bonjour
Il faut effectivement éplucher les logs et surtout les logs web access
et error (tous les ../../%20... , url bizarre). Il faut également faire
quelques recherches sur google sur l'IP du serveur, les pages web qui
ont permis de faire l'intrusion et chercher en utilisant les google
dorks. Ainsi vous pourrez trouver s'il existe des traces sur le net de
l'intrusion et de surtout comment les "pirates/bot" ont fait pour
trouver la faille.
Normalement, quand cela arrive, il ne faut surtout pas réinstaller ou
mettre à jour dans l'urgence, il faut faire l'audit avant sinon vous
perdez de nombreuses traces et vous risquez de passer à coté
d'informations pouvant être utiles.
Cordialement
Florent NOLOT
Université de Reims Champagne-Ardenne
Le 28/07/2014 10:14, Fernando Lagrange a écrit :
Bonjour,
Je suis un peu vert: un serveur que j'administre a été compromis ! :-X
J'ai été alerté car une page web de phishing a été mise en place, à cause d'une
application que je n'avais pas mise à jour.
En y regardant de plus près, j'ai trouvé aussi une page pour envoyer du SPAM.
De fait: il y avait plus de 200 pourriels en cours d'envoi sur le serveur d'à
côté. Là, j'ai été trop rapide et tout effacé, maintenant je me dis que j'y
aurais bien jeté un œil à ces pourriels… :-/
Mes recherches sur le net arrivent surtout sur comment se prémunir (mettre en
place la sécurité), je n'ai pas trouvé grand-chose sur « l'après ». L'après
non-technique, j'entends.
Du coup, comment vous faites:
1. pour vérifier que tout va bien techniquement ?
et surtout:
2. est-ce qu'il faut suivre des démarches pour se prémunir au cas où une
plainte tomberait dans X temps ?
Personnellement, après avoir coupé les accès aux pages concernées:
1. a. J'ai regardé l'arborescence des htdocs dans l'historique des sauvegardes
(et retrouvé depuis quand c'est arrivé)
b. vérifié les courriels metche de surveillance de l'arborescence /etc (pas vu
de modifs de ce côté-là)
c. j'ai installé rkhunter (on n'est jamais trop prudent, mais est-ce utile à
postériori ?)
d. j'ai mis à jour (et je suis en négociation avec ma hiérarchie pour garder
les serveurs à jour, mais c'est pas simple)
e. Je continue à éplucher les logs de la période, j'hésite à installer logwatch
f. je vais baisser les alertes munin sur le nombre de courriels par seconde
(mais j'imagine que ça va me faire des faux-positifs et une bonne attaque
passera inaperçue)
h. je vais faire monter la réinstallation de ce serveur vers le haut de la pile
des choses à faire ;)
2. Je suis en train d'envoyer un message à FRSAG. ;)
Plus sérieusement, je me demande s'il ne faut pas que je déclare quelque chose
quelque part ? (Je sais pas trop si je pourrai fournir des infos précises d'ici
2, 5 ou 10 ans…)
Et vous, si ça vous est arrivé, avez-vous fait quelque chose ? Que s'est-il
passé ensuite ?
(J'accepte les messages en privé si vous pensez que c'est trop sensible en
public, n'hésitez-pas à me renvoyer sur des discussions similaires.)
@+
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
