1. Rester discret
Une fois que l’on est arrivé sur
le système ciblé, ce n’est pas le moment
de relâcher son attention, bien au contraire.
Ici encore, l’important est de rester discret et le plus
anonyme possible. On aura pris soin de camoufler sa véritable
adresse IP pour rendre le plus difficile possible un traçage éventuel,
mais le mieux est bien sûr d’effacer également
ses traces pour éviter que l’administrateur du
système détecte l’intrusion.
Le fait de changer le mot de passe root n’est
absolument pas discret. À moins de tomber sur un serveur
jamais administré, le responsable ne pourra plus se connecter
et se doutera immédiatement de quelque chose. Ce qu’il
risque de se passer alors est une réinstallation complète
du système avec traçage des logs et perte des
accès obtenus jusque-là.
De la même façon il ne faut
surtout pas effacer les journaux de logs, chose qui ne se fait jamais
"par magie" sur un système, et qui indiquerait immédiatement
une présence suspecte.
Le mieux est d’effacer ses traces
dans les journaux de logs et seulement ses propres traces, et surtout,
de s’assurer un accès pour plus tard en détournant
le système d’authentification habituel, au cas
où le mot de passe serait changé par l’administrateur. ...