Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Analyse post-mortem de journaux

13 réponses
Avatar
Vincent Besse
Bonjour,

Tout d' abord je remercie tout le monde pour les suggestions de
s=E9curisation d' acc=E8s suite =E0 l' intrusion dont j' ai fait l' objet.
Je doute du port-knocking dans mon cas mais j' approfondirai la
question.

J' ouvre un nouveau fil histoire de changer de sujet: l'
analyse des logs. Si c' est trop hors-sujet pour cette liste, dites-le
moi.
Petit historique des =E9v=E9nements. Mardi soir (le 17) en remontant dans
l' historique bash de root je tombe au bout de 2 ou 3 commandes sur un
wget qui ne venait manifestement pas de moi. Je d=E9couvre 2 fichiers
inconnus (dont celui du wget en question) dans /var/www. Recopie de
ces fichiers pour analyse ult=E9rieure et effacement de /var/www,
changement de mdp, fermeture de l' acc=E8s root SSH.
Dans /var/log/auth.log je retrouve effectivement une connexion root =E0
midi. La connexion est faite du premier coup, donc "il" devait
connaitre le mdp. J' ai eu des erreurs concernant ces fichiers dans les
logs Apache jusqu' =E0 jeudi, depuis plus rien.
En analysant =E0 t=EAte repos=E9e le .bash_history de root, je retrouve
effectivement les deux wget avec quelques commandes autour,
essentiellement des 'cd' et 'ls' mais apparemment rien de grave, et
rien d' autre de suspect.
En regardant les archives auth.log.* depuis le 9, je n'ai que deux
connexions illicites, celle du 17 et une du 16 avec la m=EAme adresse IP,
=E9tablie elle aussi du premier coup. Je suppose donc que je me suis fait
"voler" mon mdp, je sais pas comment. Les deux fichiers ont du =EAtre
charg=E9s en deux fois...
L=E0 o=F9 =E7a se corse, c' est que dans les logs d' Apache, les premi=E8res
traces de t=E9l=E9chargement de ces fichiers datent du 13! Moi plus
comprendre.

Si un expert a une once de d=E9but d' explication...

Vincent

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org

3 réponses

1 2
Avatar
Vincent Besse
On Sun, 22 Mar 2009 23:11:50 +0100
François Boisson wrote:

Le Sun, 22 Mar 2009 20:58:41 +0100
Vincent Besse a écrit:

>
> le bash_history d' Apache ?
>

Oui, ou plutôt celui de www-data sous /var/www.



Il n' y avait rien sous /var/www, ni .bashrc ni .bash_history.

> >
> > * Ta machine était elle à jour?
>
> Pas du jour même mais moins d' une semaine.

Que donne la commande «last -f /var/log/wtmp» sur les logins des dern iers
jours avant l'intrusion?



Oh ! Je retrouve les deux connexions du 16 et du 17 plus une troisème
le 13 de 7h04 à 7h48. J' ai un trou dans les archives entre le 11 et le
13 à 7h48. Il a donc du effacer le auth.log ce jour-là. Pourquoi ne l'
a t' il pas fait les deux autres fois? En tout cas je comprends
pourquoi mon Apache a commencé à servir ses fichiers à partir du 13.

Décidement, c' est toujours quand on est dans la merde qu' on apprend
le plus :)

Vincent

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Avatar
François Boisson
Le Mon, 23 Mar 2009 08:32:21 +0100
Vincent Besse a écrit:

Oh ! Je retrouve les deux connexions du 16 et du 17 plus une troisème
le 13 de 7h04 à 7h48. J' ai un trou dans les archives entre le 11 et le
13 à 7h48. Il a donc du effacer le auth.log ce jour-là. Pourquoi ne l'
a t' il pas fait les deux autres fois? En tout cas je comprends
pourquoi mon Apache a commencé à servir ses fichiers à partir du 13.

Décidement, c' est toujours quand on est dans la merde qu' on apprend
le plus :)



Cela m'est arrivé et j'avais fait à l'époque une image du disque complet avant
de remettre d'aplomb la machine. J'avbais passé pas mal de temps sur cette
image mais avais pu tout reconstitué (le gars se croyait sur une redhat et
avait oublié des logs, il avait effacé des fichiers de logs mais ils étaient
encore sur le disque (les données du moins) et j'ai pu les reconstituer.
J'avais beaucoup appris, tu aurais peut être du faire de même.

François Boisson

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Avatar
Vincent Besse
On Mon, 23 Mar 2009 19:25:18 +0100
François Boisson wrote:

Cela m'est arrivé et j'avais fait à l'époque une image du disque co mplet avant
de remettre d'aplomb la machine. J'avbais passé pas mal de temps sur ce tte
image mais avais pu tout reconstitué (le gars se croyait sur une redhat et
avait oublié des logs, il avait effacé des fichiers de logs mais ils étaient
encore sur le disque (les données du moins) et j'ai pu les reconstituer ..
J'avais beaucoup appris, tu aurais peut être du faire de même.



La prochaine fois :)

En tous cas encore un grand merci à tous pour ces quelques leçons
appliquées.

Vincent

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
1 2