[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Analyse post-mortem de journaux

On Sun, 22 Mar 2009 23:11:50 +0100
François Boisson <user.anti-spam@maison.homelinux.net> wrote:

> Le Sun, 22 Mar 2009 20:58:41 +0100
> Vincent Besse <vincent@ouhena.org> a écrit:
> 
> > 
> > le bash_history d' Apache ?
> > 
> 
> Oui, ou plutôt celui de www-data sous /var/www.

Il n' y avait rien sous /var/www, ni .bashrc ni .bash_history.
> 
> > > 
> > > * Ta machine était elle à jour?
> > 
> > Pas du jour même mais moins d' une semaine.
> 
> Que donne la commande «last -f /var/log/wtmp» sur les logins des derniers
> jours avant l'intrusion? 

Oh ! Je retrouve les deux connexions du 16 et du 17 plus une troisème
le 13 de 7h04 à 7h48. J' ai un trou dans les archives entre le 11 et le
13 à 7h48. Il a donc du effacer le auth.log ce jour-là. Pourquoi ne l'
a t' il pas fait les deux autres fois? En tout cas je comprends
pourquoi mon Apache a commencé à servir ses fichiers à partir du 13.

Décidement, c' est toujours quand on est dans la merde qu' on apprend
le plus :)

Vincent
Reply to: