Re: Disparition de logs

To: debian-user-french@lists.debian.org
Subject: Re: Disparition de logs
From: Yann Autissier <yann@autissier.net>
Date: Sat, 21 Feb 2004 14:05:37 +0100
Message-id: <[🔎] 403757A1.3050103@autissier.net>
Reply-to: yann@autissier.net
In-reply-to: <[🔎] 87eksp1mut.fsf@fermat.localhost>
References: <[🔎] 40365A7A.7080807@autissier.net> <[🔎] 87eksp1mut.fsf@fermat.localhost>

François TOURDE a écrit :

Le 12468ième jour après Epoch,
Yann Autissier écrivait:

Bonsoir,

Je dispose actuellement sur Paris d'un serveur d'hébergement dédié
sous debian, stable avec quelques paquetages "backportés" (iptables),
ou "sherpyanisés" (php4).


C'est quoi "sherpyanisés" ??

J'ai trouvé ces paquets sur apt-get.org :

deb http://debian.netfarm.it/debian/ woody sherpya
deb http://www.backports.org/debian stable all

Jeudi, alors que, depuis une dixaine de minutes, le serveur semblait
répondre difficilement, et que l'affichage des textes, en console ssh,
n'était plus simultané à la frappe, j'ai totalement perdu le controle
sur celui-ci.

Après le reboot, il manque, dans les principaux logs, 2 bonnes heures...
Je n'ai plus aucun log du Jeudi 19 Fev. entre 17h et 19h30 (heure du
reboot).
Logcheck ne m'a envoyé aucun mail pendant cette période.

Est-ce normal ?


Oui, si ta machine a été hackée, c'est normal. En général on efface la
trace potentielle d'une intrusion quelconque.

C'est effectiviement à cela que je pensais.

syslog:
Feb 19 17:34:55 localhost pop3d-ssl: LOGOUT, user=xxxx, ip=[::ffff:],
top=0, retr=0
Feb 19 17:36:22 localhost ucd-snmp[240]: Connection from XXX.XXX.XXX.XXX
Feb 19 17:36:23 localhost last message repeated 6 times
Feb 19 19:30:09 localhost syslogd 1.4.1#10: restart.
Feb 19 19:30:09 localhost kernel: klogd 1.4.1#10, log source =
/proc/kmsg started.


Là, par contre, c'est un restart de log, genre la machine a rebooté ou
ses démons sont repartis. Voir éventuellement le uptime (modifiable
tout de même par un ver) pour être sûr.

Effectivement j'ai perdu le controle sur la machine et j'ai demandé
à mon hebergeur de la rebooter immédiatement.

Que s'est-il passé ?
Que vérifier ?


uptime
chkrootkit
coupure de courant chez l'hébergeur

Mon uptime est reparti de 0 au reboot, par contre chkrootkit
me renvoie deux lignes intéressantes :

# chkrootkit
Searching for suspicious files and dirs, it may take a while...
/usr/lib/tiger/bin/.bintype
Checking `bindshell'... INFECTED (PORTS:  1524 31337)

# lsof |grep ":1524"
# lsof |grep ":31337"

portsentr 1002 root 40u IPv4 2473 TCP *:31337(LISTEN)

portsentr  1006  root   30u  IPv4       2547                 UDP *:31337

J'ai logcheck, tiger, et portsentry d'installé sur cette machine.

Dois-je demander une réinstallation ?


A toi de voir...

Je vais essayer de récupérer un max d'info ce week-end, puis je demande
la reinstallation Lundi à la première heure...

Existe-t-il de la documentation pour savoir a peu près comment réagir dans
ces situations la ?

Merci d'avance
Yann Autissier

Reply to:

Follow-Ups:
- Re: Disparition de logs
  - From: Jean-Michel OLTRA <jm.oltra.antispam@espinasse.net>
- Re: Disparition de logs
  - From: fra-duf-no-spam@tourde.org (François TOURDE)

References:
- Disparition de logs
  - From: Yann Autissier <yann@autissier.net>
- Re: Disparition de logs
  - From: fra-duf-no-spam@tourde.org (François TOURDE)

Prev by Date: Re: Open Office 1.1 sous Woody
Next by Date: Re: Installer les DRIVER NVIDIA.
Previous by thread: Re: Disparition de logs
Next by thread: Re: Disparition de logs
Index(es):
- Date
- Thread