1 Surveillance des journaux et mauvaises surprises
Le CERTA a été informé de la compromission d'un serveur web qui hébergeait un forum de type phpBB. L'analyse des journaux d'évènements a révélé la présence de requêtes malveillantes à l'attention de ce service. Celles-ci provenaient entre autres d'un serveur de messagerie installé dans le même réseau. L'analyse a ainsi permis de mettre en évidence la compromission d'une deuxième machine. Le CERTA rappelle à cette occasion que :
- les journaux d'évènements devraient contenir les traces de toute activité du serveur. Il ne faut pas limiter la journalisation et son analyse aux échanges entre le serveur et les machines à l'extérieur du réseau;
- il est important de s'assurer que les différents serveurs n'offrent que les services minima nécessaires à leur bon fonctionnement;
- il est important de vérifier que les communications autorisées entre les différents éléments du réseau suivent une politique de sécurité stricte.