Journaux Linux
Chasse et triage Linux
journalctl, syslog, authentification, auditd et triage d’un serveur Linux compromis.
Processus et réseau
ps auxfww
ss -plant
lsof -nP -i
ls -l /proc/*/exe 2>/dev/null | grep deleted
Persistance
systemctl list-unit-files --state=enabled
systemctl list-timers --all
find /etc/cron* /var/spool/cron -type f -maxdepth 3 -ls 2>/dev/null
find /etc/systemd/system /usr/lib/systemd/system -type f -mtime -7 -ls
Fichiers récents
find /tmp /var/tmp /dev/shm -xdev -type f -mtime -2 -ls
find /etc -xdev -type f -mtime -2 -ls
Packages
# Debian/Ubuntu
grep ' install ' /var/log/dpkg.log
apt list --installed
# RHEL/Rocky
rpm -qa --last | head -50
Indices de compromission
- binaire supprimé mais encore exécuté ;
- service inconnu dans
/etc/systemd/system; - clé SSH ajoutée ;
- cron vers
/tmp; - écoute réseau inhabituelle ;
- modification de PAM, sudoers ou LD_PRELOAD ;
- historique shell effacé ou incohérent.
Collecte ciblée
tar --xattrs --acls -czf CASE-linux-triage.tgz /var/log /etc/systemd/system /etc/cron* /root/.ssh /home/*/.ssh 2>/dev/null
sha256sum CASE-linux-triage.tgz
Attention
Une collecte `tar` sur un système actif modifie les métadonnées et peut inclure des secrets. Utilise un emplacement sécurisé et documente l'action.