Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 24/09/2012, à 14:29

PenB

Hacké

Salut,

mon serveur sur ubuntu 10.10 s'est fait hacké. Je viens de découvrir l'affaire, mais l'attaque a du se produire samedi.

C'est un serveur LAMP classique qui héberge (autohébergement) plusieurs hôtes virtuels avec un accès SSH.

Ce que j'ai remarqué, c'est que dans apt, tous les paquets php5 avaient été supprimés.
Comment ont-ils pu faire ce coup ?
Comment tracer la connexion malveillante (IP) ?

Pour le reste, seul un hôte virtuel (le principal) était visé. Les fichiers ont été éffacés, ou non, selon leur droit d'accès.

Merci pour vos réponses

A+


OS actuel : Fedora 16 avec un vrai Gnome 3 ^ ^
Ubuntiste de Ubuntu Breezy Badger 5.10 à Maverick Meerkat 10.10 et Windows définitivement supprimé depuis février 2006...

Hors ligne

#2 Le 28/09/2012, à 08:01

Pseudo supprimé

Re : Hacké

par exemple;

sudo logwatch --detail high --range '9/22/2012'

/var/log/auth.log

en ssh, tu dois avoir des accès par clef + passphrase
en sftp, un shell limité.
idem pour les accès ssh qui ne justifient  pas un shell complet (lshell - limited shell)

#3 Le 28/09/2012, à 11:20

Hoper

Re : Hacké

Vérifie aussi le contenu des fichiers bash_history.
Combien de personnes sont administrateur sur ce serveur ? Tu es sur qu'il ne peut pas s'agir d'une simple erreur humaine ?


Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org

Hors ligne