Le 12469i�me jour apr�s Epoch, Yann Autissier �crivait: > Maudit soit plutot l'admin d�butant que je suis : > J'enchaine surprises sur surprises, et je ne pense vraiment plus que > ma machine soit saine. > C'est effectivement portsentry qui �coute sur les ports 1524 et 31337, > d'apr�s netstat et lsof.
N'oublie pas que netstat et lsof peuvent avoir �t� compromis... essaye de faire un 'sum' et un 'md5sum' des binaires pour les comparer � une machine saine. > Mais quand j'ai reboot� le serveur, jeudi, il manquait une partie des > logs dans les principaux logs, > mais les logs d'apache avait eux continuer de fonctionner et j'ai pu > regarder dedans certaines > connexions qui ont eu lieu sur ce service. Mais je ne les ai pas > copi�s. Vendredi matin, quand j'ai > voulu v�rifier � nouveau, toutes ces informations n'�taient plus qu'un > vague souvenir :!( C'est pas une rotation qui a fait �a ? L'important, c'est de savoir par o� ils sont rentr�s, si effectivement ils (les vilains) sont rentr�s. Apache a eu un probl�me de s�curit� il n'y a pas longtemps, mais je ne me souviens plus lequel. Si PHP tourne aussi sur ta machine, il se peut qu'un 'require()' ou 'include()' puisse �tre utilis� pour ex�cuter du code malicieux, obtenir un acc�s root si tu as un noyau <= 2.4.24, et paf! > Donc je me sens vraiment b�te, mais si j'ai qd m�me retrouver > certaines i.p. sur lesquelles j'ai > fait quelques traceroute, je n'ai plus aucune information sur les > horaires et les fichiers consult�s ! Bof... En g�n�ral ces IP sont celles de machines d�j� compromises elles aussi ;) M�me les logs apache peuvent ne te donner que des IP du m�me genre. -- I feel better about world problems now!
