[Toulibre] serveur web compromis
Nicolas JULIEN
gronico at gronico.org
Ven 20 Mar 00:18:11 CET 2009
Si l'IP est hors de france, aucune chance que cela aboutisse. (un
whois sur l'IP donnera des infos).
>> j'ai une Dedibox (Debian Lenny) avec un serveur Apache2 qui abrite 2
>> conneries et 3 merdouilles. En principe...
>>
>> Soit je me suis fait "voler" le mdp root de cette machine
>> (comment...mystère), soit je sais pas comment il a fait, toujours
>> est-il que quelqu' un s' y est logué dessus samedi dernier et a déposé
>> deux fichiers, un .rar de 150 Mo et un .tar.gz de 430 Mo,
>> dans /var/www/. Je m' en suis aperçu par l' historique bash.
Si c'est par dans le log bash, il est passé par le ssh? les logs de
tentative d'acces c'est direct en SSH ou sur un autre port?
Juste pour savoir, pour verifier chez moi... Sinon, eviter les mots
passe triviaux et fail2ban sont de bonnes solutions.
Plus d'informations sur la liste de diffusion Toulouse-ll