Tout d' abord je remercie tout le monde pour les suggestions de
s=E9curisation d' acc=E8s suite =E0 l' intrusion dont j' ai fait l' objet.
Je doute du port-knocking dans mon cas mais j' approfondirai la
question.
J' ouvre un nouveau fil histoire de changer de sujet: l'
analyse des logs. Si c' est trop hors-sujet pour cette liste, dites-le
moi.
Petit historique des =E9v=E9nements. Mardi soir (le 17) en remontant dans
l' historique bash de root je tombe au bout de 2 ou 3 commandes sur un
wget qui ne venait manifestement pas de moi. Je d=E9couvre 2 fichiers
inconnus (dont celui du wget en question) dans /var/www. Recopie de
ces fichiers pour analyse ult=E9rieure et effacement de /var/www,
changement de mdp, fermeture de l' acc=E8s root SSH.
Dans /var/log/auth.log je retrouve effectivement une connexion root =E0
midi. La connexion est faite du premier coup, donc "il" devait
connaitre le mdp. J' ai eu des erreurs concernant ces fichiers dans les
logs Apache jusqu' =E0 jeudi, depuis plus rien.
En analysant =E0 t=EAte repos=E9e le .bash_history de root, je retrouve
effectivement les deux wget avec quelques commandes autour,
essentiellement des 'cd' et 'ls' mais apparemment rien de grave, et
rien d' autre de suspect.
En regardant les archives auth.log.* depuis le 9, je n'ai que deux
connexions illicites, celle du 17 et une du 16 avec la m=EAme adresse IP,
=E9tablie elle aussi du premier coup. Je suppose donc que je me suis fait
"voler" mon mdp, je sais pas comment. Les deux fichiers ont du =EAtre
charg=E9s en deux fois...
L=E0 o=F9 =E7a se corse, c' est que dans les logs d' Apache, les premi=E8res
traces de t=E9l=E9chargement de ces fichiers datent du 13! Moi plus
comprendre.
Si un expert a une once de d=E9but d' explication...
Vincent
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Le Sun, 22 Mar 2009 13:54:38 +0100 Vincent Besse a écrit:
Petit historique des événements. Mardi soir (le 17) en remontant dans l' historique bash de root je tombe au bout de 2 ou 3 commandes sur un wget qui ne venait manifestement pas de moi. Je découvre 2 fichiers inconnus (dont celui du wget en question) dans /var/www. Recopie de ces fichiers pour analyse ultérieure et effacement de /var/www, changement de mdp, fermeture de l' accès root SSH.[...]
* Vérifies soigneusement tes logs apache et regardes si venant de cette IP, tu n'as pas un appel direct d'une page PHP. Tu as peut être une faille dans un des scripts PHP qui a permis au gars de charger un script PHP lui servant de shell local.
* Vérifies que dans le bash_history d'apache ou autres, tu n'as pas le mot de passe root inscrit en clair, quand on tape vite et en urgence, il peut apparaitre dans le bash_history. Une fois j'ai même trouvé un fichier de nom ce mot de passe sous la racine.
* Ta machine était elle à jour?
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Le Sun, 22 Mar 2009 13:54:38 +0100
Vincent Besse <vincent@ouhena.org> a écrit:
Petit historique des événements. Mardi soir (le 17) en remontant dans
l' historique bash de root je tombe au bout de 2 ou 3 commandes sur un
wget qui ne venait manifestement pas de moi. Je découvre 2 fichiers
inconnus (dont celui du wget en question) dans /var/www. Recopie de
ces fichiers pour analyse ultérieure et effacement de /var/www,
changement de mdp, fermeture de l' accès root SSH.[...]
* Vérifies soigneusement tes logs apache et regardes si venant de cette IP, tu
n'as pas un appel direct d'une page PHP. Tu as peut être une faille dans un
des scripts PHP qui a permis au gars de charger un script PHP lui servant de
shell local.
* Vérifies que dans le bash_history d'apache ou autres, tu n'as pas le mot de
passe root inscrit en clair, quand on tape vite et en urgence, il peut
apparaitre dans le bash_history. Une fois j'ai même trouvé un fichier de nom
ce mot de passe sous la racine.
* Ta machine était elle à jour?
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Le Sun, 22 Mar 2009 13:54:38 +0100 Vincent Besse a écrit:
Petit historique des événements. Mardi soir (le 17) en remontant dans l' historique bash de root je tombe au bout de 2 ou 3 commandes sur un wget qui ne venait manifestement pas de moi. Je découvre 2 fichiers inconnus (dont celui du wget en question) dans /var/www. Recopie de ces fichiers pour analyse ultérieure et effacement de /var/www, changement de mdp, fermeture de l' accès root SSH.[...]
* Vérifies soigneusement tes logs apache et regardes si venant de cette IP, tu n'as pas un appel direct d'une page PHP. Tu as peut être une faille dans un des scripts PHP qui a permis au gars de charger un script PHP lui servant de shell local.
* Vérifies que dans le bash_history d'apache ou autres, tu n'as pas le mot de passe root inscrit en clair, quand on tape vite et en urgence, il peut apparaitre dans le bash_history. Une fois j'ai même trouvé un fichier de nom ce mot de passe sous la racine.
* Ta machine était elle à jour?
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Alain Baeckeroot
Le 22/03/2009 à 13:54, Vincent Besse a écrit :
Bonjour,
Tout d' abord je remercie tout le monde pour les suggestions de sécurisation d' accès suite à l' intrusion dont j' ai fait l' objet. Je doute du port-knocking dans mon cas mais j' approfondirai la question.
J' ouvre un nouveau fil histoire de changer de sujet: l' analyse des logs. Si c' est trop hors-sujet pour cette liste, dites-le moi. Petit historique des événements. Mardi soir (le 17) en remontant dans l' historique bash de root je tombe au bout de 2 ou 3 commandes sur un wget qui ne venait manifestement pas de moi. Je découvre 2 fichiers inconnus (dont celui du wget en question) dans /var/www. Recopie de ces fichiers pour analyse ultérieure et effacement de /var/www, changement de mdp, fermeture de l' accès root SSH. Dans /var/log/auth.log je retrouve effectivement une connexion root à midi. La connexion est faite du premier coup, donc "il" devait connaitre le mdp. J' ai eu des erreurs concernant ces fichiers dans les logs Apache jusqu' à jeudi, depuis plus rien. En analysant à tête reposée le .bash_history de root, je retrouve effectivement les deux wget avec quelques commandes autour, essentiellement des 'cd' et 'ls' mais apparemment rien de grave, et rien d' autre de suspect. En regardant les archives auth.log.* depuis le 9, je n'ai que deux connexions illicites, celle du 17 et une du 16 avec la même adresse IP, établie elle aussi du premier coup. Je suppose donc que je me suis fait "voler" mon mdp, je sais pas comment. Les deux fichiers ont du être chargés en deux fois... Là où ça se corse, c' est que dans les logs d' Apache, les premiè res traces de téléchargement de ces fichiers datent du 13! Moi plus comprendre.
Si un expert a une once de début d' explication...
Vincent
Si j'ai compris, 2 fichiers suspects ont été téléchargés 4 jours avant les connections illicites.
Les logs sont ils complets et intègres ? Une fois la machine compromise on doit douter de tout (et bien sur formatter et tout réinstaller)
Pour une machine importante, envoyer les logs sur un autre serveur, ou les écrire sur un support WORM (write once, read many) en temps réel. (man rsyslogd.conf :-) )
N'y a-t-il pas un autre compte root créé du genre r00t ?
Désolé je n'ai pas plus d'idée. Alain
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Le 22/03/2009 à 13:54, Vincent Besse a écrit :
Bonjour,
Tout d' abord je remercie tout le monde pour les suggestions de
sécurisation d' accès suite à l' intrusion dont j' ai fait l' objet.
Je doute du port-knocking dans mon cas mais j' approfondirai la
question.
J' ouvre un nouveau fil histoire de changer de sujet: l'
analyse des logs. Si c' est trop hors-sujet pour cette liste, dites-le
moi.
Petit historique des événements. Mardi soir (le 17) en remontant dans
l' historique bash de root je tombe au bout de 2 ou 3 commandes sur un
wget qui ne venait manifestement pas de moi. Je découvre 2 fichiers
inconnus (dont celui du wget en question) dans /var/www. Recopie de
ces fichiers pour analyse ultérieure et effacement de /var/www,
changement de mdp, fermeture de l' accès root SSH.
Dans /var/log/auth.log je retrouve effectivement une connexion root à
midi. La connexion est faite du premier coup, donc "il" devait
connaitre le mdp. J' ai eu des erreurs concernant ces fichiers dans les
logs Apache jusqu' à jeudi, depuis plus rien.
En analysant à tête reposée le .bash_history de root, je retrouve
effectivement les deux wget avec quelques commandes autour,
essentiellement des 'cd' et 'ls' mais apparemment rien de grave, et
rien d' autre de suspect.
En regardant les archives auth.log.* depuis le 9, je n'ai que deux
connexions illicites, celle du 17 et une du 16 avec la même adresse IP,
établie elle aussi du premier coup. Je suppose donc que je me suis fait
"voler" mon mdp, je sais pas comment. Les deux fichiers ont du être
chargés en deux fois...
Là où ça se corse, c' est que dans les logs d' Apache, les premiè res
traces de téléchargement de ces fichiers datent du 13! Moi plus
comprendre.
Si un expert a une once de début d' explication...
Vincent
Si j'ai compris, 2 fichiers suspects ont été téléchargés 4 jours avant
les connections illicites.
Les logs sont ils complets et intègres ? Une fois la machine compromise
on doit douter de tout (et bien sur formatter et tout réinstaller)
Pour une machine importante, envoyer les logs sur un autre serveur, ou
les écrire sur un support WORM (write once, read many) en temps réel.
(man rsyslogd.conf :-) )
N'y a-t-il pas un autre compte root créé du genre r00t ?
Désolé je n'ai pas plus d'idée.
Alain
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Tout d' abord je remercie tout le monde pour les suggestions de sécurisation d' accès suite à l' intrusion dont j' ai fait l' objet. Je doute du port-knocking dans mon cas mais j' approfondirai la question.
J' ouvre un nouveau fil histoire de changer de sujet: l' analyse des logs. Si c' est trop hors-sujet pour cette liste, dites-le moi. Petit historique des événements. Mardi soir (le 17) en remontant dans l' historique bash de root je tombe au bout de 2 ou 3 commandes sur un wget qui ne venait manifestement pas de moi. Je découvre 2 fichiers inconnus (dont celui du wget en question) dans /var/www. Recopie de ces fichiers pour analyse ultérieure et effacement de /var/www, changement de mdp, fermeture de l' accès root SSH. Dans /var/log/auth.log je retrouve effectivement une connexion root à midi. La connexion est faite du premier coup, donc "il" devait connaitre le mdp. J' ai eu des erreurs concernant ces fichiers dans les logs Apache jusqu' à jeudi, depuis plus rien. En analysant à tête reposée le .bash_history de root, je retrouve effectivement les deux wget avec quelques commandes autour, essentiellement des 'cd' et 'ls' mais apparemment rien de grave, et rien d' autre de suspect. En regardant les archives auth.log.* depuis le 9, je n'ai que deux connexions illicites, celle du 17 et une du 16 avec la même adresse IP, établie elle aussi du premier coup. Je suppose donc que je me suis fait "voler" mon mdp, je sais pas comment. Les deux fichiers ont du être chargés en deux fois... Là où ça se corse, c' est que dans les logs d' Apache, les premiè res traces de téléchargement de ces fichiers datent du 13! Moi plus comprendre.
Si un expert a une once de début d' explication...
Vincent
Si j'ai compris, 2 fichiers suspects ont été téléchargés 4 jours avant les connections illicites.
Les logs sont ils complets et intègres ? Une fois la machine compromise on doit douter de tout (et bien sur formatter et tout réinstaller)
Pour une machine importante, envoyer les logs sur un autre serveur, ou les écrire sur un support WORM (write once, read many) en temps réel. (man rsyslogd.conf :-) )
N'y a-t-il pas un autre compte root créé du genre r00t ?
Désolé je n'ai pas plus d'idée. Alain
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
François Boisson
Le Sun, 22 Mar 2009 19:07:10 +0100 a écrit:
Est-ce qu'une faille du même genre ne pourrais pas permettre de récupérer ton fichier shadow et par brute force de découvrir ton mot de passe ? Ensuite, il n'a plus qu'a se connecter en SSH pour prendre le controle complet ? D'où les logs précedent l'intrusion.
Question pour la liste : Est-ce que c'est un scénario possible ?
Oui, j'ai fait passer un fichier de mot de passe à JohnTheRipper de 300 comptes et 60% des mots de passe sont trouvés en 2 jours.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Le Sun, 22 Mar 2009 19:07:10 +0100
julien@nura.eu a écrit:
Est-ce qu'une faille du même genre ne pourrais pas permettre de
récupérer ton fichier shadow et par brute force de découvrir ton mot
de passe ? Ensuite, il n'a plus qu'a se connecter en SSH pour prendre
le controle complet ? D'où les logs précedent l'intrusion.
Question pour la liste : Est-ce que c'est un scénario possible ?
Oui, j'ai fait passer un fichier de mot de passe à JohnTheRipper de 300
comptes et 60% des mots de passe sont trouvés en 2 jours.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Est-ce qu'une faille du même genre ne pourrais pas permettre de récupérer ton fichier shadow et par brute force de découvrir ton mot de passe ? Ensuite, il n'a plus qu'a se connecter en SSH pour prendre le controle complet ? D'où les logs précedent l'intrusion.
Question pour la liste : Est-ce que c'est un scénario possible ?
Oui, j'ai fait passer un fichier de mot de passe à JohnTheRipper de 300 comptes et 60% des mots de passe sont trouvés en 2 jours.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Vincent Besse
On Sun, 22 Mar 2009 16:28:14 +0100 François Boisson wrote:
Le Sun, 22 Mar 2009 13:54:38 +0100 Vincent Besse a écrit:
> Petit historique des événements. Mardi soir (le 17) en remontant da ns > l' historique bash de root je tombe au bout de 2 ou 3 commandes sur un > wget qui ne venait manifestement pas de moi. Je découvre 2 fichiers > inconnus (dont celui du wget en question) dans /var/www. Recopie de > ces fichiers pour analyse ultérieure et effacement de /var/www, > changement de mdp, fermeture de l' accès root SSH.[...]
* Vérifies soigneusement tes logs apache et regardes si venant de cette IP, tu n'as pas un appel direct d'une page PHP. Tu as peut être une faille dan s un des scripts PHP qui a permis au gars de charger un script PHP lui servant de shell local.
Pas de PHP installé. Y en a encore qui ont des serveurs ouaibe sans PHP :) Pas de requête de cette adresse non plus.
* Vérifies que dans le bash_history d'apache ou autres, tu n'as pas le mot de passe root inscrit en clair, quand on tape vite et en urgence, il peut apparaitre dans le bash_history. Une fois j'ai même trouvé un fichier de nom ce mot de passe sous la racine.
le bash_history d' Apache ?
* Ta machine était elle à jour?
Pas du jour même mais moins d' une semaine.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
On Sun, 22 Mar 2009 16:28:14 +0100
François Boisson <user.anti-spam@maison.homelinux.net> wrote:
Le Sun, 22 Mar 2009 13:54:38 +0100
Vincent Besse <vincent@ouhena.org> a écrit:
> Petit historique des événements. Mardi soir (le 17) en remontant da ns
> l' historique bash de root je tombe au bout de 2 ou 3 commandes sur un
> wget qui ne venait manifestement pas de moi. Je découvre 2 fichiers
> inconnus (dont celui du wget en question) dans /var/www. Recopie de
> ces fichiers pour analyse ultérieure et effacement de /var/www,
> changement de mdp, fermeture de l' accès root SSH.[...]
* Vérifies soigneusement tes logs apache et regardes si venant de cette IP, tu
n'as pas un appel direct d'une page PHP. Tu as peut être une faille dan s un
des scripts PHP qui a permis au gars de charger un script PHP lui servant de
shell local.
Pas de PHP installé. Y en a encore qui ont des serveurs ouaibe sans
PHP :)
Pas de requête de cette adresse non plus.
* Vérifies que dans le bash_history d'apache ou autres, tu n'as pas le mot de
passe root inscrit en clair, quand on tape vite et en urgence, il peut
apparaitre dans le bash_history. Une fois j'ai même trouvé un fichier de nom
ce mot de passe sous la racine.
le bash_history d' Apache ?
* Ta machine était elle à jour?
Pas du jour même mais moins d' une semaine.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
On Sun, 22 Mar 2009 16:28:14 +0100 François Boisson wrote:
Le Sun, 22 Mar 2009 13:54:38 +0100 Vincent Besse a écrit:
> Petit historique des événements. Mardi soir (le 17) en remontant da ns > l' historique bash de root je tombe au bout de 2 ou 3 commandes sur un > wget qui ne venait manifestement pas de moi. Je découvre 2 fichiers > inconnus (dont celui du wget en question) dans /var/www. Recopie de > ces fichiers pour analyse ultérieure et effacement de /var/www, > changement de mdp, fermeture de l' accès root SSH.[...]
* Vérifies soigneusement tes logs apache et regardes si venant de cette IP, tu n'as pas un appel direct d'une page PHP. Tu as peut être une faille dan s un des scripts PHP qui a permis au gars de charger un script PHP lui servant de shell local.
Pas de PHP installé. Y en a encore qui ont des serveurs ouaibe sans PHP :) Pas de requête de cette adresse non plus.
* Vérifies que dans le bash_history d'apache ou autres, tu n'as pas le mot de passe root inscrit en clair, quand on tape vite et en urgence, il peut apparaitre dans le bash_history. Une fois j'ai même trouvé un fichier de nom ce mot de passe sous la racine.
le bash_history d' Apache ?
* Ta machine était elle à jour?
Pas du jour même mais moins d' une semaine.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Vincent Besse
On Sun, 22 Mar 2009 19:07:10 +0100 wrote:
Salut,
Est-ce que tu as une partition spécifique pour /tmp avec les options noexec,nosuid ? c'est toujours bon de le faire (les endroits ou www-data peut écrire : /tmp /var/tmp).
non mais je retiens pour la réinstallation, merci.
Vincent
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
On Sun, 22 Mar 2009 19:07:10 +0100
julien@nura.eu wrote:
Salut,
Est-ce que tu as une partition spécifique pour /tmp avec les options
noexec,nosuid ? c'est toujours bon de le faire (les endroits ou
www-data peut écrire : /tmp /var/tmp).
non mais je retiens pour la réinstallation, merci.
Vincent
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Est-ce que tu as une partition spécifique pour /tmp avec les options noexec,nosuid ? c'est toujours bon de le faire (les endroits ou www-data peut écrire : /tmp /var/tmp).
non mais je retiens pour la réinstallation, merci.
Vincent
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Vincent Besse
On Sun, 22 Mar 2009 16:27:21 +0100 Alain Baeckeroot wrote:
Si j'ai compris, 2 fichiers suspects ont été téléchargés 4 jour s avant les connections illicites.
Pas tout à fait. Ou c' est moi qui comprend mal ce t' as compris. Je retrouve dans les logs Apache des requêtes _servies_ pour des fichiers qui à priori n' y ont été déposés que 4 jours plus tard.
Les logs sont ils complets et intègres ? Une fois la machine compromise on doit douter de tout (et bien sur formatter et tout réinstaller)
J' ai rien remarqué d' anormal. Et je me dis que s' "il" avait bidouillé les logs, "il" aurait effacé ses traces dans auth.log.
Pour une machine importante, envoyer les logs sur un autre serveur, ou les écrire sur un support WORM (write once, read many) en temps réel. (man rsyslogd.conf :-) )
Il ne s' agissait que d' un serveur dédié perso sans données ultra vitales.
Vincent
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
On Sun, 22 Mar 2009 16:27:21 +0100
Alain Baeckeroot <alain.baeckeroot@laposte.net> wrote:
Si j'ai compris, 2 fichiers suspects ont été téléchargés 4 jour s avant
les connections illicites.
Pas tout à fait. Ou c' est moi qui comprend mal ce t' as compris. Je
retrouve dans les logs Apache des requêtes _servies_ pour des fichiers
qui à priori n' y ont été déposés que 4 jours plus tard.
Les logs sont ils complets et intègres ? Une fois la machine compromise
on doit douter de tout (et bien sur formatter et tout réinstaller)
J' ai rien remarqué d' anormal. Et je me dis que s' "il" avait
bidouillé les logs, "il" aurait effacé ses traces dans auth.log.
Pour une machine importante, envoyer les logs sur un autre serveur, ou
les écrire sur un support WORM (write once, read many) en temps réel.
(man rsyslogd.conf :-) )
Il ne s' agissait que d' un serveur dédié perso sans données ultra
vitales.
Vincent
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
On Sun, 22 Mar 2009 16:27:21 +0100 Alain Baeckeroot wrote:
Si j'ai compris, 2 fichiers suspects ont été téléchargés 4 jour s avant les connections illicites.
Pas tout à fait. Ou c' est moi qui comprend mal ce t' as compris. Je retrouve dans les logs Apache des requêtes _servies_ pour des fichiers qui à priori n' y ont été déposés que 4 jours plus tard.
Les logs sont ils complets et intègres ? Une fois la machine compromise on doit douter de tout (et bien sur formatter et tout réinstaller)
J' ai rien remarqué d' anormal. Et je me dis que s' "il" avait bidouillé les logs, "il" aurait effacé ses traces dans auth.log.
Pour une machine importante, envoyer les logs sur un autre serveur, ou les écrire sur un support WORM (write once, read many) en temps réel. (man rsyslogd.conf :-) )
Il ne s' agissait que d' un serveur dédié perso sans données ultra vitales.
Vincent
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Vincent Besse
On Sun, 22 Mar 2009 20:58:41 +0100 Vincent Besse wrote:
[...]
> * Vérifies que dans le bash_history d'apache ou autres, tu n'as pas l e mot de > passe root inscrit en clair, quand on tape vite et en urgence, il peut > apparaitre dans le bash_history. Une fois j'ai même trouvé un fichi er de nom > ce mot de passe sous la racine.
le bash_history d' Apache ?
Par contre dans le bash_history de root, en y regardant de plus près, dans la liste de commandes que j' attribue à mon cher inconnu, il y a un 'mc' et un '' (tout seul sur sa ligne ??). Les commandes faites dans mc sont-elles aussi archivées? Sinon c' est un moyen de faire des trucs sans être vu.
Vincent
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
On Sun, 22 Mar 2009 20:58:41 +0100
Vincent Besse <vincent@ouhena.org> wrote:
[...]
> * Vérifies que dans le bash_history d'apache ou autres, tu n'as pas l e mot de
> passe root inscrit en clair, quand on tape vite et en urgence, il peut
> apparaitre dans le bash_history. Une fois j'ai même trouvé un fichi er de nom
> ce mot de passe sous la racine.
le bash_history d' Apache ?
Par contre dans le bash_history de root, en y regardant de plus près,
dans la liste de commandes que j' attribue à mon cher inconnu, il y a un
'mc' et un '' (tout seul sur sa ligne ??). Les commandes faites dans mc
sont-elles aussi archivées? Sinon c' est un moyen de faire des trucs
sans être vu.
Vincent
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
On Sun, 22 Mar 2009 20:58:41 +0100 Vincent Besse wrote:
[...]
> * Vérifies que dans le bash_history d'apache ou autres, tu n'as pas l e mot de > passe root inscrit en clair, quand on tape vite et en urgence, il peut > apparaitre dans le bash_history. Une fois j'ai même trouvé un fichi er de nom > ce mot de passe sous la racine.
le bash_history d' Apache ?
Par contre dans le bash_history de root, en y regardant de plus près, dans la liste de commandes que j' attribue à mon cher inconnu, il y a un 'mc' et un '' (tout seul sur sa ligne ??). Les commandes faites dans mc sont-elles aussi archivées? Sinon c' est un moyen de faire des trucs sans être vu.
Vincent
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
David Prévot
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Vincent Besse a écrit :
Par contre dans le bash_history de root, en y regardant de plus près,
[...]
sont-elles aussi archivées? Sinon c' est un moyen de faire des trucs sans être vu.
Il est encore plus simple d'effacer le contenu de bash_history...
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Vincent Besse a écrit :
Par contre dans le bash_history de root, en y regardant de plus près,
[...]
sont-elles aussi archivées? Sinon c' est un moyen de faire des trucs
sans être vu.
Il est encore plus simple d'effacer le contenu de bash_history...
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
François Boisson
Le Sun, 22 Mar 2009 20:58:41 +0100 Vincent Besse a écrit:
le bash_history d' Apache ?
Oui, ou plutôt celui de www-data sous /var/www.
> > * Ta machine était elle à jour?
Pas du jour même mais moins d' une semaine.
Que donne la commande «last -f /var/log/wtmp» sur les logins des derniers jours avant l'intrusion?
François Boisson
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Le Sun, 22 Mar 2009 20:58:41 +0100
Vincent Besse <vincent@ouhena.org> a écrit:
le bash_history d' Apache ?
Oui, ou plutôt celui de www-data sous /var/www.
>
> * Ta machine était elle à jour?
Pas du jour même mais moins d' une semaine.
Que donne la commande «last -f /var/log/wtmp» sur les logins des derniers
jours avant l'intrusion?
François Boisson
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Le Sun, 22 Mar 2009 20:58:41 +0100 Vincent Besse a écrit:
le bash_history d' Apache ?
Oui, ou plutôt celui de www-data sous /var/www.
> > * Ta machine était elle à jour?
Pas du jour même mais moins d' une semaine.
Que donne la commande «last -f /var/log/wtmp» sur les logins des derniers jours avant l'intrusion?
François Boisson
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
