Re: Analyse post-mortem de journaux

To: debian-user-french@lists.debian.org
Subject: Re: Analyse post-mortem de journaux
From: Vincent Besse <vincent@ouhena.org>
Date: Sun, 22 Mar 2009 21:32:28 +0100
Message-id: <[🔎] 20090322213228.180a4440@gargamel.ouhena.intra>
In-reply-to: <[🔎] 200903221627.21657.alain.baeckeroot@laposte.net>
References: <[🔎] 20090322135438.70d61931@gargamel.ouhena.intra> <[🔎] 200903221627.21657.alain.baeckeroot@laposte.net>

On Sun, 22 Mar 2009 16:27:21 +0100
Alain Baeckeroot <alain.baeckeroot@laposte.net> wrote:

> 
> Si j'ai compris, 2 fichiers suspects ont été téléchargés 4 jours avant
> les connections illicites.

Pas tout à fait. Ou c' est moi qui comprend mal ce t' as compris. Je
retrouve dans les logs Apache des requêtes _servies_ pour des fichiers
qui à priori n' y ont été déposés que 4 jours plus tard.

> Les logs sont ils complets et intègres ? Une fois la machine compromise
> on doit douter de tout (et bien sur formatter et tout réinstaller)

J' ai rien remarqué d' anormal. Et je me dis que s' "il" avait
bidouillé les logs, "il" aurait effacé ses traces dans auth.log.

> Pour une machine importante, envoyer les logs sur un autre serveur, ou
> les écrire sur un support WORM (write once, read many) en temps réel.
> (man rsyslogd.conf :-) )

Il ne s' agissait que d' un serveur dédié perso sans données ultra
vitales.

Vincent

Reply to:

References:
- Analyse post-mortem de journaux
  - From: Vincent Besse <vincent@ouhena.org>
- Re: Analyse post-mortem de journaux
  - From: Alain Baeckeroot <alain.baeckeroot@laposte.net>

Prev by Date: openjdk et plugin...
Next by Date: Re: Analyse post-mortem de journaux
Previous by thread: Re: Analyse post-mortem de journaux
Next by thread: Re: Analyse post-mortem de journaux
Index(es):
- Date
- Thread