Challenge Honeynet 5 : analyse de logs

Magazine
Marque
GNU/Linux Magazine
Numéro
139
Mois de parution
juin 2011


Résumé
Fin 2010, le projet Honeynet a proposé son 5ème challenge de l'année : une analyse de logs. Cette épreuve a été annoncée comme nécessitant un niveau intermédiaire de connaissance. En pratique, aucun participant n'a donné de résultats satisfaisants ! Analyser correctement des logs est plus difficile que l'on ne le croit et c'est pour cela que je vous propose de découvrir en détail ce challenge.

1. Première analyse

Avoir avoir récupéré et décompressé l'archive (http://www.honeynet.org/files/sanitized_log.zip) contenant les logs, nous obtenons les fichiers suivants :

udev

debug

dpkg.log

user.log

messages

apt/term.log

secure

dmesg.0

auth.log

kern.log

fsck/checkfs

fsck/checkroot

fontconfig.log

dmesg

apache2/www-media.log

apache2/www-error.log

apache2/www-access.log

daemon.log

Les noms de fichiers sont révélateurs :

- dmesg, fsck, secure... indiquent qu'il s'agit d'un système Unix ;

- dpkg et apt sont utilisés par les distributions Linux de type Debian et Ubuntu ;

- présence du serveur web apache2.

Pour chaque fichier, commençons par être attentif aux dates des enregistrements.

1.1 udev

export TZ=UTC

[kmaster@adsl sanitized_log]$ grep "UEVENT\[" udev |head -1

UEVENT[1272866735.318771] add      /bus/acpi (bus)

[kmaster@adsl sanitized_log]$ grep "UEVENT\[" udev |tail -1

UEVENT[1272866738.063339] add      /bus/pci/drivers/parport_pc (drivers)

Le moment des événements est exprimé en secondes...

Cet article est réservé aux abonnés. Il vous reste 97% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite