécialement des "geek", ils ont plutot tendance à "mettre a jour" la machine, ou la réinstaller, sans chercher plus en avant !

Pour la question "Est-il frauduleux de la part d'un utilisateur quelque peu éclairé d'explorer les répertoires d'un serveur ?"
La réponse est a la fois oui et non :o

Si tu parcours d'une facon legal (repository, fonctionnalité voulu, etc...) ce n'est pas frauduleux, si par contre ce n'est pas "voulu" par l'admin, cela deviens frauduleux (meme si c'est en utilisation d'une faille idiote)

*Pour brouiller les pistes il faudrais donc étalé longuement l'attaque dans le temps, et en changant regulierement d'ip
Sinon, sur mon serveur perso, j'avais plusieurs site web, dont un qui étais binder sans hostname (accesible via l'ip donc) et j'ai un milliard de ligne qui comporte "cmd.exe" dans les log (a cause de divers vers internet qui scanne les sites faillible)
Changer le nom du cmd rend donc l'attaque "plus visible" dans un certain sens. (au milieux des attaque de vers l'attaque serais plus discrete, noyé dans l'information)

[Shakan]

Tu l'as dit toi même il y a des milliards de lignes dans le log d'un serveur du moins pour certains serveurs à mon avis donc dans le cas d'un log volumineux le fait qu'il contienne une référence des commandes concernant un CMD renommé rendra la recherche de cette dernière plus compliqué puisque ces dernières seront certainement noyées parmis toutes les informations que le log contient.

Ce qui rend les recherches plus ardues pour l'administrateur, non ?

Penses-tu que cette façon d'opérer soit valable pour brouiller les pistes de manière certes très relative je te l'accorde mais penses-tu quand même qu'il y a une tentative de la part du hacker d'induire l'administrateur en erreur dans ses recherches concernant l'attaque ?

Bref je vais arrêter d'embêter le monde et me contenter de ce que tu m'as dit dans le cas où cette conversation ennuierai !!

Sur ce bonne soirée !!