stef wrote: > bonjour tout le monde, > > je n'ai pas vraiment l'habitude de vous ecrire meme si je lis beaucoup (pas tout) de >vos messages, mais l� je commence a paniquer alors je vous ecris. > > Je vous raconte ma petite histoire. > > Tout commenca hier soir quand soux W$ j'ai eu quelques problemes avec mon >CounterStrike des petits messages d'erreurs qui me bloquaient mon CS. En fouillant >dans mes fichiers de configs je m'apercu que quelqu un m avait effacer l'interieur >mon fichier CD key de CS.txt en remplacant mon CD key par quelques mots gentils de >remerciements pour ma cl� ;( En regardant mes logs apache sous W$ toujours je m >apercu que certain(s) utilisateur(s) me faisait des "GET >c:/winnt/system32/cmd.exe?/c+dir HTTP 1.0" et autres "GET ..." > > En lancant dans mon Netscape l'IP du gentil monsieur qui m'interrogait regulierement >je suis tombe sur un site en francais me disant que le site etait en construction et >bla bla bla... puis mon Antivirus qui me previens que le site voulait me faire faire >telecharger un fichier tmp atteint du virus Nimda ;( Virus qui a ete detecter il y a >plusieurs jours par mon Anti virus (Peut etre etait la depuis plus longtemps). > > J ai donc mis en place un Firewall W$ien. Fin de l'episode Windows. > > Et la vous me direz mais quels rapports avec Linux ... ;) Et bien ce soir en >rentrant du boulot je me suis dit tiens je vais regarder mes logs .... Et en >regardant mon log /var/log/secure je remarque ceci : > > �v 8 20:16:05 GretaGreta groupadd[8449]: new group: name=machines, gid=421 > f�v 9 17:52:15 GretaGreta useradd[9280]: new user: name=alimi.stephane, uid=502, >gid=231, home=/home/alimi.stephane, shell=/bin/false > f�v 9 17:52:15 GretaGreta chage[9282]: changed password expiry for alimi.stephane > f�v 9 17:53:48 GretaGreta userdel[9305]: delete user `alimi.stephane' > f�v 24 14:23:45 GretaGreta useradd[2525]: new group: name=mysql, gid=415 > f�v 24 14:23:45 GretaGreta useradd[2525]: new user: name=mysql, uid=415, gid=415, >home=/var/lib/mysql, shell=/bin/bash > f�v 24 14:23:46 GretaGreta userdel[2540]: delete user `ldap' > f�v 24 14:23:46 GretaGreta userdel[2540]: delete `ldap' from group `daemon' > f�v 24 14:23:46 GretaGreta userdel[2540]: delete `ldap' from shadow group `daemon' > f�v 24 14:23:46 GretaGreta userdel[2540]: remove group `ldap' > f�v 24 14:23:46 GretaGreta groupadd[2542]: new group: name=ldap, gid=93 > f�v 24 14:23:46 GretaGreta useradd[2543]: new user: name=ldap, uid=93, gid=93, >home=/var/lib/ldap, shell=/bin/bash > f�v 24 14:23:46 GretaGreta gpasswd[2544]: add member ldap to group adm by root > f�v 24 14:23:53 GretaGreta useradd[2620]: new group: name=nuke, gid=416 > f�v 24 14:23:53 GretaGreta useradd[2620]: new user: name=nuke, uid=416, gid=416, >home=/var/nuke, shell=/bin/bash > > > Et la surprise dabord je m appelle alimi.stephane mais je n ai pas cree/efface de >user alimi.stephane ni de group machine je nai pas non plus efface le user puis le >group ldap pour les recreer en le rejoutant dans le group adm puis creation du group >nuke. La je suis sceptique; peut etre est ce normal peut etre suis je devenu >paranoiaque mais comme tout bon administrateur reseau c normal. Alors j ai peut etre >fait une betise mais j ai effacer tout ces comptes user/group que je n ai pas moi >meme creer. > > Je vous parle pas de mes fichiers log de Apache /var/log/httpd/access/log qui est >une pale copie de celui de windows ;) A mon avis, en effet, t'as �t� visit�. Alors comment ton visiteur est entr�, �a j'en sais rien, mais nous allons sans doute avoir qq pr�cisions bient�t par qq sp�cialiste du sujet sur cette liste. > Je suis tres souvent connecter en tant que root (je c c pas bien) et j ai juste sshd >et mon apache/MySQL/php de lancer.... De plus j ai remarquer que j avais certain log >de vide tel que /var/log/htmlaccess.log et /var/log/security.log /var/log/netconf.log >/var/log/security/ (repertoire vide). Bon evidement j ai changer mes mots de passe et >detruit mon compte Whisper. Voila j aimerais savoir si tout es normal ou si je suis >fou ;) ?? Tr�s mauvaise id�e quand on passe du temps sur internet : t'as ouvert la porte arri�re du ferry par temps de temp�te! Rosaire > > Voila j espere vous avoir passionner et j'en profiterais bien pour dire un petit >coucou a Al qui lis aussi cette liste :) > > > > ------------------------------------------------------------------------ > > Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? > Rendez-vous sur "http://www.mandrakestore.com"; >
Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
