Analyse post-mortem de journaux
Bonjour,
Tout d' abord je remercie tout le monde pour les suggestions de
sécurisation d' accès suite à l' intrusion dont j' ai fait l' objet.
Je doute du port-knocking dans mon cas mais j' approfondirai la
question.
J' ouvre un nouveau fil histoire de changer de sujet: l'
analyse des logs. Si c' est trop hors-sujet pour cette liste, dites-le
moi.
Petit historique des événements. Mardi soir (le 17) en remontant dans
l' historique bash de root je tombe au bout de 2 ou 3 commandes sur un
wget qui ne venait manifestement pas de moi. Je découvre 2 fichiers
inconnus (dont celui du wget en question) dans /var/www. Recopie de
ces fichiers pour analyse ultérieure et effacement de /var/www,
changement de mdp, fermeture de l' accès root SSH.
Dans /var/log/auth.log je retrouve effectivement une connexion root à
midi. La connexion est faite du premier coup, donc "il" devait
connaitre le mdp. J' ai eu des erreurs concernant ces fichiers dans les
logs Apache jusqu' à jeudi, depuis plus rien.
En analysant à tête reposée le .bash_history de root, je retrouve
effectivement les deux wget avec quelques commandes autour,
essentiellement des 'cd' et 'ls' mais apparemment rien de grave, et
rien d' autre de suspect.
En regardant les archives auth.log.* depuis le 9, je n'ai que deux
connexions illicites, celle du 17 et une du 16 avec la même adresse IP,
établie elle aussi du premier coup. Je suppose donc que je me suis fait
"voler" mon mdp, je sais pas comment. Les deux fichiers ont du être
chargés en deux fois...
Là où ça se corse, c' est que dans les logs d' Apache, les premières
traces de téléchargement de ces fichiers datent du 13! Moi plus
comprendre.
Si un expert a une once de début d' explication...
Vincent
Reply to: