PenB Salut, mon serveur sur ubuntu 10.10 s'est fait hacké. Je viens de découvrir l'affaire, mais l'attaque a du se produire samedi. C'est un serveur LAMP classique qui héberge (autohébergement) plusieurs hôtes virtuels avec un accès SSH. Ce que j'ai remarqué, c'est que dans apt, tous les paquets php5 avaient été supprimés. Comment ont-ils pu faire ce coup ? Comment tracer la connexion malveillante (IP) ? Pour le reste, seul un hôte virtuel (le principal) était visé. Les fichiers ont été éffacés, ou non, selon leur droit d'accès. Merci pour vos réponses A+
[supprimé] par exemple; sudo logwatch --detail high --range '9/22/2012' /var/log/auth.log en ssh, tu dois avoir des accès par clef + passphrase en sftp, un shell limité. idem pour les accès ssh qui ne justifient pas un shell complet (lshell - limited shell)
Hoper Vérifie aussi le contenu des fichiers bash_history. Combien de personnes sont administrateur sur ce serveur ? Tu es sur qu'il ne peut pas s'agir d'une simple erreur humaine ?
