Bonjour, Tout d' abord je remercie tout le monde pour les suggestions de sécurisation d' accès suite à l' intrusion dont j' ai fait l' objet. Je doute du port-knocking dans mon cas mais j' approfondirai la question.
J' ouvre un nouveau fil histoire de changer de sujet: l' analyse des logs. Si c' est trop hors-sujet pour cette liste, dites-le moi. Petit historique des événements. Mardi soir (le 17) en remontant dans l' historique bash de root je tombe au bout de 2 ou 3 commandes sur un wget qui ne venait manifestement pas de moi. Je découvre 2 fichiers inconnus (dont celui du wget en question) dans /var/www. Recopie de ces fichiers pour analyse ultérieure et effacement de /var/www, changement de mdp, fermeture de l' accès root SSH. Dans /var/log/auth.log je retrouve effectivement une connexion root à midi. La connexion est faite du premier coup, donc "il" devait connaitre le mdp. J' ai eu des erreurs concernant ces fichiers dans les logs Apache jusqu' à jeudi, depuis plus rien. En analysant à tête reposée le .bash_history de root, je retrouve effectivement les deux wget avec quelques commandes autour, essentiellement des 'cd' et 'ls' mais apparemment rien de grave, et rien d' autre de suspect. En regardant les archives auth.log.* depuis le 9, je n'ai que deux connexions illicites, celle du 17 et une du 16 avec la même adresse IP, établie elle aussi du premier coup. Je suppose donc que je me suis fait "voler" mon mdp, je sais pas comment. Les deux fichiers ont du être chargés en deux fois... Là où ça se corse, c' est que dans les logs d' Apache, les premières traces de téléchargement de ces fichiers datent du 13! Moi plus comprendre. Si un expert a une once de début d' explication... Vincent -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers [email protected] En cas de soucis, contactez EN ANGLAIS [email protected]
