Recherche de logs effacés par un utilisateur
Bonjour.
Nous remarquons que sur notre serveur des collègues se crééent des comptes Root.
Nous voulons contrôler ce qu'ils font mais ils effacent les logs, existe t-il un moyen soit qu'ils ne peuvent pas supprimer les logs ou bien un moyen de retrouver les logs qu'ils suppriment.
Merci de votre aide.
Nous remarquons que sur notre serveur des collègues se crééent des comptes Root.
Nous voulons contrôler ce qu'ils font mais ils effacent les logs, existe t-il un moyen soit qu'ils ne peuvent pas supprimer les logs ou bien un moyen de retrouver les logs qu'ils suppriment.
Merci de votre aide.
A voir également:
- Recherche de logs effacés par un utilisateur
- View recovery logs - Guide
- Comment recuperer les messages effacés sur whatsapp - Guide
- Recherche automatique des chaînes ne fonctionne pas - Guide
- Recherche par image - Guide
- Rechercher ou entrer l'adresse 4 - recherche google ✓ - Forum Réseaux sociaux
2 réponses
Ben s'ils passent root, non. Par contre tu peux regarder qui est connecter avec quel login à tout moment en ouvrant une console et en tapant :
Il faut avoir installé finger au préalable. A priori s'ils passent root,
- c'est soit qu'ils connaissent le mot de passse root,
- soit qu'il ont une "back door", par exemple un script appartenant à root qui lance un bash avec un bit suid (le fameux s qui apparait quand tu fais un ls -l avec les "rwx").
Il suffirait de localiser ce fichier et de le supprimer, de changer le mot de passe root et tout rentrerait dans l'ordre...
Bonne chance
finger
Il faut avoir installé finger au préalable. A priori s'ils passent root,
- c'est soit qu'ils connaissent le mot de passse root,
- soit qu'il ont une "back door", par exemple un script appartenant à root qui lance un bash avec un bit suid (le fameux s qui apparait quand tu fais un ls -l avec les "rwx").
Il suffirait de localiser ce fichier et de le supprimer, de changer le mot de passe root et tout rentrerait dans l'ordre...
Bonne chance
Sinon tu peux aussi rajouter des lignes fourbes dans le fichier ~root/.bashrc qui écriraient un log à leur insu. Par exemple tu rajoutes les lignes :
Comme ca tu connaîtra la machine, l'heure, et qui l'a fait ;-)
Après tu n'as plus qu'à inspecter le fichier /root/.je_vas_vous_casser.log et a regarder qui s'est gentiment loggé. Je sais c'est vil ;-)
Bonne chance
export fout = ~tonlogin/.je_vais_vous_casser.log
date >> ${fout}
hostname >> ${fout}
ps faux >> ${fout}
echo "-------------------------------------" >> ${fout}
Comme ca tu connaîtra la machine, l'heure, et qui l'a fait ;-)
Après tu n'as plus qu'à inspecter le fichier /root/.je_vas_vous_casser.log et a regarder qui s'est gentiment loggé. Je sais c'est vil ;-)
Bonne chance
