<html><head></head><body>As tu de bonnes raisons de vouloir enquêter sur le comment?<br>
<br>
De toute façon la conclusion sera de réinstaller de zero avec du durcissement système (hardening) et un parefeux configure le plus restrictif possible tel que iptables.<br>
<br>
Ensuite pour ce qui est de prévenir ce genre de situation tu peux rajouter une sonde réseau sur ton serveur tel que Snort avec des alertes par e-mails.<br><br><div class="gmail_quote">On June 25, 2018 7:45:16 PM GMT+02:00, p kc via Toulouse-ll <toulouse-ll@toulibre.org> wrote:<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<div dir="ltr"><div>Hello,<br /></div><div><br /></div><div>Sur ce type d'analyse en général on fait une copie complète montée en read only sur un autre système sain avec un livecd.<br /></div><div><br /></div><div>Je ne sais pas si il s'agit d'un hébergement de serveur physique en l'occurrence, et la possibilité de faire une image complète pour analyse.<br /></div><div><br /></div><div>Le souci peut venir d'une faille ou d'une récupération de logins/mdp pour un accès distant.</div><div><br /></div><div>Et du coup l'analyse peut s'avérer très longue si le système est toujours actif.</div><div><br /></div><div>A voir aussi pour implémenter sur ton serveur un outil de scellement type 'AIDE' (<a href="http://aide.sourceforge.net">aide.sourceforge.net</a>) afin d'être prévenu en cas d'ajout de fichier intempestif.<br /></div><div><br /></div><div>Et du chroot pour compartimenter les différents démons et limiter les possibilités d'accès au système.</div><div><br /></div><div>bon après-midi.<br /></div><div><br /></div></div><div class="gmail_extra"><br /><div class="gmail_quote">Le 24 juin 2018 à 15:48, Knarx via Toulouse-ll <span dir="ltr"><<a href="mailto:toulouse-ll@toulibre.org" target="_blank">toulouse-ll@toulibre.org</a>></span> a écrit :<br /><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div>Hello team technique TTN et Toulibre,<br /></div><div><br /></div><div>Mon serveur hosté à Myrys a été piraté (youhou). J'ai changé tous les passwords user/root, arrêté postfix pour bloquer l'envoie de spam, mais j'ai du mal à investiguer plus globalement mon serveur pour savoir si le pb est 100% résolu.<br /></div><div><br /></div><div>L'un.e d'entre vous serait-il/elle motivé.e pour passer un petit moment avec moi et me montrer les bases de l’interprétation des différents logs et comprendre l'origine du pb ? et voir si tout est maintenant OK ?<br /></div><div><br /></div><div>Ca pourrait être une petite heure de partage de connaissance et de buvage de bières (ou autre) si ça interesse qqun.e :-)<br /></div><div><br /></div><div>Merci,<br /></div><div><br /></div><div class="m_-9183925863020130287protonmail_signature_block"><div class="m_-9183925863020130287protonmail_signature_block-user"><div><br /></div><div>Knarx<br /></div></div></div><div><br /></div><br />______________________________<wbr />_________________<br />
Toulouse-ll mailing list<br />
<a href="mailto:Toulouse-ll@toulibre.org">Toulouse-ll@toulibre.org</a><br />
<a href="http://toulibre.org/cgi-bin/mailman/listinfo/toulouse-ll" rel="noreferrer" target="_blank">http://toulibre.org/cgi-bin/<wbr />mailman/listinfo/toulouse-ll</a><br /></blockquote></div><br /></div>
</blockquote></div><br>
-- <br>
Sent from my Android device with K-9 Mail. Please excuse my brevity.</body></html>