Re: Analyse post-mortem de journaux

To: debian-user-french@lists.debian.org
Subject: Re: Analyse post-mortem de journaux
From: Alain Baeckeroot <alain.baeckeroot@laposte.net>
Date: Sun, 22 Mar 2009 16:27:21 +0100
Message-id: <[🔎] 200903221627.21657.alain.baeckeroot@laposte.net>
In-reply-to: <[🔎] 20090322135438.70d61931@gargamel.ouhena.intra>
References: <[🔎] 20090322135438.70d61931@gargamel.ouhena.intra>

Le 22/03/2009 à 13:54, Vincent Besse a écrit :
> 
> Bonjour,
> 
> Tout d' abord je remercie tout le monde pour les suggestions de
> sécurisation d' accès suite à l' intrusion dont j' ai fait l' objet.
> Je doute du port-knocking dans mon cas mais j' approfondirai la
> question.
> 
>  J' ouvre un nouveau fil histoire de changer de sujet: l'
> analyse des logs. Si c' est trop hors-sujet pour cette liste, dites-le
> moi.
> Petit historique des événements. Mardi soir (le 17) en remontant dans
> l' historique bash de root je tombe au bout de 2 ou 3 commandes sur un
> wget qui ne venait manifestement pas de moi. Je découvre 2 fichiers
> inconnus  (dont celui du wget en question) dans /var/www. Recopie de
> ces fichiers pour analyse ultérieure et effacement de /var/www,
> changement de mdp, fermeture de l' accès root SSH.
> Dans /var/log/auth.log je retrouve effectivement une connexion root à
> midi. La connexion est faite du premier coup, donc "il" devait
> connaitre le mdp. J' ai eu des erreurs concernant ces fichiers dans les
> logs Apache jusqu' à jeudi, depuis plus rien.
> En analysant à tête reposée le .bash_history de root, je retrouve
> effectivement les deux wget avec quelques commandes autour,
> essentiellement des 'cd' et 'ls' mais apparemment rien de grave, et
> rien d' autre de suspect.
> En regardant les archives auth.log.* depuis le 9, je n'ai que deux
> connexions illicites, celle du 17 et une du 16 avec la même adresse IP,
> établie elle aussi du premier coup. Je suppose donc que je me suis fait
> "voler" mon mdp, je sais pas comment. Les deux fichiers ont du être
> chargés en deux fois...
> Là où ça se corse, c' est que dans les logs d' Apache, les premières
> traces de téléchargement de ces fichiers datent du 13! Moi plus
> comprendre.
> 
> Si un expert a une once de début d' explication...
> 
> Vincent
> 

Si j'ai compris, 2 fichiers suspects ont été téléchargés 4 jours avant
les connections illicites.

Les logs sont ils complets et intègres ? Une fois la machine compromise
on doit douter de tout (et bien sur formatter et tout réinstaller)

Pour une machine importante, envoyer les logs sur un autre serveur, ou
les écrire sur un support WORM (write once, read many) en temps réel.
(man rsyslogd.conf :-) )

N'y a-t-il pas un autre compte root créé du genre r00t ?

Désolé je  n'ai pas plus d'idée.
Alain

Reply to:

Follow-Ups:
- Re: Analyse post-mortem de journaux
  - From: Vincent Besse <vincent@ouhena.org>

References:
- Analyse post-mortem de journaux
  - From: Vincent Besse <vincent@ouhena.org>

Prev by Date: Re: des outils qui changent la vie
Next by Date: Re: Analyse post-mortem de journaux
Previous by thread: Analyse post-mortem de journaux
Next by thread: Re: Analyse post-mortem de journaux
Index(es):
- Date
- Thread