Votre serveur Linux a-t-il été piraté ? Voici comment le savoir

breve histoire hacking
breve histoire hacking

Dernière mise à jour : 15 mai 2024

Votre serveur Linux a-t-il été piraté ? Si vous pensez que quelqu’un a réussi à s’introduire, il est très important de réagir vite. Vérifier les fichiers qui ont été changés récemment peut vous donner des indices sur ce que le pirate a fait et vous aider à corriger la situation.

Ce guide va vous montrer comment trouver les fichiers qu’un pirate a modifiés sur un serveur Linux. Nous allons vous expliquer des commandes et des outils simples pour voir quels fichiers ont été modifiés récemment.

Identifier les fichiers modifiés par un hacker sur un serveur Linux

Il existe une méthode efficace pour identifier rapidement les fichiers qui ont été modifiés de manière suspecte sur votre serveur Linux.

Vous pouvez commencer par examiner tous les fichiers modifiés dans un répertoire spécifique au cours des deux derniers jours, en utilisant la commande find.

find /repertoire -type f -mtime -2 -print | more
Cependant, cette commande requiert l’examen de chaque répertoire individuellement. Pour une recherche plus globale sur tout le serveur, vous pouvez utiliser la commande suivante :
find / -not -path ‘/sys*’ -not -path ‘/dev*’ -not -path ‘/proc*’ -mmin -30
Cette commande exclut les répertoires /sys, /proc, et /dev, et cherche les fichiers modifiés dans les 30 dernières minutes.

Pour aller plus loin dans l’analyse des fichiers suspects, vous pouvez également utiliser des options comme -user . En effet, cette option vous permet de filtrer les fichiers modifiés par un utilisateur spécifique. Vous pouvez utiliser également  -perm pour identifier des changements de permissions. Cela bien évidemment pourraient indiquer une intrusion.

Il est également recommandé d’intégrer ces vérifications dans des scripts régulièrement exécutés par des tâches cron.

Enfin, pour mieux comprendre et réagir aux modifications détectées, installez un outil de surveillance avancé comme auditd, qui peuvent fournir un suivi détaillé des activités sur les fichiers systèmes.

N’oubliez pas que le meilleur moyen de soutenir notre plateforme est de partager nos tutos ! 😉