Re: Re : Disparition de logs

[Yann Autissier]

Fran�ois TOURDE a �crit :

Le 12469i�me jour apr�s Epoch,
Jean-Luc Coulon �crivait:
 

Le 21.02.2004 15:55, Fran�ois TOURDE a �crit :
   

Le 12469i�me jour apr�s Epoch,
Yann Autissier �crivait:

     

Fran�ois TOURDE a �crit :
       

C'est quoi "sherpyanis�s" ??

         

J'ai trouv� ces paquets sur apt-get.org :

deb http://debian.netfarm.it/debian/ woody sherpya
deb http://www.backports.org/debian stable all
       

Bon. On va dire que c'est un nouveau mot alors.

     

Mon uptime est reparti de 0 au reboot, par contre chkrootkit
me renvoie deux lignes int�ressantes :

# chkrootkit
Searching for suspicious files and dirs, it may take a while...
/usr/lib/tiger/bin/.bintype
Checking `bindshell'... INFECTED (PORTS:  1524 31337)

# lsof |grep ":1524"
# lsof |grep ":31337"
portsentr  1002  root   40u  IPv4       2473                 TCP
*:31337 (LISTEN)
portsentr  1006  root   30u  IPv4       2547                 UDP
*:31337
       

Super... Tu as gagn� le droit de la r�installer. Tiger est bien foutu
comme rootkit. En lui-m�me il ne fait pas de d�gats, mais donne la
main � des connect�s IRC ou SSH si mes souvenirs sont bons.

     

Tiger, c'est le rootkit ou c'est lui qui a lanc� chkrootkit pour  
justement v�rifier l'int�grit� du syst�me ?
/usr/lib/tiger appartient au package tiger mais pas au rootkit du m�me  
nom ...
   


Ooops... J'avais pas fait attention... C'est "portsentry" le rootkit
;) C'est lui qui �coute sur les ports...

Donc il se peut que la machine soit saine.

Maudit sois-je :(

 

Maudit soit plutot l'admin d�butant que je suis :
J'enchaine surprises sur surprises, et je ne pense vraiment plus que ma 
machine soit saine.
C'est effectivement portsentry qui �coute sur les ports 1524 et 31337, 
d'apr�s netstat et lsof.
Mais quand j'ai reboot� le serveur, jeudi, il manquait une partie des 
logs dans les principaux logs,
mais les logs d'apache avait eux continuer de fonctionner et j'ai pu 
regarder dedans certaines
connexions qui ont eu lieu sur ce service. Mais je ne les ai pas copi�s. 
Vendredi matin, quand j'ai
voulu v�rifier � nouveau, toutes ces informations n'�taient plus qu'un 
vague souvenir :!(

Donc je me sens vraiment b�te, mais si j'ai qd m�me retrouver certaines 
i.p. sur lesquelles j'ai
fait quelques traceroute, je n'ai plus aucune information sur les 
horaires et les fichiers consult�s !

Yann