Elève linuxien
Help ubuntu people,
Voilà, ça fait quelques semaines que j'ai des connexions suspectes sur mon serveur :mad:
Bref, je vous passe les détails car j'ai déposé plainte cette semaine.
Mais là j'ai un gros coup de flippe !!! en faisant un tour sur les droits des fichiers je viens de m’apercevoir que certains dossier sont en 777 dont mon dossier clients !
Le fichier clients en 774 (lecture pour tout le monde), etc... Bref c'est open bar sur mon serveur !!!!
Je ne vois pas comme cela à pu arriver (est ce moi qui ai fait une fausse manip ? j'en doute fort ! mais bon...)
Afin de savoir quand les droits ont changés je me suis mis à la recherche des log pour chmod mais je ne le trouve pas.
savez vous quel est le fichier de log qui conserve ces changements (chmod, chown, getfacl,...) ?
Je vous en remercie d'avance !
bruno
Bonjour,
Si le serveur a été compromis, il devrait être mis hors ligne et réinstallé.
Sinon il faut que tu regardes tous les fichiers de log, notamment auth.log pour savoir qui s'est connecté et à quel moment.
Tu peux aussi examiner l'historique des commandes des utilisateurs (.bash_history si tu utilises bash) mais chacun sait comment exécuter une commande sans qu'elle soit enregistrée dans l’historique (ou effacer l'historique).
Elève linuxien
Bonjour,
Je reviens, longtemps après mon post, pour fermer la discussion ; Merci Bruno pour ton retour mais à l'époque j'étais un peu paniqué et j'ai œuvré dans l'urgence sans répondre...
J'ai réinstallé le serveur 😉
Bon Ubuntu à tous !
