Re: Analyse post-mortem de journaux

[julien@nura.eu]

Salut,

Est-ce que tu as une partition spécifique pour /tmp avec les options  
noexec,nosuid ? c'est toujours bon de le faire (les endroits ou  
www-data peut écrire : /tmp /var/tmp).

J'ai déjà reçu une attaque à cause d'une faille php à mon avis. Le  
gars a écrit des fichiers dans /tmp et les a executé pour ouvrir un  
autre port ...
Est-ce qu'une faille du même genre ne pourrais pas permettre de  
récupérer ton fichier shadow et par brute force de découvrir ton mot  
de passe ? Ensuite, il n'a plus qu'a se connecter en SSH pour prendre  
le controle complet ? D'où les logs précedent l'intrusion.

Question pour la liste : Est-ce que c'est un scénario possible ?

Julien.

Quoting Vincent Besse <vincent@ouhena.org>:

> Bonjour,
>
> Tout d' abord je remercie tout le monde pour les suggestions de
> sécurisation d' accès suite à l' intrusion dont j' ai fait l' objet.
> Je doute du port-knocking dans mon cas mais j' approfondirai la
> question.
>
>  J' ouvre un nouveau fil histoire de changer de sujet: l'
> analyse des logs. Si c' est trop hors-sujet pour cette liste, dites-le
> moi.
> Petit historique des événements. Mardi soir (le 17) en remontant dans
> l' historique bash de root je tombe au bout de 2 ou 3 commandes sur un
> wget qui ne venait manifestement pas de moi. Je découvre 2 fichiers
> inconnus  (dont celui du wget en question) dans /var/www. Recopie de
> ces fichiers pour analyse ultérieure et effacement de /var/www,
> changement de mdp, fermeture de l' accès root SSH.
> Dans /var/log/auth.log je retrouve effectivement une connexion root à
> midi. La connexion est faite du premier coup, donc "il" devait
> connaitre le mdp. J' ai eu des erreurs concernant ces fichiers dans les
> logs Apache jusqu' à jeudi, depuis plus rien.
> En analysant à tête reposée le .bash_history de root, je retrouve
> effectivement les deux wget avec quelques commandes autour,
> essentiellement des 'cd' et 'ls' mais apparemment rien de grave, et
> rien d' autre de suspect.
> En regardant les archives auth.log.* depuis le 9, je n'ai que deux
> connexions illicites, celle du 17 et une du 16 avec la même adresse IP,
> établie elle aussi du premier coup. Je suppose donc que je me suis fait
> "voler" mon mdp, je sais pas comment. Les deux fichiers ont du être
> chargés en deux fois...
> Là où ça se corse, c' est que dans les logs d' Apache, les premières
> traces de téléchargement de ces fichiers datent du 13! Moi plus
> comprendre.
>
> Si un expert a une once de début d' explication...
>
> Vincent
>
> --
> Lisez la FAQ de la liste avant de poser une question :
> http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
> ``spam'' dans vos champs "From" et "Reply-To:"
>
> Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
> vers debian-user-french-REQUEST@lists.debian.org
> En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org