Fiche de déclaration d’incident de sécurité
-------------------------------------------
 
À utiliser si possible à chaque fois qu’un piratage est constaté et à renvoyer à certsvp@renater.fr
---------------------------------------------------------------------------------------------------


Bonjour,

Vous avez été victime d’un incident de sécurité sur votre site.

En tant qu’administrateur, vous pouvez recevoir de l’aide de notre part afin de régler efficacement le problème.

Cette lettre type est indicative vous pouvez très bien y ajouter d’autres informations utiles et nécessaires au 
travail d’investigation. Sachez qu’elle représente pour nous l’essentiel de ce que nous avons besoin de savoir 
pour vous assurer un service efficace.

À la réception de ce message nous vous attribuerons un numéro de ticket CERTSVPaammjj-x que nous vous demandons
de rappeler dans le champ Subject de toutes correspondances.

=====================================================================================================================
=                                                                                                                   =                                                
= IMPORTANT                                                                                                         =
=                                                                                                                   =
= En cas d'incident de sécurité et avant de mener une enquête plus approfondie sur les raisons et les conséquences  =
= de cet incident, il est nécessaire de préserver les preuves ; preuves qui seront indispensables en cas de dépôt   =
= de plainte.                                                                                                       =
=                                                                                                                   =
= Par conséquent au préalable à toute action, il faut faire une sauvegarde du système dans son état. Pour en savoir =
= plus sur la méthologie à suivre et les éléments à conserver, nous vous conseillons la lecture des documents       =
= suivants (accès avec certificat) :                                                                                =
= - windows : https://www.urec.cnrs.fr/IMG/pdf/secu.corres.InfoG.documentation-a2imp-windows.pdf                    =
= - unix : https://www.urec.cnrs.fr/IMG/pdf/secu.corres.InfoG.documentation-a2imp-linux.pdf                         =
=                                                                                                                   =
= Au cas où, pour des raisons matérielles, vous ne pourriez réaliser une sauvegarde du système en son état (disque  =
= dur), nous vous conseillons de passer le minimum de commandes sur la machine en n'oubliant pas de documenter les  =
= actions que vous réalisez. Dans ce cas, surtout ne réinstallez pas ou ne reformatez pas la machine avant d'avoir  =
= pris votre décision par rapport à un dépôt de plainte.                                                            =
=                                                                                                                   =
=====================================================================================================================


=======================================================

1. VOS COORDONNEES (si vous préférez, votre signature e-mail complète)

1.1. Nom du SITE :

1.2. Votre Nom :
1.3. Votre email :
1.4. Votre numéro de téléphone :

1.5. Êtes-vous correspondant sécurité ? (oui/non)
1.6. Recevez-vous les avis et les statistiques du CERT-Renater ? (oui/non)

1.7. Date et heure de la détection d'intrusion : 
1.8. Quel a été le(s) symptome(s) qui vous a fait penser à une intrusion ?

=======================================================

2. Y a-t-il eu compromission (oui/non) ? à quelle date (estimation/traces de log) ?

2.1. Hypothèse, quel est votre avis sur cette attaque et sur la (ou les) vulnérabilitée(s) qui aurai(en)t
     pu être exploîtée(s) ?

IDENTIFICATION pour CHAQUE machine compromise.

	2.2. Nom Complet :
	2.3. Adresse IP :
	2.4. OS :
	2.5. Poste utilisateur ou serveur :

	2.6. Avez-vous déconnecté temporairement cette machine ? (recommandé)

	2.7. Liste des principaux programmes installés sur la machine et leurs versions (exemple: phpBB v2.0.13) :

	2.8. Liste des connexions réseau : 

             Sous Unix joindre le résultat de la commande fport et le résultat de la commande netstat -anp
             Remarque : ces commandes font parties du script a2imp-unix

             Sous Windows joindre le résultat de la commande fport (http://www.foundstone.com) et
             le résultat de la commande netstat -an et netstat -ano pour XP
             Remarque : ces commandes font parties du script a2imp-win.bat
	     	
	2.9. Liste des services : 

	     Sous Windows joindre le résultat de la commande process explorer :
	     (http://www.sysinternals.com/Utilities/ProcessExplorer.html)
             Remarque : cette commande ne fait pas partie en tant que telle du script a2imp-win.bat ; c'est pslist, 
                        son equivalent en mode ligne, qui est utilisé

	     Sous Unix joindre le résultat de la commande lsof :
	     (ftp://ftp.cert.dfn.de/pub/tools/admin/lsof/)
             Remarque : cette commande fait partie du script a2imp-unix

=======================================================

3. Y a-t-il des traces relatives à ce piratage (oui/non, lesquelles ?) :
   (exemple : dans /var/log/auth.log connexions ssh illicites, dans les logs du routeur)

3.1. Date des connexions illicites et traces de log :
     (Pour les serveurs Apache récupérer systématiquement les fichiers de log: access.log et error.log)

3.2. Y a-t-il des traces de connexions vers d’autres machines ? (oui/non, traces de logs) :

3.3. Y a-t-il des traces de scans ou d’attaques depuis votre machine ? (oui/non, traces de logs) :

=======================================================

4. Avez-vous trouvé des fichiers suspects (lesquels ?) :
   (exemple C:\WINNT\system32\recycler\, /sbin/xlogin, /.../bob/, /temp/)

4.1. Avez-vous trouvé de nouveaux comptes utilisateurs ?
     ->Pour les Unix voir dans /etc/passwd, /etc/shadow
     ->Pour Windows exécuter control panel Choisir :comptes utilisateurs - modifier les paramètres

4.2. Avez-vous vérifié les services lancés au démarrage ?
     Pour les Unix voir dans /etc/rc.d/rc.sysinit

4.3. Avez-vous trouvé d’autres symptômes ?
     (exemple: flux anormaux, login suspect, ralentissement de la machine, fichiers temporaires suspects...)

=======================================================

5. Souhaitez-vous déposer plainte suite à ce piratage ? (oui/non)

=======================================================

6. Souhaitez-vous analyser la machine ? (oui/non) 
   Remarque : à faire uniquement si vous avez réalisé une sauvegarde de la machine

6.1. Recherche de rootkit sur la machine

     Sous Windows joindre le résultat de l’outil rootkitreveal :
     (http://www.sysinternals.com/SecurityUtilities.html)

     Sous Unix joindre le résultat de l’outil chkrootkit :
     (http://www.chkrootkit.org)

=======================================================

Grâce à ces renseignements, nous allons vous re-contacter et contacter les sites impliqués

Cordialement,

====================================
+ CERT-RENATER 
+ 151 bd de l’Hopital 
+ 75013 Paris 
+
+ tel : 04-67-14-14-70 +
+ tel : 01-53-94-20-44 +
+ fax : 01-53-94-20-41 +
+ email : certsvp@renater.fr +
====================================

Pour savoir le minimum vital sur la sécurité, consulter :
http://www.cru.fr/securite/Documents-generaux/Recommandations.html
http://www.urec.cnrs.fr/rubrique202.html