#1 Le 24/09/2012, à 14:29
- PenB
Hacké
Salut,
mon serveur sur ubuntu 10.10 s'est fait hacké. Je viens de découvrir l'affaire, mais l'attaque a du se produire samedi.
C'est un serveur LAMP classique qui héberge (autohébergement) plusieurs hôtes virtuels avec un accès SSH.
Ce que j'ai remarqué, c'est que dans apt, tous les paquets php5 avaient été supprimés.
Comment ont-ils pu faire ce coup ?
Comment tracer la connexion malveillante (IP) ?
Pour le reste, seul un hôte virtuel (le principal) était visé. Les fichiers ont été éffacés, ou non, selon leur droit d'accès.
Merci pour vos réponses
A+
OS actuel : Fedora 16 avec un vrai Gnome 3 ^ ^
Ubuntiste de Ubuntu Breezy Badger 5.10 à Maverick Meerkat 10.10 et Windows définitivement supprimé depuis février 2006...
Hors ligne
#2 Le 28/09/2012, à 08:01
- Pseudo supprimé
Re : Hacké
par exemple;
sudo logwatch --detail high --range '9/22/2012'/var/log/auth.log
en ssh, tu dois avoir des accès par clef + passphrase
en sftp, un shell limité.
idem pour les accès ssh qui ne justifient pas un shell complet (lshell - limited shell)
#3 Le 28/09/2012, à 11:20
- Hoper
Re : Hacké
Vérifie aussi le contenu des fichiers bash_history.
Combien de personnes sont administrateur sur ce serveur ? Tu es sur qu'il ne peut pas s'agir d'une simple erreur humaine ?
Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org
Hors ligne