Soupçons

Le
Patrick
Bonjour,
Ce matin je retrouve mon fichier bash_history vide
J'ai une Ubuntu derrière un routeur Freebox.
Dois-je soupçonner une intrusion? Comment savoir?
Merci d'avance,
Patrick
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Pascal
Le #25224292
-------- Message original --------

Bonjour,
Ce matin je retrouve mon fichier bash_history vide...
J'ai une Ubuntu derrière un routeur Freebox.
Dois-je soupçonner une intrusion? Comment savoir?
Merci d'avance,
Patrick


pas sur de ce que j'avance, mais ce n'est pas le fonctionnement normal après
chaque reboot ?
Emmanuel Florac
Le #25224982
Le Fri, 15 Feb 2013 10:11:52 +0100, Patrick a écrit:

Ce matin je retrouve mon fichier bash_history vide... J'ai une Ubuntu
derrière un routeur Freebox. Dois-je soupçonner une intrusion? Comment
savoir? Merci d'avance,



Démarre sur un live-cd avec chkrootkit dessus, par exemple system rescue
CD.

--
When I was a boy of 14, my father was so ignorant I could hardly stand
to have the old man around. But when I got to be 21, I was astonished
at how much the old man had learned in seven years.
Mark Twain
Patrick
Le #25225502
Le 15/02/2013 11:56, Pascal a écrit :
Ce matin je retrouve mon fichier bash_history vide...


pas sur de ce que j'avance, mais ce n'est pas le fonctionnement normal après
chaque reboot ?



Pas chez moi en tout cas...
Patrick
Le #25225492
Le 15/02/2013 16:53, Emmanuel Florac a écrit :
Le Fri, 15 Feb 2013 10:11:52 +0100, Patrick a écrit:

Ce matin je retrouve mon fichier bash_history vide... J'ai une Ubuntu
derrière un routeur Freebox. Dois-je soupçonner une intrusion? Comment
savoir? Merci d'avance,



Démarre sur un live-cd avec chkrootkit dessus, par exemple system rescue
CD.




Ça me dit "nothing found" et "not infected"... Mais si un intrus a
effacé le bash_history, il a aussi pu effacer les autres traces?
L'autre possibilité est que le fichier ait été effacé par je ne sais
quel bug, mais ce n'est pas vraiment plus rassurant...
Bref je suis perplexe :-/
Patrick
François Patte
Le #25226002
Le 15/02/2013 19:59, Patrick a écrit :
Le 15/02/2013 16:53, Emmanuel Florac a écrit :
Le Fri, 15 Feb 2013 10:11:52 +0100, Patrick a écrit:

Ce matin je retrouve mon fichier bash_history vide... J'ai une Ubuntu
derrière un routeur Freebox. Dois-je soupçonner une intrusion? Comment
savoir? Merci d'avance,



Démarre sur un live-cd avec chkrootkit dessus, par exemple system rescue
CD.




Ça me dit "nothing found" et "not infected"... Mais si un intrus a
effacé le bash_history, il a aussi pu effacer les autres traces?
L'autre possibilité est que le fichier ait été effacé par je ne sais
quel bug, mais ce n'est pas vraiment plus rassurant...
Bref je suis perplexe :-/



Que disent les log (/var/log/messages), last, /var/log/secure.... que
sais-je?


--
François Patte
Université Paris Descartes
Patrick
Le #25227312
Le 15/02/2013 22:38, François Patte a écrit :

Que disent les log (/var/log/messages), last, /var/log/secure.... que
sais-je?



Pas grand chose que je sache décrypter... Il n'y a pas de
/var/log/secure en tout cas. Dois-je poster le /var/log/messages?
Je soupçonne un vieux serveur Apache installé il y a longtemps pour des
tests. J'ai remarqué que le access.log est vide et je ne sais pas si
c'est normal...
Mais, un routeur Freebox n'est-il pas censé protéger contre les intrusions?
Merci pour vos lumières...
Yliur
Le #25227382
Le Fri, 15 Feb 2013 10:11:52 +0100
Patrick
Ce matin je retrouve mon fichier bash_history vide...
J'ai une Ubuntu derrière un routeur Freebox.
Dois-je soupçonner une intrusion? Comment savoir?



Est-ce que la machine s'est éteinte correctement la veille ? Ça ne peut
pas être un système de fichier qui aurait perdu le contenu d'un fichier
en cours de modification pendant que la machine s'est éteinte
brusquement ?
Yliur
Le #25227372
Le Sat, 16 Feb 2013 11:50:46 +0100
Patrick
Le 15/02/2013 22:38, François Patte a écrit :
>
> Que disent les log (/var/log/messages), last, /var/log/secure....
> que sais-je?

Pas grand chose que je sache décrypter... Il n'y a pas de
/var/log/secure en tout cas. Dois-je poster le /var/log/messages?
Je soupçonne un vieux serveur Apache installé il y a longtemps pour
des tests. J'ai remarqué que le access.log est vide et je ne sais pas
si c'est normal...
Mais, un routeur Freebox n'est-il pas censé protéger contre les
intrusions? Merci pour vos lumières...



Le routeur va empêcher les connexions depuis l'extérieur à un service
qui tournerait sur la machine, ce qui est une forme de protection. Mais
rien n'est parfait, à la fois parce qu'il peut y avoir des failles dans
les systèmes de sécurité et parce que ça ne couvre pas tout. Par
exemple un certain nombre de menaces exploitent des navigateurs web.
Maintenir les applications à jour (facile sous Linux) est une
protection assez efficace contre ces problèmes.

Il s'agit d'une machine personnelle ou d'un serveur qui se trouve chez
toi ?
yamo'
Le #25229772
Salut,

François Patte a tapoté, le 15/02/2013 22:38:
Que disent les log (/var/log/messages), last, /var/log/secure.... que
sais-je?




/var/log/secure c'est sur RedHat, sur debian c'est /var/log/auth.log

Il y a ces documentations qui existent pour ubuntu :


--
Stéphane BOFH excuse #337:

the butane lighter causes the pincushioning
Arnaud Gomes-do-Vale
Le #25229922
Yliur
Est-ce que la machine s'est éteinte correctement la veille ? Ça ne peut
pas être un système de fichier qui aurait perdu le contenu d'un fichier
en cours de modification pendant que la machine s'est éteinte
brusquement ?



Ou, bêtement, un disque plein ?

--
Arnaud
http://blogs.glou.org/arnaud/
Publicité
Poster une réponse
Anonyme