Bonjour,
Je viens de voir que les logs de notre serveurs ne sont pas complets. Il n y
a les entrees que d hier et de ce matin, comme si ca avait ete efface, Mon
boot.log est completement vide, ainsi que mon error_log, et de plus j ai
ces lignes bizarres dans mon log/secure:
Jul 14 02:22:39 XXX sshd[1537]: Did not receive identification string from
XXX
Jul 14 02:22:40 XXX sshd[1539]: Bad protocol version identification '' from
XXX
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Jean-Francois Billaud
Jerome wrote:
Bonjour,
Bonjour,
Je viens de voir que les logs de notre serveurs ne sont pas complets. Il n y a les entrees que d hier et de ce matin, comme si ca avait ete efface, Mon boot.log est completement vide, ainsi que mon error_log, et de plus j ai ces lignes bizarres dans mon log/secure: Jul 14 02:22:39 XXX sshd[1537]: Did not receive identification string from XXX Jul 14 02:22:40 XXX sshd[1539]: Bad protocol version identification '' from XXX
Ça, ça peut être quelqu'un qui essaie de se connecter en protocole 1 alors qu'il n'y a que le 2 qui est activé, donc a priori pas inquiétant.
Que puis je faire pour remedier a cela?
Préciser les versions de l'OS et des serveurs qui tournent sur la machine, ça donnera une idée du risque qu'il y ait des problèmes.
Certaines versions ont des trous de sécurité connus qui permettent à un attaquant de prendre la main comme root et d'installer des choses genre sniffeur, rootkit, backdoor et autres serveurs warez.
En préventif, ne faire tourner que des services utiles et mettre à jour si nécessaire. Utiliser nessus pour voir les trous de sécurité.
Après, pour analyser une machine, ça se complique. Utiliser nmap pour vérifier les ports ouverts, chkrootkit et un antivirus pour commencer.
Ne pas négliger le fait qu'il est possible que quelqu'un ait récupéré le mot de passe de root avec un sniffeur ou un keylogger (pas la peine d'utiliser ssh si c'est à partir d'une machine ouverte au public).
Dans le doute sauvegarder les données et réinstaller le système.
JFB
-- "I'm returning this note to you, instead of your paper, because it (your paper) presently occupies the bottom of my bird cage." -- English Professor, Providence College
Jerome wrote:
Bonjour,
Bonjour,
Je viens de voir que les logs de notre serveurs ne sont pas complets. Il n y
a les entrees que d hier et de ce matin, comme si ca avait ete efface, Mon
boot.log est completement vide, ainsi que mon error_log, et de plus j ai
ces lignes bizarres dans mon log/secure:
Jul 14 02:22:39 XXX sshd[1537]: Did not receive identification string from
XXX
Jul 14 02:22:40 XXX sshd[1539]: Bad protocol version identification '' from
XXX
Ça, ça peut être quelqu'un qui essaie de se connecter en protocole 1 alors
qu'il n'y a que le 2 qui est activé, donc a priori pas inquiétant.
Que puis je faire pour remedier a cela?
Préciser les versions de l'OS et des serveurs qui tournent sur la machine,
ça donnera une idée du risque qu'il y ait des problèmes.
Certaines versions ont des trous de sécurité connus qui permettent à un
attaquant de prendre la main comme root et d'installer des choses genre
sniffeur, rootkit, backdoor et autres serveurs warez.
En préventif, ne faire tourner que des services utiles et mettre à jour
si nécessaire. Utiliser nessus pour voir les trous de sécurité.
Après, pour analyser une machine, ça se complique. Utiliser nmap pour
vérifier les ports ouverts, chkrootkit et un antivirus pour commencer.
Ne pas négliger le fait qu'il est possible que quelqu'un ait récupéré
le mot de passe de root avec un sniffeur ou un keylogger (pas la peine
d'utiliser ssh si c'est à partir d'une machine ouverte au public).
Dans le doute sauvegarder les données et réinstaller le système.
JFB
--
"I'm returning this note to you, instead of your paper, because it
(your paper) presently occupies the bottom of my bird cage."
-- English Professor, Providence College
Je viens de voir que les logs de notre serveurs ne sont pas complets. Il n y a les entrees que d hier et de ce matin, comme si ca avait ete efface, Mon boot.log est completement vide, ainsi que mon error_log, et de plus j ai ces lignes bizarres dans mon log/secure: Jul 14 02:22:39 XXX sshd[1537]: Did not receive identification string from XXX Jul 14 02:22:40 XXX sshd[1539]: Bad protocol version identification '' from XXX
Ça, ça peut être quelqu'un qui essaie de se connecter en protocole 1 alors qu'il n'y a que le 2 qui est activé, donc a priori pas inquiétant.
Que puis je faire pour remedier a cela?
Préciser les versions de l'OS et des serveurs qui tournent sur la machine, ça donnera une idée du risque qu'il y ait des problèmes.
Certaines versions ont des trous de sécurité connus qui permettent à un attaquant de prendre la main comme root et d'installer des choses genre sniffeur, rootkit, backdoor et autres serveurs warez.
En préventif, ne faire tourner que des services utiles et mettre à jour si nécessaire. Utiliser nessus pour voir les trous de sécurité.
Après, pour analyser une machine, ça se complique. Utiliser nmap pour vérifier les ports ouverts, chkrootkit et un antivirus pour commencer.
Ne pas négliger le fait qu'il est possible que quelqu'un ait récupéré le mot de passe de root avec un sniffeur ou un keylogger (pas la peine d'utiliser ssh si c'est à partir d'une machine ouverte au public).
Dans le doute sauvegarder les données et réinstaller le système.
JFB
-- "I'm returning this note to you, instead of your paper, because it (your paper) presently occupies the bottom of my bird cage." -- English Professor, Providence College
Eric Razny
"Jerome" a écrit dans le message de news:bf0fak$j74$
Bonjour, Je viens de voir que les logs de notre serveurs ne sont pas complets. Il n y
a les entrees que d hier et de ce matin, comme si ca avait ete efface, Mon boot.log est completement vide, ainsi que mon error_log,
est-ce que tu ne ferais pas une rotation des logs par hazard? (y a t-il des fichier type <fichier_de_log_.numero_de_rotation>?)
et de plus j ai ces lignes bizarres dans mon log/secure: Jul 14 02:22:39 XXX sshd[1537]: Did not receive identification string from XXX Jul 14 02:22:40 XXX sshd[1539]: Bad protocol version identification '' from
XXX
Les deux éléments peuvent ne pas être liés.
Que puis je faire pour remedier a cela?
Sans plus d'info ça peut varier de la compromission au fonctionnement normal du système! Impossible donc de donner une réponse!
Eric.
"Jerome" <j.kraft@wanadoo.fr> a écrit dans le message de
news:bf0fak$j74$1@news-reader3.wanadoo.fr...
Bonjour,
Je viens de voir que les logs de notre serveurs ne sont pas complets. Il n
y
a les entrees que d hier et de ce matin, comme si ca avait ete efface, Mon
boot.log est completement vide, ainsi que mon error_log,
est-ce que tu ne ferais pas une rotation des logs par hazard?
(y a t-il des fichier type <fichier_de_log_.numero_de_rotation>?)
et de plus j ai
ces lignes bizarres dans mon log/secure:
Jul 14 02:22:39 XXX sshd[1537]: Did not receive identification string from
XXX
Jul 14 02:22:40 XXX sshd[1539]: Bad protocol version identification ''
from
XXX
Les deux éléments peuvent ne pas être liés.
Que puis je faire pour remedier a cela?
Sans plus d'info ça peut varier de la compromission au fonctionnement normal
du système! Impossible donc de donner une réponse!
"Jerome" a écrit dans le message de news:bf0fak$j74$
Bonjour, Je viens de voir que les logs de notre serveurs ne sont pas complets. Il n y
a les entrees que d hier et de ce matin, comme si ca avait ete efface, Mon boot.log est completement vide, ainsi que mon error_log,
est-ce que tu ne ferais pas une rotation des logs par hazard? (y a t-il des fichier type <fichier_de_log_.numero_de_rotation>?)
et de plus j ai ces lignes bizarres dans mon log/secure: Jul 14 02:22:39 XXX sshd[1537]: Did not receive identification string from XXX Jul 14 02:22:40 XXX sshd[1539]: Bad protocol version identification '' from
XXX
Les deux éléments peuvent ne pas être liés.
Que puis je faire pour remedier a cela?
Sans plus d'info ça peut varier de la compromission au fonctionnement normal du système! Impossible donc de donner une réponse!
Eric.
Fabien LE LEZ
On 15 Jul 2003 14:30:30 GMT, "Jerome" wrote:
comme si ca avait ete efface
Regarde s'il n'y a pas un cron qui nettoie régulièrement les logs.
-- Tout sur fr.* (FAQ, etc.) : http://www.usenet-fr.net/fur/ et http://www.aminautes.org/forums/serveurs/tablefr.html Archives : http://groups.google.com/advanced_group_search http://www.usenet-fr.net/fur/usenet/repondre-sur-usenet.html
On 15 Jul 2003 14:30:30 GMT, "Jerome" <j.kraft@wanadoo.fr> wrote:
comme si ca avait ete efface
Regarde s'il n'y a pas un cron qui nettoie régulièrement les logs.
--
Tout sur fr.* (FAQ, etc.) : http://www.usenet-fr.net/fur/
et http://www.aminautes.org/forums/serveurs/tablefr.html
Archives : http://groups.google.com/advanced_group_search
http://www.usenet-fr.net/fur/usenet/repondre-sur-usenet.html
Regarde s'il n'y a pas un cron qui nettoie régulièrement les logs.
-- Tout sur fr.* (FAQ, etc.) : http://www.usenet-fr.net/fur/ et http://www.aminautes.org/forums/serveurs/tablefr.html Archives : http://groups.google.com/advanced_group_search http://www.usenet-fr.net/fur/usenet/repondre-sur-usenet.html
