Un fichier sur le serveur
Résolu
Bonjour,
svp j'ai trouvé quelques fichiers malicieux sur mon serveur et je veux savoir comment je peux trouver l'origine de ces fichiers...
les fichiers datent de 2015 et je n'ai pas les logs pour cette période.
Merci
--
svp j'ai trouvé quelques fichiers malicieux sur mon serveur et je veux savoir comment je peux trouver l'origine de ces fichiers...
les fichiers datent de 2015 et je n'ai pas les logs pour cette période.
Merci
--
A voir également:
- Un fichier sur le serveur
- Fichier bin - Guide
- Comment réduire la taille d'un fichier - Guide
- Comment ouvrir un fichier epub ? - Guide
- Fichier rar - Guide
- Fichier .dat - Guide
2 réponses
Bonjour,
Je pense que la réponse est dans la question : si toutes les traces d'accès à ta machine à cette époque ont été effacées, difficile de remonter à la source.
Ceci dit, si ta machine contient des fichiers malicieux, il ne serait pas surprenant que des backdoors où des rootkit soient également présent. Ça vaudrait le coup à mon avis de lancer
De plus il serait intéressant de vérifier avec netstat si tu n'as pas un démon malicieux susceptible d'accueillir des connexions malveillantes.
Si intrusion il y a eu, il y a fort à parier qu'il y a une faiblesse. Assure-toi que les utilisateurs qui peuvent se connecter à distance sur cette machine utilise un mot de passe fort et de préférence une clé ssh (auquel cas, désactive les authentifications ssh par mot de passe).
Mets également à jour tous les services sensibles (ie ceux accessibles depuis l'extérieurs), typiquement ton serveur web ou ssh s'il y en a un. En d'autres termes une mise à jour globale, en s'assurant que tout a été bien mis à jour, serait également une bonne chose. En outre les rootkits ont tendance à mettre des droits bizarres pour s'assurer que les fichiers corrompus ne seront pas écrasés par une mise à jour, il faut veiller à ce que tu ne sois pas dans cette situation.
Si tu veux plus de détails je t'invite à lire ceci :
https://www.mistra.fr/tutoriel-linux-pirates-rootkit.html
Si tu ne t'y connais pas trop en linux, réinstaller un serveur avec une version récente de ta distribution linux présente le double avantage d'être plus simple et surtout plus sûre.
Bonne chance
Je pense que la réponse est dans la question : si toutes les traces d'accès à ta machine à cette époque ont été effacées, difficile de remonter à la source.
Ceci dit, si ta machine contient des fichiers malicieux, il ne serait pas surprenant que des backdoors où des rootkit soient également présent. Ça vaudrait le coup à mon avis de lancer
rkhunterou assimilé, s'assurer des comptes créés sur la machine et des clés ssh présentes dans les ~/.ssh/authorized_keys des différents utilisateurs.
De plus il serait intéressant de vérifier avec netstat si tu n'as pas un démon malicieux susceptible d'accueillir des connexions malveillantes.
Si intrusion il y a eu, il y a fort à parier qu'il y a une faiblesse. Assure-toi que les utilisateurs qui peuvent se connecter à distance sur cette machine utilise un mot de passe fort et de préférence une clé ssh (auquel cas, désactive les authentifications ssh par mot de passe).
Mets également à jour tous les services sensibles (ie ceux accessibles depuis l'extérieurs), typiquement ton serveur web ou ssh s'il y en a un. En d'autres termes une mise à jour globale, en s'assurant que tout a été bien mis à jour, serait également une bonne chose. En outre les rootkits ont tendance à mettre des droits bizarres pour s'assurer que les fichiers corrompus ne seront pas écrasés par une mise à jour, il faut veiller à ce que tu ne sois pas dans cette situation.
Si tu veux plus de détails je t'invite à lire ceci :
https://www.mistra.fr/tutoriel-linux-pirates-rootkit.html
Si tu ne t'y connais pas trop en linux, réinstaller un serveur avec une version récente de ta distribution linux présente le double avantage d'être plus simple et surtout plus sûre.
Bonne chance
Merci beaucoup pour tous ces informations et c'est vrai je suis nouvelle avec linux j'essaye de comprendre et de résoudre ces problèmes.
Pas de soucis, essaye juste de faire un fil de discussion par question afin que le forum reste lisible (je parle de la partie spam).
https://forums.commentcamarche.net/forum/linux-unix-13/new
J'ai déjà scanné mon serveur avec chkrootkit, shelldetector et malware detect. J'ai trouvé des fichiers malicieux. Pour tester j'ai juste changer les noms de ces fichiers et un problème est résolu.
Personnellement j'aurais une solution beaucoup plus radicale pour tout ce qui est malicieux. Je t'invite à suivre soigneusement les autres points que j'ai mentionné (clé ssh et autres) car sinon il sera très facile de pénétrer cette machine à nouveau.
Encore une fois si tu débutes, et si tes contraintes le permettent, réinstaller tout proprement n'est pas forcément le plus mauvais choix.
Par contre maintenant mes client me dissent que tous les emails venant de mon site web tombent dans le spam... tu penses que c'est lié?
En pratique leur serveur mail et/ou leur client mail classifie chaque mail et détermine si c'est un spam. Les critères peuvent être variés : un mail avec beaucoup de liens, des caractères étrangers (russes ou chinois par exemple), avec certains mots communs dans les spams, en provenance d'une certains hébergeurs de mail connus pour être très employés par les spammers (comme les adresses hotmail par exemple) peuvent être autant d'explications.
Plus de détails ici :
https://help.activecampaign.com/hc/en-us/articles/206427664-Why-Is-My-Email-Going-to-The-Spam-Folder-How-To-Improve-Email-Delivery
https://www.inmotionhosting.com/support/email/stop-emails-being-labeled-spam/
Bonne chance
Pas de soucis, essaye juste de faire un fil de discussion par question afin que le forum reste lisible (je parle de la partie spam).
https://forums.commentcamarche.net/forum/linux-unix-13/new
J'ai déjà scanné mon serveur avec chkrootkit, shelldetector et malware detect. J'ai trouvé des fichiers malicieux. Pour tester j'ai juste changer les noms de ces fichiers et un problème est résolu.
Personnellement j'aurais une solution beaucoup plus radicale pour tout ce qui est malicieux. Je t'invite à suivre soigneusement les autres points que j'ai mentionné (clé ssh et autres) car sinon il sera très facile de pénétrer cette machine à nouveau.
Encore une fois si tu débutes, et si tes contraintes le permettent, réinstaller tout proprement n'est pas forcément le plus mauvais choix.
Par contre maintenant mes client me dissent que tous les emails venant de mon site web tombent dans le spam... tu penses que c'est lié?
En pratique leur serveur mail et/ou leur client mail classifie chaque mail et détermine si c'est un spam. Les critères peuvent être variés : un mail avec beaucoup de liens, des caractères étrangers (russes ou chinois par exemple), avec certains mots communs dans les spams, en provenance d'une certains hébergeurs de mail connus pour être très employés par les spammers (comme les adresses hotmail par exemple) peuvent être autant d'explications.
Plus de détails ici :
https://help.activecampaign.com/hc/en-us/articles/206427664-Why-Is-My-Email-Going-to-The-Spam-Folder-How-To-Improve-Email-Delivery
https://www.inmotionhosting.com/support/email/stop-emails-being-labeled-spam/
Bonne chance
J'ai déjà scanné mon serveur avec chkrootkit, shelldetector et malware detect. J'ai trouvé des fichiers malicieux. Pour tester j'ai juste changer les noms de ces fichiers et un problème est résolu.
Par contre maintenant mes client me dissent que tous les emails venant de mon site web tombent dans le spam... tu penses que c'est lié?