Matthieu wrote:
bonjour a tous,
je me permets de vous ecrire car j'ai un doute sur l'integrité d'une
machine.
Ce matin, je tente d'acceder au serveur https.
il ne fonctionne pas. Il etait arreté. hors hier au soir il fonctionnait
encore parfaitement.
le probleme vient d'un module chargé:
mod_proxy
Je l'avais utilisé il y a quelques temps. Sans en pouvoir etre persuadé,
il me semblait l'avoir supprimé de la configuration d'Apache.
Dans le fichier proxy.load, j'ai une etrange ligne:
LoadFile /usr/lib/libxml2.so.2
qui est responsable du plantage d'Apache.
Lors de mon update, j'ai pu voir que cette lib avait été mise a jour.
Cela ne m'explique pas pourquoi j'ai cette ligne dans le fichier de
configuration et comment le fichier a pu obtenir cette ligne, ni comment
Apache a pu avoir un signal de restart ou de reload.
Je consulte mes logs.
Rien d'anormal a premiere vu.
L'authentification sur ma machine se fait uniquement via cle, pas par
mot de passe, pas d'acces root.
Quelques services tournent dessus, accessible depuis le net, mais
consultant les exploits, apparemment rien de nouveau...
Malheureusement mon ulog ne fonctionnait pas :( je ne peux donc voir les
acces etrangers :(
Avez vous connaissance d'un exploit similaire?
Savez vous comment je peux decompiler une librairie pour analyser le
contenu de cette lib?
Bien cordialement,
Matthieu
Pour ce qui est du restart d'apache ce doit être pour la rotation des
logs, vers 6h25 par défaut sous debian si mes souvenirs sont bons.
Ce qui n'explique en rien l'ajout de la ligne de le fichier de
configuration, peut-être l'installation d'un paquet.
Cordialement.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
