Sur un serveur commun à plusieurs “administrateurs” en gros on a tous le Mdp root, je voudrais savoir qui (IP) et quand (date) a fait une manip, en gros si c’est l’un de nous ou l’hébergeur qui fait mumuse …
avez-vous un forum sur lequel vous avez les droits admin 
Il n’y a pas de forum sur ce serveur.
Tu as accès à auth.log (je suis bête tu es root)?
Si oui tu sais qui s’est loggé en root et à quelle heure, qui a fait des su…
oui avec auth.log je sais qui est le dernier root à s’être loggé (c’est l’hébergeur justement), mais le serveur ne fonctionnait plus depuis qqs heures déjà, alors je voudrais connaître en fonction de l’historique des commandes qui les a tapées !
Tu n’as pas à ta disposition, les fichiers d’administration d’un forum phpBB ?
Il existe, dans je ne sais plus quel fichier du phpBB une partie qui journalise les interventions de tous ceux qui ont accès à l’administration.
Je n’en sais pas plus car je n’ai pas accès mais j’ai lu ça quelque part, où ???
Tu pourrais ptet t’en inspirer.
Par curiosité, quelles sortes de commandes malintentionnées ont été passées ?
S’il s’agit de création de fichiers, l’heure de création devrait être portée.
Tu pourrais recouper l’heure et le jour des modifications des fichiers avec les journaux de connexion.
Les connexions locales comme les distantes sont enregistrées dans /var/log/wtmp avec le numéro IP dans le cas de ssh.
$ last
pour chercher les journaux antérieurs, on précise le fichier
$ last -f /var/log/wtmp.1
Catastrophisme avancé :
Les dates ne sont pas forcément pertinentes , un changement d’heure ou un “touch” suffisent .
De même qui te dit que /var/log/wtmp n’a pas été détourné tout comme l’historique des commandes ?
En fait un p’tit malin a lancer en ssh la commande “poweroff” (que je ne connaissais même pas) qui a l’air d’être un alias de “halt” lui même de “shutdown- h” … Et le serveur était éteint, donc demande d’intervention, que l’hébergeur, curieusement nous fait gracieusement … Alors si finalement c’est lui, le côté curieux de la chose ne m’étonnera plus, mais comme c’est un serveur qui devrait rentrer en production, j’aimerai m’assurer de sa faute (ou de celle d’un autre) avant de lui envoyer une volée de bois verts …
mdr, juste en passant histoire de détendre l’ambiance :
J’ai voulu faire des tests sur mon serveur dans le seul but de t’aider et enfait je viens de l’éteindre… 
Oops 
T’as un panel pour le redémarrer ou il faut que tu appelles ? 
Non mais c’est mon serveur @home, pas grave du tout, et puis je ne me serai pas amuser à “greper” du shutdown sur un dédié quand même 
Pour revenir à ton problème, tu peux peut être aussi t’aider de la commande last, et voir qui s’est connecté et à quelle heure avant un arrêt du système. Mais bon, si vous vous appelez tous root…