Securite

To: debian-user-french@lists.debian.org
Subject: Securite
From: "Paulo.debian" <paulo.debian@wanadoo.fr>
Date: Thu, 25 Dec 2003 14:32:19 +0100
Message-id: <[🔎] 20031225133219.GA9010@wanadoo.fr>

Bonnjour,
Ce matin j'ai trouvé un drôle de cadeau de noël dans mes log. N'etant
pas expert en securite j'aimerais avoir votre avis pour savoir si je
dois m'inquiéter. Ci-dessous les fichiers interresant qui valent mieux
qu'un long discours:
	
**auth.log:
Dec 25 06:25:01 homedebian PAM_unix[3729]: (cron) session opened for user root by (uid=0)
Dec 25 06:25:02 homedebian su[3751]: + ??? root-nobody 
Dec 25 06:25:02 homedebian PAM_unix[3751]: (su) session opened for user nobody by (uid=0)
Dec 25 06:27:05 homedebian PAM_unix[3729]: (cron) session closed for user root

**apache/error.log:
#Un asticot acharné, je ne vous est pas mis le debut ça aurait fait long
[Wed Dec 24 19:32:16 2003] [error] [client 80.14.89.16] File does not exist: /var/www/d/winnt/system32/cmd.exe
[Wed Dec 24 19:32:17 2003] [error] [client 80.14.89.16] File does not exist: /var/www/scripts/..%5c../winnt/system32/cmd.exe
[Wed Dec 24 19:32:27 2003] [error] [client 80.14.89.16] File does not exist: /var/www/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
[Wed Dec 24 19:33:15 2003] [error] [client 80.14.89.16] File does not exist: /var/www/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
[Wed Dec 24 22:22:08 2003] [error] [client 80.14.89.16] File does not exist: /var/www/scripts/root.exe
#La partie "interessante"
[Thu Dec 25 06:25:53 2003] [notice] SIGUSR1 received.  Doing graceful restart
[Thu Dec 25 06:25:55 2003] [error] (2)No such file or directory: mod_mime_magic: can't read magic file /etc/apache/share/magic
[Thu Dec 25 06:25:55 2003] [notice] Apache/1.3.26 (Unix) Debian GNU/Linux PHP/4.1.2 configured -- resuming normal operations
[Thu Dec 25 06:25:55 2003] [notice] suEXEC mechanism enabled (wrapper: /usr/lib/apache/suexec)
[Thu Dec 25 06:25:55 2003] [notice] Accept mutex: sysvsem (Default: sysvsem)

**syslog:
Là c'est interessant car il a redemarré à 6H27 en créant un nouveau
fichier syslog.
#La fin de l'ancien; syslog.0
Dec 25 06:25:01 homedebian /USR/SBIN/CRON[3730]: (root) CMD (test -e /usr/sbin/anacron || run-parts --report /etc/cron.daily)
#Et le debut du nouveau
Dec 25 06:27:05 homedebian syslogd 1.4.1#10: restart.

Enfin j'ai trouver des fichiers (que je n'avais jamais vu auparavant
mais c'est peut être une erreur de ma part) portant le nom setuid.* dont
voici le contenu:
#setuid.changes
homedebian changes to setuid programs and devices:
--- setuid.today	Thu Dec 25 06:27:05 2003
+++ /var/log/setuid.new.tmp	Thu Dec 25 06:27:05 2003
@@ -0,0 +1,5442 @@
+   15586   666   1 root       root               0 Wed Dec 24 12:41:26 2003 /dev/dri/card0
+   15707  4755   1 root       root           14508 Mon Jan 21 21:25:22 2002 /sbin/unix_chkpwd
+   15769   660   1 root       root               0 Thu Mar 14 22:54:42 2002 /dev/input/mice
Environ 6000 lignes dans le même type suivent...
Là c'à m'inquiète parce que mon système a été réinstallé en novembre
2003 et ce fichier crée ce matin à 6H27 contient des infos datant de
2002.
Ce fichier est accompagné d'autres du même type: setuid.changes.0,
setuid.changes.new, setuid.today, setuid.yesterday crées en même temps.

Pour terminer au redemarrage de ma connexion ADSL j'ai trouvé quelque
chose de bizarre:
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for "funkytaz10.myftp.org" AAAA/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for "funkytaz10.myftp.org" AAAA/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for "funkytaz10.myftp.org" A/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for "funkytaz10.myftp.org" A/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for "funkytaz10.myftp.org.linuxlan" AAAA/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for "funkytaz10.myftp.org.linuxlan" AAAA/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for "funkytaz10.myftp.org" AAAA/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for "funkytaz10.myftp.org" AAAA/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for "funkytaz10.myftp.org.linuxlan" A/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for "funkytaz10.myftp.org.linuxlan" A/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for "funkytaz10.myftp.org" A/IN
Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for "funkytaz10.myftp.org" A/IN

Voilà c'est tout. Si vous avez une idée...
Je vous souhaite un joyeux noel à tous.
Paul

PS: Woody + Iptables avec apache. Noyau 2.4.22

Reply to:

Follow-Ups:
- Re: Securite
  - From: yoann <debian-yoann+spam@ifrance.com>
- Re: Securite
  - From: Jean-Michel OLTRA <jm.oltra.antispam@espinasse.net>
- Re: Securite
  - From: "Charles Grellois" <charles@maxg.info>

Prev by Date: Re: Patch brk
Next by Date: Re: Securite
Previous by thread: "Undelivered Mail Returned to Sender" + Postfix
Next by thread: Re: Securite
Index(es):
- Date
- Thread