Re: Analyse post-mortem de journaux
On Sun, 22 Mar 2009 16:28:14 +0100
François Boisson <user.anti-spam@maison.homelinux.net> wrote:
> Le Sun, 22 Mar 2009 13:54:38 +0100
> Vincent Besse <vincent@ouhena.org> a écrit:
>
> > Petit historique des événements. Mardi soir (le 17) en remontant dans
> > l' historique bash de root je tombe au bout de 2 ou 3 commandes sur un
> > wget qui ne venait manifestement pas de moi. Je découvre 2 fichiers
> > inconnus (dont celui du wget en question) dans /var/www. Recopie de
> > ces fichiers pour analyse ultérieure et effacement de /var/www,
> > changement de mdp, fermeture de l' accès root SSH.[...]
>
> * Vérifies soigneusement tes logs apache et regardes si venant de cette IP, tu
> n'as pas un appel direct d'une page PHP. Tu as peut être une faille dans un
> des scripts PHP qui a permis au gars de charger un script PHP lui servant de
> shell local.
Pas de PHP installé. Y en a encore qui ont des serveurs ouaibe sans
PHP :)
Pas de requête de cette adresse non plus.
> * Vérifies que dans le bash_history d'apache ou autres, tu n'as pas le mot de
> passe root inscrit en clair, quand on tape vite et en urgence, il peut
> apparaitre dans le bash_history. Une fois j'ai même trouvé un fichier de nom
> ce mot de passe sous la racine.
le bash_history d' Apache ?
>
> * Ta machine était elle à jour?
Pas du jour même mais moins d' une semaine.
Reply to: