Re: Analyse post-mortem de journaux

To: debian-user-french@lists.debian.org
Subject: Re: Analyse post-mortem de journaux
From: François Boisson <user.anti-spam@maison.homelinux.net>
Date: Sun, 22 Mar 2009 16:28:14 +0100
Message-id: <[🔎] 20090322162814.89e36eb1.user.anti-spam@maison.homelinux.net>
In-reply-to: <[🔎] 20090322135438.70d61931@gargamel.ouhena.intra>
References: <[🔎] 20090322135438.70d61931@gargamel.ouhena.intra>

Le Sun, 22 Mar 2009 13:54:38 +0100
Vincent Besse <vincent@ouhena.org> a écrit:

> Petit historique des événements. Mardi soir (le 17) en remontant dans
> l' historique bash de root je tombe au bout de 2 ou 3 commandes sur un
> wget qui ne venait manifestement pas de moi. Je découvre 2 fichiers
> inconnus  (dont celui du wget en question) dans /var/www. Recopie de
> ces fichiers pour analyse ultérieure et effacement de /var/www,
> changement de mdp, fermeture de l' accès root SSH.[...]

* Vérifies soigneusement tes logs apache et regardes si venant de cette IP, tu
n'as pas un appel direct d'une page PHP. Tu as peut être une faille dans un
des scripts PHP qui a permis au gars de charger un script PHP lui servant de
shell local.

* Vérifies que dans le bash_history d'apache ou autres, tu n'as pas le mot de
passe root inscrit en clair, quand on tape vite et en urgence, il peut
apparaitre dans le bash_history. Une fois j'ai même trouvé un fichier de nom
ce mot de passe sous la racine.

* Ta machine était elle à jour?

Reply to:

Follow-Ups:
- Re: Analyse post-mortem de journaux
  - From: Vincent Besse <vincent@ouhena.org>

References:
- Analyse post-mortem de journaux
  - From: Vincent Besse <vincent@ouhena.org>

Prev by Date: Re: Analyse post-mortem de journaux
Next by Date: Re: Apache, mod_proxy et reponse 301
Previous by thread: Re: Analyse post-mortem de journaux
Next by thread: Re: Analyse post-mortem de journaux
Index(es):
- Date
- Thread