Recherche de logs effacés par un utilisateur
Bonjour.
Nous remarquons que sur notre serveur des collègues se crééent des comptes Root.
Nous voulons contrôler ce qu'ils font mais ils effacent les logs, existe t-il un moyen soit qu'ils ne peuvent pas supprimer les logs ou bien un moyen de retrouver les logs qu'ils suppriment.
Merci de votre aide.
Nous remarquons que sur notre serveur des collègues se crééent des comptes Root.
Nous voulons contrôler ce qu'ils font mais ils effacent les logs, existe t-il un moyen soit qu'ils ne peuvent pas supprimer les logs ou bien un moyen de retrouver les logs qu'ils suppriment.
Merci de votre aide.
2 réponses
-
Ben s'ils passent root, non. Par contre tu peux regarder qui est connecter avec quel login à tout moment en ouvrant une console et en tapant :
finger
Il faut avoir installé finger au préalable. A priori s'ils passent root,
- c'est soit qu'ils connaissent le mot de passse root,
- soit qu'il ont une "back door", par exemple un script appartenant à root qui lance un bash avec un bit suid (le fameux s qui apparait quand tu fais un ls -l avec les "rwx").
Il suffirait de localiser ce fichier et de le supprimer, de changer le mot de passe root et tout rentrerait dans l'ordre...
Bonne chance -
Sinon tu peux aussi rajouter des lignes fourbes dans le fichier ~root/.bashrc qui écriraient un log à leur insu. Par exemple tu rajoutes les lignes :
export fout = ~tonlogin/.je_vais_vous_casser.log date >> ${fout} hostname >> ${fout} ps faux >> ${fout} echo "-------------------------------------" >> ${fout}
Comme ca tu connaîtra la machine, l'heure, et qui l'a fait ;-)
Après tu n'as plus qu'à inspecter le fichier /root/.je_vas_vous_casser.log et a regarder qui s'est gentiment loggé. Je sais c'est vil ;-)
Bonne chance