Re: Analyse post-mortem de journaux

[Vincent Besse <vincent@ouhena.org>]

On Sun, 22 Mar 2009 16:28:14 +0100
François Boisson <user.anti-spam@maison.homelinux.net> wrote:

> Le Sun, 22 Mar 2009 13:54:38 +0100
> Vincent Besse <vincent@ouhena.org> a écrit:
> 
> > Petit historique des événements. Mardi soir (le 17) en remontant dans
> > l' historique bash de root je tombe au bout de 2 ou 3 commandes sur un
> > wget qui ne venait manifestement pas de moi. Je découvre 2 fichiers
> > inconnus  (dont celui du wget en question) dans /var/www. Recopie de
> > ces fichiers pour analyse ultérieure et effacement de /var/www,
> > changement de mdp, fermeture de l' accès root SSH.[...]
> 
> * Vérifies soigneusement tes logs apache et regardes si venant de cette IP, tu
> n'as pas un appel direct d'une page PHP. Tu as peut être une faille dans un
> des scripts PHP qui a permis au gars de charger un script PHP lui servant de
> shell local.

Pas de PHP installé. Y en a encore qui ont des serveurs ouaibe sans
PHP :)
Pas de requête de cette adresse non plus.

> * Vérifies que dans le bash_history d'apache ou autres, tu n'as pas le mot de
> passe root inscrit en clair, quand on tape vite et en urgence, il peut
> apparaitre dans le bash_history. Une fois j'ai même trouvé un fichier de nom
> ce mot de passe sous la racine.

le bash_history d' Apache ?

> 
> * Ta machine était elle à jour?

Pas du jour même mais moins d' une semaine.