On Sun, 22 Mar 2009 23:11:50 +0100
François Boisson user.anti-s...@maison.homelinux.net wrote:
Le Sun, 22 Mar 2009 20:58:41 +0100
Vincent Besse vinc...@ouhena.org a écrit:
le bash_history d' Apache ?
Oui, ou plutôt celui de www-data sous /var/www.
Il n' y avait rien sous /var/www,
Le Mon, 23 Mar 2009 08:32:21 +0100
Vincent Besse vinc...@ouhena.org a écrit:
Oh ! Je retrouve les deux connexions du 16 et du 17 plus une troisème
le 13 de 7h04 à 7h48. J' ai un trou dans les archives entre le 11 et le
13 à 7h48. Il a donc du effacer le auth.log ce jour-là. Pourquoi ne l'
a
On Mon, 23 Mar 2009 19:25:18 +0100
François Boisson user.anti-s...@maison.homelinux.net wrote:
Cela m'est arrivé et j'avais fait à l'époque une image du disque complet avant
de remettre d'aplomb la machine. J'avbais passé pas mal de temps sur cette
image mais avais pu tout reconstitué (le gars
Bonjour,
Tout d' abord je remercie tout le monde pour les suggestions de
sécurisation d' accès suite à l' intrusion dont j' ai fait l' objet.
Je doute du port-knocking dans mon cas mais j' approfondirai la
question.
J' ouvre un nouveau fil histoire de changer de sujet: l'
analyse des logs. Si
Le 22/03/2009 à 13:54, Vincent Besse a écrit :
Bonjour,
Tout d' abord je remercie tout le monde pour les suggestions de
sécurisation d' accès suite à l' intrusion dont j' ai fait l' objet.
Je doute du port-knocking dans mon cas mais j' approfondirai la
question.
J' ouvre un nouveau
Le Sun, 22 Mar 2009 13:54:38 +0100
Vincent Besse vinc...@ouhena.org a écrit:
Petit historique des événements. Mardi soir (le 17) en remontant dans
l' historique bash de root je tombe au bout de 2 ou 3 commandes sur un
wget qui ne venait manifestement pas de moi. Je découvre 2 fichiers
Salut,
Est-ce que tu as une partition spécifique pour /tmp avec les options
noexec,nosuid ? c'est toujours bon de le faire (les endroits ou
www-data peut écrire : /tmp /var/tmp).
J'ai déjà reçu une attaque à cause d'une faille php à mon avis. Le
gars a écrit des fichiers dans /tmp et les
Le Sun, 22 Mar 2009 19:07:10 +0100
jul...@nura.eu a écrit:
Est-ce qu'une faille du même genre ne pourrais pas permettre de
récupérer ton fichier shadow et par brute force de découvrir ton mot
de passe ? Ensuite, il n'a plus qu'a se connecter en SSH pour prendre
le controle complet ?
On Sun, 22 Mar 2009 16:28:14 +0100
François Boisson user.anti-s...@maison.homelinux.net wrote:
Le Sun, 22 Mar 2009 13:54:38 +0100
Vincent Besse vinc...@ouhena.org a écrit:
Petit historique des événements. Mardi soir (le 17) en remontant dans
l' historique bash de root je tombe au bout de
On Sun, 22 Mar 2009 19:07:10 +0100
jul...@nura.eu wrote:
Salut,
Est-ce que tu as une partition spécifique pour /tmp avec les options
noexec,nosuid ? c'est toujours bon de le faire (les endroits ou
www-data peut écrire : /tmp /var/tmp).
non mais je retiens pour la réinstallation, merci.
On Sun, 22 Mar 2009 16:27:21 +0100
Alain Baeckeroot alain.baecker...@laposte.net wrote:
Si j'ai compris, 2 fichiers suspects ont été téléchargés 4 jours avant
les connections illicites.
Pas tout à fait. Ou c' est moi qui comprend mal ce t' as compris. Je
retrouve dans les logs Apache des
On Sun, 22 Mar 2009 20:58:41 +0100
Vincent Besse vinc...@ouhena.org wrote:
[...]
* Vérifies que dans le bash_history d'apache ou autres, tu n'as pas le mot
de
passe root inscrit en clair, quand on tape vite et en urgence, il peut
apparaitre dans le bash_history. Une fois j'ai même
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
Vincent Besse a écrit :
Par contre dans le bash_history de root, en y regardant de plus près,
[...]
sont-elles aussi archivées? Sinon c' est un moyen de faire des trucs
sans être vu.
Il est encore plus simple d'effacer le contenu de
Le Sun, 22 Mar 2009 20:58:41 +0100
Vincent Besse vinc...@ouhena.org a écrit:
le bash_history d' Apache ?
Oui, ou plutôt celui de www-data sous /var/www.
* Ta machine était elle à jour?
Pas du jour même mais moins d' une semaine.
Que donne la commande «last -f /var/log/wtmp» sur
14 matches
Mail list logo