Bonjour,
Ce matin je retrouve mon fichier bash_history vide...
J'ai une Ubuntu derrière un routeur Freebox.
Dois-je soupçonner une intrusion? Comment savoir?
Merci d'avance,
Patrick
Bonjour, Ce matin je retrouve mon fichier bash_history vide... J'ai une Ubuntu derrière un routeur Freebox. Dois-je soupçonner une intrusion? Comment savoir? Merci d'avance, Patrick
pas sur de ce que j'avance, mais ce n'est pas le fonctionnement normal après chaque reboot ?
-------- Message original --------
Bonjour,
Ce matin je retrouve mon fichier bash_history vide...
J'ai une Ubuntu derrière un routeur Freebox.
Dois-je soupçonner une intrusion? Comment savoir?
Merci d'avance,
Patrick
pas sur de ce que j'avance, mais ce n'est pas le fonctionnement normal après
chaque reboot ?
Bonjour, Ce matin je retrouve mon fichier bash_history vide... J'ai une Ubuntu derrière un routeur Freebox. Dois-je soupçonner une intrusion? Comment savoir? Merci d'avance, Patrick
pas sur de ce que j'avance, mais ce n'est pas le fonctionnement normal après chaque reboot ?
Emmanuel Florac
Le Fri, 15 Feb 2013 10:11:52 +0100, Patrick a écrit:
Ce matin je retrouve mon fichier bash_history vide... J'ai une Ubuntu derrière un routeur Freebox. Dois-je soupçonner une intrusion? Comment savoir? Merci d'avance,
Démarre sur un live-cd avec chkrootkit dessus, par exemple system rescue CD.
-- When I was a boy of 14, my father was so ignorant I could hardly stand to have the old man around. But when I got to be 21, I was astonished at how much the old man had learned in seven years. Mark Twain
Le Fri, 15 Feb 2013 10:11:52 +0100, Patrick a écrit:
Ce matin je retrouve mon fichier bash_history vide... J'ai une Ubuntu
derrière un routeur Freebox. Dois-je soupçonner une intrusion? Comment
savoir? Merci d'avance,
Démarre sur un live-cd avec chkrootkit dessus, par exemple system rescue
CD.
--
When I was a boy of 14, my father was so ignorant I could hardly stand
to have the old man around. But when I got to be 21, I was astonished
at how much the old man had learned in seven years.
Mark Twain
Le Fri, 15 Feb 2013 10:11:52 +0100, Patrick a écrit:
Ce matin je retrouve mon fichier bash_history vide... J'ai une Ubuntu derrière un routeur Freebox. Dois-je soupçonner une intrusion? Comment savoir? Merci d'avance,
Démarre sur un live-cd avec chkrootkit dessus, par exemple system rescue CD.
-- When I was a boy of 14, my father was so ignorant I could hardly stand to have the old man around. But when I got to be 21, I was astonished at how much the old man had learned in seven years. Mark Twain
Patrick
Le 15/02/2013 11:56, Pascal a écrit :
Ce matin je retrouve mon fichier bash_history vide...
pas sur de ce que j'avance, mais ce n'est pas le fonctionnement normal après chaque reboot ?
Pas chez moi en tout cas...
Le 15/02/2013 11:56, Pascal a écrit :
Ce matin je retrouve mon fichier bash_history vide...
pas sur de ce que j'avance, mais ce n'est pas le fonctionnement normal après
chaque reboot ?
Ce matin je retrouve mon fichier bash_history vide...
pas sur de ce que j'avance, mais ce n'est pas le fonctionnement normal après chaque reboot ?
Pas chez moi en tout cas...
Patrick
Le 15/02/2013 16:53, Emmanuel Florac a écrit :
Le Fri, 15 Feb 2013 10:11:52 +0100, Patrick a écrit:
Ce matin je retrouve mon fichier bash_history vide... J'ai une Ubuntu derrière un routeur Freebox. Dois-je soupçonner une intrusion? Comment savoir? Merci d'avance,
Démarre sur un live-cd avec chkrootkit dessus, par exemple system rescue CD.
Ça me dit "nothing found" et "not infected"... Mais si un intrus a effacé le bash_history, il a aussi pu effacer les autres traces? L'autre possibilité est que le fichier ait été effacé par je ne sais quel bug, mais ce n'est pas vraiment plus rassurant... Bref je suis perplexe :-/ Patrick
Le 15/02/2013 16:53, Emmanuel Florac a écrit :
Le Fri, 15 Feb 2013 10:11:52 +0100, Patrick a écrit:
Ce matin je retrouve mon fichier bash_history vide... J'ai une Ubuntu
derrière un routeur Freebox. Dois-je soupçonner une intrusion? Comment
savoir? Merci d'avance,
Démarre sur un live-cd avec chkrootkit dessus, par exemple system rescue
CD.
Ça me dit "nothing found" et "not infected"... Mais si un intrus a
effacé le bash_history, il a aussi pu effacer les autres traces?
L'autre possibilité est que le fichier ait été effacé par je ne sais
quel bug, mais ce n'est pas vraiment plus rassurant...
Bref je suis perplexe :-/
Patrick
Le Fri, 15 Feb 2013 10:11:52 +0100, Patrick a écrit:
Ce matin je retrouve mon fichier bash_history vide... J'ai une Ubuntu derrière un routeur Freebox. Dois-je soupçonner une intrusion? Comment savoir? Merci d'avance,
Démarre sur un live-cd avec chkrootkit dessus, par exemple system rescue CD.
Ça me dit "nothing found" et "not infected"... Mais si un intrus a effacé le bash_history, il a aussi pu effacer les autres traces? L'autre possibilité est que le fichier ait été effacé par je ne sais quel bug, mais ce n'est pas vraiment plus rassurant... Bref je suis perplexe :-/ Patrick
François Patte
Le 15/02/2013 19:59, Patrick a écrit :
Le 15/02/2013 16:53, Emmanuel Florac a écrit :
Le Fri, 15 Feb 2013 10:11:52 +0100, Patrick a écrit:
Ce matin je retrouve mon fichier bash_history vide... J'ai une Ubuntu derrière un routeur Freebox. Dois-je soupçonner une intrusion? Comment savoir? Merci d'avance,
Démarre sur un live-cd avec chkrootkit dessus, par exemple system rescue CD.
Ça me dit "nothing found" et "not infected"... Mais si un intrus a effacé le bash_history, il a aussi pu effacer les autres traces? L'autre possibilité est que le fichier ait été effacé par je ne sais quel bug, mais ce n'est pas vraiment plus rassurant... Bref je suis perplexe :-/
Que disent les log (/var/log/messages), last, /var/log/secure.... que sais-je?
-- François Patte Université Paris Descartes
Le 15/02/2013 19:59, Patrick a écrit :
Le 15/02/2013 16:53, Emmanuel Florac a écrit :
Le Fri, 15 Feb 2013 10:11:52 +0100, Patrick a écrit:
Ce matin je retrouve mon fichier bash_history vide... J'ai une Ubuntu
derrière un routeur Freebox. Dois-je soupçonner une intrusion? Comment
savoir? Merci d'avance,
Démarre sur un live-cd avec chkrootkit dessus, par exemple system rescue
CD.
Ça me dit "nothing found" et "not infected"... Mais si un intrus a
effacé le bash_history, il a aussi pu effacer les autres traces?
L'autre possibilité est que le fichier ait été effacé par je ne sais
quel bug, mais ce n'est pas vraiment plus rassurant...
Bref je suis perplexe :-/
Que disent les log (/var/log/messages), last, /var/log/secure.... que
sais-je?
Le Fri, 15 Feb 2013 10:11:52 +0100, Patrick a écrit:
Ce matin je retrouve mon fichier bash_history vide... J'ai une Ubuntu derrière un routeur Freebox. Dois-je soupçonner une intrusion? Comment savoir? Merci d'avance,
Démarre sur un live-cd avec chkrootkit dessus, par exemple system rescue CD.
Ça me dit "nothing found" et "not infected"... Mais si un intrus a effacé le bash_history, il a aussi pu effacer les autres traces? L'autre possibilité est que le fichier ait été effacé par je ne sais quel bug, mais ce n'est pas vraiment plus rassurant... Bref je suis perplexe :-/
Que disent les log (/var/log/messages), last, /var/log/secure.... que sais-je?
-- François Patte Université Paris Descartes
Patrick
Le 15/02/2013 22:38, François Patte a écrit :
Que disent les log (/var/log/messages), last, /var/log/secure.... que sais-je?
Pas grand chose que je sache décrypter... Il n'y a pas de /var/log/secure en tout cas. Dois-je poster le /var/log/messages? Je soupçonne un vieux serveur Apache installé il y a longtemps pour des tests. J'ai remarqué que le access.log est vide et je ne sais pas si c'est normal... Mais, un routeur Freebox n'est-il pas censé protéger contre les intrusions? Merci pour vos lumières...
Le 15/02/2013 22:38, François Patte a écrit :
Que disent les log (/var/log/messages), last, /var/log/secure.... que
sais-je?
Pas grand chose que je sache décrypter... Il n'y a pas de
/var/log/secure en tout cas. Dois-je poster le /var/log/messages?
Je soupçonne un vieux serveur Apache installé il y a longtemps pour des
tests. J'ai remarqué que le access.log est vide et je ne sais pas si
c'est normal...
Mais, un routeur Freebox n'est-il pas censé protéger contre les intrusions?
Merci pour vos lumières...
Que disent les log (/var/log/messages), last, /var/log/secure.... que sais-je?
Pas grand chose que je sache décrypter... Il n'y a pas de /var/log/secure en tout cas. Dois-je poster le /var/log/messages? Je soupçonne un vieux serveur Apache installé il y a longtemps pour des tests. J'ai remarqué que le access.log est vide et je ne sais pas si c'est normal... Mais, un routeur Freebox n'est-il pas censé protéger contre les intrusions? Merci pour vos lumières...
Yliur
Le Fri, 15 Feb 2013 10:11:52 +0100 Patrick a écrit :
Ce matin je retrouve mon fichier bash_history vide... J'ai une Ubuntu derrière un routeur Freebox. Dois-je soupçonner une intrusion? Comment savoir?
Est-ce que la machine s'est éteinte correctement la veille ? Ça ne peut pas être un système de fichier qui aurait perdu le contenu d'un fichier en cours de modification pendant que la machine s'est éteinte brusquement ?
Le Fri, 15 Feb 2013 10:11:52 +0100
Patrick <patrick@antispam.invalid> a écrit :
Ce matin je retrouve mon fichier bash_history vide...
J'ai une Ubuntu derrière un routeur Freebox.
Dois-je soupçonner une intrusion? Comment savoir?
Est-ce que la machine s'est éteinte correctement la veille ? Ça ne peut
pas être un système de fichier qui aurait perdu le contenu d'un fichier
en cours de modification pendant que la machine s'est éteinte
brusquement ?
Le Fri, 15 Feb 2013 10:11:52 +0100 Patrick a écrit :
Ce matin je retrouve mon fichier bash_history vide... J'ai une Ubuntu derrière un routeur Freebox. Dois-je soupçonner une intrusion? Comment savoir?
Est-ce que la machine s'est éteinte correctement la veille ? Ça ne peut pas être un système de fichier qui aurait perdu le contenu d'un fichier en cours de modification pendant que la machine s'est éteinte brusquement ?
Yliur
Le Sat, 16 Feb 2013 11:50:46 +0100 Patrick a écrit :
Le 15/02/2013 22:38, François Patte a écrit : > > Que disent les log (/var/log/messages), last, /var/log/secure.... > que sais-je?
Pas grand chose que je sache décrypter... Il n'y a pas de /var/log/secure en tout cas. Dois-je poster le /var/log/messages? Je soupçonne un vieux serveur Apache installé il y a longtemps pour des tests. J'ai remarqué que le access.log est vide et je ne sais pas si c'est normal... Mais, un routeur Freebox n'est-il pas censé protéger contre les intrusions? Merci pour vos lumières...
Le routeur va empêcher les connexions depuis l'extérieur à un service qui tournerait sur la machine, ce qui est une forme de protection. Mais rien n'est parfait, à la fois parce qu'il peut y avoir des failles dans les systèmes de sécurité et parce que ça ne couvre pas tout. Par exemple un certain nombre de menaces exploitent des navigateurs web. Maintenir les applications à jour (facile sous Linux) est une protection assez efficace contre ces problèmes.
Il s'agit d'une machine personnelle ou d'un serveur qui se trouve chez toi ?
Le Sat, 16 Feb 2013 11:50:46 +0100
Patrick <patrick@antispam.invalid> a écrit :
Le 15/02/2013 22:38, François Patte a écrit :
>
> Que disent les log (/var/log/messages), last, /var/log/secure....
> que sais-je?
Pas grand chose que je sache décrypter... Il n'y a pas de
/var/log/secure en tout cas. Dois-je poster le /var/log/messages?
Je soupçonne un vieux serveur Apache installé il y a longtemps pour
des tests. J'ai remarqué que le access.log est vide et je ne sais pas
si c'est normal...
Mais, un routeur Freebox n'est-il pas censé protéger contre les
intrusions? Merci pour vos lumières...
Le routeur va empêcher les connexions depuis l'extérieur à un service
qui tournerait sur la machine, ce qui est une forme de protection. Mais
rien n'est parfait, à la fois parce qu'il peut y avoir des failles dans
les systèmes de sécurité et parce que ça ne couvre pas tout. Par
exemple un certain nombre de menaces exploitent des navigateurs web.
Maintenir les applications à jour (facile sous Linux) est une
protection assez efficace contre ces problèmes.
Il s'agit d'une machine personnelle ou d'un serveur qui se trouve chez
toi ?
Le Sat, 16 Feb 2013 11:50:46 +0100 Patrick a écrit :
Le 15/02/2013 22:38, François Patte a écrit : > > Que disent les log (/var/log/messages), last, /var/log/secure.... > que sais-je?
Pas grand chose que je sache décrypter... Il n'y a pas de /var/log/secure en tout cas. Dois-je poster le /var/log/messages? Je soupçonne un vieux serveur Apache installé il y a longtemps pour des tests. J'ai remarqué que le access.log est vide et je ne sais pas si c'est normal... Mais, un routeur Freebox n'est-il pas censé protéger contre les intrusions? Merci pour vos lumières...
Le routeur va empêcher les connexions depuis l'extérieur à un service qui tournerait sur la machine, ce qui est une forme de protection. Mais rien n'est parfait, à la fois parce qu'il peut y avoir des failles dans les systèmes de sécurité et parce que ça ne couvre pas tout. Par exemple un certain nombre de menaces exploitent des navigateurs web. Maintenir les applications à jour (facile sous Linux) est une protection assez efficace contre ces problèmes.
Il s'agit d'une machine personnelle ou d'un serveur qui se trouve chez toi ?
yamo'
Salut,
François Patte a tapoté, le 15/02/2013 22:38:
Que disent les log (/var/log/messages), last, /var/log/secure.... que sais-je?
/var/log/secure c'est sur RedHat, sur debian c'est /var/log/auth.log
Il y a ces documentations qui existent pour ubuntu : <http://doc.ubuntu-fr.org/tutoriel/que_faire_en_cas_de_serveur_compromis> <http://doc.ubuntu-fr.org/securite>
Que disent les log (/var/log/messages), last, /var/log/secure.... que
sais-je?
/var/log/secure c'est sur RedHat, sur debian c'est /var/log/auth.log
Il y a ces documentations qui existent pour ubuntu :
<http://doc.ubuntu-fr.org/tutoriel/que_faire_en_cas_de_serveur_compromis>
<http://doc.ubuntu-fr.org/securite>
Que disent les log (/var/log/messages), last, /var/log/secure.... que sais-je?
/var/log/secure c'est sur RedHat, sur debian c'est /var/log/auth.log
Il y a ces documentations qui existent pour ubuntu : <http://doc.ubuntu-fr.org/tutoriel/que_faire_en_cas_de_serveur_compromis> <http://doc.ubuntu-fr.org/securite>
Est-ce que la machine s'est éteinte correctement la veille ? Ça ne peut pas être un système de fichier qui aurait perdu le contenu d'un fichier en cours de modification pendant que la machine s'est éteinte brusquement ?
Ou, bêtement, un disque plein ?
-- Arnaud http://blogs.glou.org/arnaud/
Yliur <yliur@free.fr> writes:
Est-ce que la machine s'est éteinte correctement la veille ? Ça ne peut
pas être un système de fichier qui aurait perdu le contenu d'un fichier
en cours de modification pendant que la machine s'est éteinte
brusquement ?
Est-ce que la machine s'est éteinte correctement la veille ? Ça ne peut pas être un système de fichier qui aurait perdu le contenu d'un fichier en cours de modification pendant que la machine s'est éteinte brusquement ?