Le 4 juin 2011 14:36, Michael Faille <[email protected]> a écrit : > Dans /var/log/auth.log tu devrais avoir des indices. > > Pour y accéder je te conseille d'ouvrir un terminal et tapper la commande: > less /var/log/auth.log > > Une fois less exécuté, pour fusionner les informations les plus récentes , > fait la combinaison : > shift + G (g étant une majuscule) > > Je te laisse tenté de découvrir ce fichier. > Bon, j'ai beau regarder ça, c'est un peu comme si je lisais le bottin téléphonique de Montréal pour retrouver le nom d'une personne à partir de son numéro de téléphone. Néanmoins, voici quelques lignes (il y a deux FAILED su for root):
Jun 4 10:39:12 gilbert-netbook su[6180]: pam_unix(su:auth): authentication failure; logname=gilbert uid=1000 euid=0 tty=/dev/pts/1 ruser=gilbert rhost= user=root Jun 4 10:39:14 gilbert-netbook su[6180]: pam_authenticate: Authentication failure Jun 4 10:39:14 gilbert-netbook su[6180]: FAILED su for root by gilbert Jun 4 10:39:14 gilbert-netbook su[6180]: - /dev/pts/1 gilbert:root Jun 4 10:39:20 gilbert-netbook su[6182]: pam_unix(su:auth): authentication failure; logname=gilbert uid=1000 euid=0 tty=/dev/pts/1 ruser=gilbert rhost= user=root Jun 4 10:39:22 gilbert-netbook su[6182]: pam_authenticate: Authentication failure Jun 4 10:39:22 gilbert-netbook su[6182]: FAILED su for root by gilbert Jun 4 10:39:22 gilbert-netbook su[6182]: - /dev/pts/1 gilbert:root Jun 4 10:40:01 gilbert-netbook CRON[6186]: pam_unix(cron:session): session opened for user root by (uid=0) Jun 4 10:40:11 gilbert-netbook CRON[6186]: pam_unix(cron:session): session closed for user root Alors, si j'ai bien identifié les lignes qui indiqueraient qu'il y a eu intrusion, cette dernière n'aurait rien à voir avec ma session de Visionneur de bureau, laquelle a eu lieu hier soir. À l'heure de la session d'hier, il y a ces lignes-ci: Jun 4 00:33:21 gilbert-netbook polkitd(authority=local): Unregistered Authentication Agent for unix-session:/org/freedesktop/ConsoleKit/Session2 (system bus name :1.37, object path /org/gnome/PolicyKit1/AuthenticationAgent, locale fr_CA.UTF-8) Jun 4 00:38:44 gilbert-netbook sshd[559]: Server listening on 0.0.0.0 port 22. Jun 4 00:38:44 gilbert-netbook sshd[559]: Server listening on :: port 22. Jun 4 00:39:22 gilbert-netbook gdm-session-worker[1255]: pam_succeed_if(gdm:auth): requirement "user ingroup nopasswdlogin" not met by user "gilbert" Jun 4 00:39:29 gilbert-netbook gdm-session-worker[1255]: pam_unix(gdm:session): session opened for user gilbert by (uid=0) Jun 4 00:39:29 gilbert-netbook gdm-session-worker[1255]: pam_ck_connector(gdm:session): nox11 mode, ignoring PAM_TTY :0 Selon moi (mais je n'y connais pas grand chose), il n'y a rien qui puisse indiquer la source de l'intrusion (qui? à partir d'où?). Comment est-ce possible et comment me protéger? Le port 22 ouvert, ça a rapport? Ça sert à quoi? Mais surtout: comment me protéger des intrusions? Je croyais qu'un routeur, ça bloquait les intrusions! Gilbert > A+ > > On Jun 4, 2011 11:39 AM, "Gilbert Dion" <[email protected]> wrote: >> Bonjour, >> Hier soir, j'ai accédé à mon netbook à partir de mon laptop en >> utilisant le visionneur de bureaux distants. Sur le netbook, je ne >> demande pas d'autorisation ou de mot de passe (ayant cru jusqu'à >> maintenant être le seul à pouvoir m'y connecter). Mon netbook est >> resté ouvert toute la nuit. Ce matin, en me levant, j'ai constaté >> qu'il avait été manipulé par quelqu'un d'autre. Le logiciel de >> courriel Évolution était ouvert (je ne me sers jamais d'Évolution) >> ainsi qu'un terminal où figuraient les entrées suivantes: «up root» >> (avec comme résultat: «up: commande introuvable») et su root à deux >> reprises (avec comme résultat «Mot de passe:» et «échec de >> l'authentification»). >> >> Ai-je raison de croire que c'est parce que j'ai utilisé l'accès à >> distance que cette intrusion a eu lieu? Si oui, est-ce la connexion >> VNC qui ouvre la porte aux étrangers? Y a-t-il moyen de retracer >> l'intrus? (Cette intrusion a-t-elle laissé des traces?) >> >> Gilbert >> >> -- >> Ubuntu-quebec mailing list >> [email protected] >> https://lists.ubuntu.com/mailman/listinfo/ubuntu-quebec > > -- > Ubuntu-quebec mailing list > [email protected] > https://lists.ubuntu.com/mailman/listinfo/ubuntu-quebec > > -- Ubuntu-quebec mailing list [email protected] https://lists.ubuntu.com/mailman/listinfo/ubuntu-quebec
