1 Surveillance des journaux et mauvaises surprises

Le CERTA a été informé de la compromission d'un serveur web qui hébergeait un forum de type phpBB. L'analyse des journaux d'évènements a révélé la présence de requêtes malveillantes à l'attention de ce service. Celles-ci provenaient entre autres d'un serveur de messagerie installé dans le même réseau. L'analyse a ainsi permis de mettre en évidence la compromission d'une deuxième machine. Le CERTA rappelle à cette occasion que :

  • les journaux d'évènements devraient contenir les traces de toute activité du serveur. Il ne faut pas limiter la journalisation et son analyse aux échanges entre le serveur et les machines à l'extérieur du réseau;
  • il est important de s'assurer que les différents serveurs n'offrent que les services minima nécessaires à leur bon fonctionnement;
  • il est important de vérifier que les communications autorisées entre les différents éléments du réseau suivent une politique de sécurité stricte.

Rappel des publications émises

Dans la période du 24 avril 2006 au 30 avril 2006, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :