[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Re : Disparition de logs

Le 12469ième jour après Epoch,
Yann Autissier écrivait:

> Maudit soit plutot l'admin débutant que je suis :
> J'enchaine surprises sur surprises, et je ne pense vraiment plus que
> ma machine soit saine.
> C'est effectivement portsentry qui écoute sur les ports 1524 et 31337,
> d'après netstat et lsof.

N'oublie pas que netstat et lsof peuvent avoir été compromis... essaye
de faire un 'sum' et un 'md5sum' des binaires pour les comparer à une
machine saine.

> Mais quand j'ai rebooté le serveur, jeudi, il manquait une partie des
> logs dans les principaux logs,
> mais les logs d'apache avait eux continuer de fonctionner et j'ai pu
> regarder dedans certaines
> connexions qui ont eu lieu sur ce service. Mais je ne les ai pas
> copiés. Vendredi matin, quand j'ai
> voulu vérifier à nouveau, toutes ces informations n'étaient plus qu'un
> vague souvenir :!(

C'est pas une rotation qui a fait ça ?

L'important, c'est de savoir par où ils sont rentrés, si effectivement
ils (les vilains) sont rentrés. Apache a eu un problème de sécurité il
n'y a pas longtemps, mais je ne me souviens plus lequel. Si PHP tourne
aussi sur ta machine, il se peut qu'un 'require()' ou 'include()'
puisse être utilisé pour exécuter du code malicieux, obtenir un accès
root si tu as un noyau <= 2.4.24, et paf!

> Donc je me sens vraiment bête, mais si j'ai qd même retrouver
> certaines i.p. sur lesquelles j'ai
> fait quelques traceroute, je n'ai plus aucune information sur les
> horaires et les fichiers consultés !

Bof... En général ces IP sont celles de machines déjà compromises
elles aussi ;)

Même les logs apache peuvent ne te donner que des IP du même genre.

-- 
I feel better about world problems now!
Reply to: