Re: Re : Disparition de logs

To: debian-user-french@lists.debian.org
Subject: Re: Re : Disparition de logs
From: Yann Autissier <yann@autissier.net>
Date: Sun, 22 Feb 2004 01:22:47 +0100
Message-id: <[🔎] 4037F657.6090001@autissier.net>
Reply-to: yann@autissier.net
In-reply-to: <[🔎] 87u11kqmsi.fsf@fermat.localhost>
References: <[🔎] 40365A7A.7080807@autissier.net> <[🔎] 87eksp1mut.fsf@fermat.localhost> <[🔎] 403757A1.3050103@autissier.net> <[🔎] 87brnsscr6.fsf@fermat.localhost> <[🔎] 20040221152426.GC19851@tangerine.coulon.evette> <[🔎] 873c94s9g2.fsf@fermat.localhost> <[🔎] 40378E8C.4090800@autissier.net> <[🔎] 87u11kqmsi.fsf@fermat.localhost>

François TOURDE a écrit :

Le 12469ième jour après Epoch,
Yann Autissier écrivait:

Maudit soit plutot l'admin débutant que je suis :
J'enchaine surprises sur surprises, et je ne pense vraiment plus que
ma machine soit saine.
C'est effectivement portsentry qui écoute sur les ports 1524 et 31337,
d'après netstat et lsof.


N'oublie pas que netstat et lsof peuvent avoir été compromis... essaye
de faire un 'sum' et un 'md5sum' des binaires pour les comparer à une
machine saine.

J'ai exactement les mêmes retour sur une machine que j'estime saine.
$ md5sum /bin/netstat
fd2c999a20b1e9bbb395ee8389208923  /bin/netstat
Package: net-tools
Version: 1.60-8.backports.org.1

$ md5sum /usr/sbin/lsof
f74cd4da3c3a526ee8d8707986995429  /usr/sbin/lsof
Package: lsof
Version: 4.57-1

Mais quand j'ai rebooté le serveur, jeudi, il manquait une partie des
logs dans les principaux logs,
mais les logs d'apache avait eux continuer de fonctionner et j'ai pu
regarder dedans certaines
connexions qui ont eu lieu sur ce service. Mais je ne les ai pas
copiés. Vendredi matin, quand j'ai
voulu vérifier à nouveau, toutes ces informations n'étaient plus qu'un
vague souvenir :!(


C'est pas une rotation qui a fait ça ?

non, uniquement les infos des connexions entre 17h00 et 19h30...

L'important, c'est de savoir par où ils sont rentrés, si effectivement
ils (les vilains) sont rentrés. Apache a eu un problème de sécurité il
n'y a pas longtemps, mais je ne me souviens plus lequel. Si PHP tourne
aussi sur ta machine, il se peut qu'un 'require()' ou 'include()'
puisse être utilisé pour exécuter du code malicieux, obtenir un accès
root si tu as un noyau <= 2.4.24, et paf!

Effectivement, je suis encore en 2.4.22, et tous les sites hébergés sont
développés en php.
Je ne peux donc m'en prendre qu'à moi ! :-(

Donc je me sens vraiment bête, mais si j'ai qd même retrouver
certaines i.p. sur lesquelles j'ai
fait quelques traceroute, je n'ai plus aucune information sur les
horaires et les fichiers consultés !


Bof... En général ces IP sont celles de machines déjà compromises
elles aussi ;)

Même les logs apache peuvent ne te donner que des IP du même genre.

Il devait tout de même y avoir une trace de l'intrusion, et
probablement de la requête utilisée pour corrompre mon apache.

Reply to:

Follow-Ups:
- Re: Re : Disparition de logs
  - From: Jean-Michel OLTRA <jm.oltra.antispam@espinasse.net>

References:
- Disparition de logs
  - From: Yann Autissier <yann@autissier.net>
- Re: Disparition de logs
  - From: fra-duf-no-spam@tourde.org (François TOURDE)
- Re: Disparition de logs
  - From: Yann Autissier <yann@autissier.net>
- Re: Disparition de logs
  - From: fra-duf-no-spam@tourde.org (François TOURDE)
- Re : Disparition de logs
  - From: "Jean-Luc Coulon (f5ibh)" <jean-luc.coulon@wanadoo.fr>
- Re: Re : Disparition de logs
  - From: fra-duf-no-spam@tourde.org (François TOURDE)
- Re: Re : Disparition de logs
  - From: Yann Autissier <yann@autissier.net>
- Re: Re : Disparition de logs
  - From: fra-duf-no-spam@tourde.org (François TOURDE)

Prev by Date: Re: Mise à jour KDE (CD LMF n°56)
Next by Date: Re: dpkg-reconfigure et les fleches du clavier
Previous by thread: Re: Re : Disparition de logs
Next by thread: Re: Re : Disparition de logs
Index(es):
- Date
- Thread