Soupçons

12 réponses
Avatar
Patrick
Bonjour,
Ce matin je retrouve mon fichier bash_history vide...
J'ai une Ubuntu derrière un routeur Freebox.
Dois-je soupçonner une intrusion? Comment savoir?
Merci d'avance,
Patrick

10 réponses

1 2
Avatar
Pascal
-------- Message original --------

Bonjour,
Ce matin je retrouve mon fichier bash_history vide...
J'ai une Ubuntu derrière un routeur Freebox.
Dois-je soupçonner une intrusion? Comment savoir?
Merci d'avance,
Patrick


pas sur de ce que j'avance, mais ce n'est pas le fonctionnement normal après
chaque reboot ?
Avatar
Emmanuel Florac
Le Fri, 15 Feb 2013 10:11:52 +0100, Patrick a écrit:

Ce matin je retrouve mon fichier bash_history vide... J'ai une Ubuntu
derrière un routeur Freebox. Dois-je soupçonner une intrusion? Comment
savoir? Merci d'avance,



Démarre sur un live-cd avec chkrootkit dessus, par exemple system rescue
CD.

--
When I was a boy of 14, my father was so ignorant I could hardly stand
to have the old man around. But when I got to be 21, I was astonished
at how much the old man had learned in seven years.
Mark Twain
Avatar
Patrick
Le 15/02/2013 11:56, Pascal a écrit :
Ce matin je retrouve mon fichier bash_history vide...


pas sur de ce que j'avance, mais ce n'est pas le fonctionnement normal après
chaque reboot ?



Pas chez moi en tout cas...
Avatar
Patrick
Le 15/02/2013 16:53, Emmanuel Florac a écrit :
Le Fri, 15 Feb 2013 10:11:52 +0100, Patrick a écrit:

Ce matin je retrouve mon fichier bash_history vide... J'ai une Ubuntu
derrière un routeur Freebox. Dois-je soupçonner une intrusion? Comment
savoir? Merci d'avance,



Démarre sur un live-cd avec chkrootkit dessus, par exemple system rescue
CD.




Ça me dit "nothing found" et "not infected"... Mais si un intrus a
effacé le bash_history, il a aussi pu effacer les autres traces?
L'autre possibilité est que le fichier ait été effacé par je ne sais
quel bug, mais ce n'est pas vraiment plus rassurant...
Bref je suis perplexe :-/
Patrick
Avatar
François Patte
Le 15/02/2013 19:59, Patrick a écrit :
Le 15/02/2013 16:53, Emmanuel Florac a écrit :
Le Fri, 15 Feb 2013 10:11:52 +0100, Patrick a écrit:

Ce matin je retrouve mon fichier bash_history vide... J'ai une Ubuntu
derrière un routeur Freebox. Dois-je soupçonner une intrusion? Comment
savoir? Merci d'avance,



Démarre sur un live-cd avec chkrootkit dessus, par exemple system rescue
CD.




Ça me dit "nothing found" et "not infected"... Mais si un intrus a
effacé le bash_history, il a aussi pu effacer les autres traces?
L'autre possibilité est que le fichier ait été effacé par je ne sais
quel bug, mais ce n'est pas vraiment plus rassurant...
Bref je suis perplexe :-/



Que disent les log (/var/log/messages), last, /var/log/secure.... que
sais-je?


--
François Patte
Université Paris Descartes
Avatar
Patrick
Le 15/02/2013 22:38, François Patte a écrit :

Que disent les log (/var/log/messages), last, /var/log/secure.... que
sais-je?



Pas grand chose que je sache décrypter... Il n'y a pas de
/var/log/secure en tout cas. Dois-je poster le /var/log/messages?
Je soupçonne un vieux serveur Apache installé il y a longtemps pour des
tests. J'ai remarqué que le access.log est vide et je ne sais pas si
c'est normal...
Mais, un routeur Freebox n'est-il pas censé protéger contre les intrusions?
Merci pour vos lumières...
Avatar
Yliur
Le Fri, 15 Feb 2013 10:11:52 +0100
Patrick a écrit :

Ce matin je retrouve mon fichier bash_history vide...
J'ai une Ubuntu derrière un routeur Freebox.
Dois-je soupçonner une intrusion? Comment savoir?



Est-ce que la machine s'est éteinte correctement la veille ? Ça ne peut
pas être un système de fichier qui aurait perdu le contenu d'un fichier
en cours de modification pendant que la machine s'est éteinte
brusquement ?
Avatar
Yliur
Le Sat, 16 Feb 2013 11:50:46 +0100
Patrick a écrit :

Le 15/02/2013 22:38, François Patte a écrit :
>
> Que disent les log (/var/log/messages), last, /var/log/secure....
> que sais-je?

Pas grand chose que je sache décrypter... Il n'y a pas de
/var/log/secure en tout cas. Dois-je poster le /var/log/messages?
Je soupçonne un vieux serveur Apache installé il y a longtemps pour
des tests. J'ai remarqué que le access.log est vide et je ne sais pas
si c'est normal...
Mais, un routeur Freebox n'est-il pas censé protéger contre les
intrusions? Merci pour vos lumières...



Le routeur va empêcher les connexions depuis l'extérieur à un service
qui tournerait sur la machine, ce qui est une forme de protection. Mais
rien n'est parfait, à la fois parce qu'il peut y avoir des failles dans
les systèmes de sécurité et parce que ça ne couvre pas tout. Par
exemple un certain nombre de menaces exploitent des navigateurs web.
Maintenir les applications à jour (facile sous Linux) est une
protection assez efficace contre ces problèmes.

Il s'agit d'une machine personnelle ou d'un serveur qui se trouve chez
toi ?
Avatar
yamo'
Salut,

François Patte a tapoté, le 15/02/2013 22:38:
Que disent les log (/var/log/messages), last, /var/log/secure.... que
sais-je?




/var/log/secure c'est sur RedHat, sur debian c'est /var/log/auth.log

Il y a ces documentations qui existent pour ubuntu :
<http://doc.ubuntu-fr.org/tutoriel/que_faire_en_cas_de_serveur_compromis>
<http://doc.ubuntu-fr.org/securite>


--
Stéphane <http://pasdenom.info/fortune/?>
BOFH excuse #337:

the butane lighter causes the pincushioning
Avatar
Arnaud Gomes-do-Vale
Yliur writes:

Est-ce que la machine s'est éteinte correctement la veille ? Ça ne peut
pas être un système de fichier qui aurait perdu le contenu d'un fichier
en cours de modification pendant que la machine s'est éteinte
brusquement ?



Ou, bêtement, un disque plein ?

--
Arnaud
http://blogs.glou.org/arnaud/
1 2