Recherche de logs effacés par un utilisateur

cliagre -  
mamiemando Messages postés 33228 Date d'inscription   Statut Modérateur Dernière intervention   -
Bonjour.
Nous remarquons que sur notre serveur des collègues se crééent des comptes Root.
Nous voulons contrôler ce qu'ils font mais ils effacent les logs, existe t-il un moyen soit qu'ils ne peuvent pas supprimer les logs ou bien un moyen de retrouver les logs qu'ils suppriment.
Merci de votre aide.

2 réponses

  1. mamiemando Messages postés 33228 Date d'inscription   Statut Modérateur Dernière intervention   7 940
     
    Ben s'ils passent root, non. Par contre tu peux regarder qui est connecter avec quel login à tout moment en ouvrant une console et en tapant :
    finger

    Il faut avoir installé finger au préalable. A priori s'ils passent root,
    - c'est soit qu'ils connaissent le mot de passse root,
    - soit qu'il ont une "back door", par exemple un script appartenant à root qui lance un bash avec un bit suid (le fameux s qui apparait quand tu fais un ls -l avec les "rwx").

    Il suffirait de localiser ce fichier et de le supprimer, de changer le mot de passe root et tout rentrerait dans l'ordre...

    Bonne chance
    0
  2. mamiemando Messages postés 33228 Date d'inscription   Statut Modérateur Dernière intervention   7 940
     
    Sinon tu peux aussi rajouter des lignes fourbes dans le fichier ~root/.bashrc qui écriraient un log à leur insu. Par exemple tu rajoutes les lignes :
    export fout = ~tonlogin/.je_vais_vous_casser.log
    date >> ${fout}
    hostname >> ${fout}
    ps faux >> ${fout}
    echo "-------------------------------------" >> ${fout}

    Comme ca tu connaîtra la machine, l'heure, et qui l'a fait ;-)

    Après tu n'as plus qu'à inspecter le fichier /root/.je_vas_vous_casser.log et a regarder qui s'est gentiment loggé. Je sais c'est vil ;-)

    Bonne chance
    0