par
naholyr » 03 oct. 2006, 12:26
bêtement un "ps all" pour voir ce qui tourne et détecter un démon suspect déjà. Vérifier les logs d'accès SSH également. Enfin tous les trucs d'une attaque bidon, si c'est une attaque d'un robot il n'aura pas été jusqu'à installé un rootkit en général ils y vont avec leur gros sabot
Vérifie également qu'il n'y a pas une faille dans l'un des scripts php qui tournent sur le serveur (voir phpexploits.com je crois).
Dans tous les cas : sauvegarde vite
tous les logs (il y en a peut-être dont l'intérêt ne te sautera pas aux yeux, alors que finalement le type a utilisé une faille dans le client sntp du serveur et que c'est dans ces logs que tu vas le retrouver, il faut donc tous les garder) dans un endroit sûr, si jamais il y a un vrai humain derrière et qu'il a oublié de détruire les logs, il va y penser très vite.
bêtement un "ps all" pour voir ce qui tourne et détecter un démon suspect déjà. Vérifier les logs d'accès SSH également. Enfin tous les trucs d'une attaque bidon, si c'est une attaque d'un robot il n'aura pas été jusqu'à installé un rootkit en général ils y vont avec leur gros sabot ;)
Vérifie également qu'il n'y a pas une faille dans l'un des scripts php qui tournent sur le serveur (voir phpexploits.com je crois).
Dans tous les cas : sauvegarde vite [b]tous[/b] les logs (il y en a peut-être dont l'intérêt ne te sautera pas aux yeux, alors que finalement le type a utilisé une faille dans le client sntp du serveur et que c'est dans ces logs que tu vas le retrouver, il faut donc tous les garder) dans un endroit sûr, si jamais il y a un vrai humain derrière et qu'il a oublié de détruire les logs, il va y penser très vite.
