euh bon la je te remercie pour le script mais euh la, je pense ne pas avoir tout capter de ce que tu m’as dit.

J’ai lance le script et voici le message d’erreur
line 14: wget.org: command not found

oui oui, je t’avoue que je suis un peu perdu

Alors, le script est un wrapper qui s’intercale entre l’utilisateur et wget, il est grossier mais relativement invisible quant à ses effets (sauf que le gars ne chargera rien ):
Tu fais les choses suivantes:

mv /usr/bin/wget /usr/bin/wget.org touch /var/log/intrusion.log chown www-data /var/log/intrusion.log
puis tu nommes le fichier /usr/bin/wget le script que je t’ai indiqué
Quand un utilisateur quelconque utilisera wget, wget aura in comprtement normal, par contre si c’est www-data (qui est l’utilisateur exécutant le serveur apache), tu auras les choses suivantes:
le fichier /var/log/intrusion.log contiendra

donc les dates et commandes wget éxécutées par www-data et

[quote]cerbere:/tmp$ ls -altdr .intru*
d--------- 2 www-data www-data 4096 2009-04-09 13:47 .intrus.1239277657
d--------- 2 www-data www-data 4096 2009-04-09 13:51 .intrus.1239277889
d--------- 2 www-data www-data 4096 2009-04-09 13:51 .intrus.1239277911
[/quote]autant de répertoires que de commandes et dans chacun de ces répertoires, les fichiers que voulaient rapatrier le pirate.

[quote]cerbere:/tmp$ chmod -R 777 .intrus*
cerbere:/tmp$ ls -l .intrus*
.intrus.1239277657:
total 4
-rwxrwxrwx 1 www-data www-data 1411 2009-04-09 13:47 index.html

.intrus.1239277889:
total 4
-rwxrwxrwx 1 www-data www-data 1411 2009-04-09 13:51 index.html

.intrus.1239277911:
total 8
-rwxrwxrwx 1 www-data www-data 4943 2009-04-09 13:51 index.html
[/quote]

Si tu as écrasé wget:

apt-get install --reinstall wget

Pour supprimer le wrapper:

mv wget.org wget

Bon ben, voila, le script est en place, j’espere que je l’ai bien fait.

Maintenant, on va attendre et voir ce que ca donne

Merci encore fran.b, en meme temps, j’en ai appris pas mal

il n’y a pas que toi qui apprends, c’est instructif pour beaucoup ici je crois.
j’ai l’impression de suivre un feuilleton des brigades du tigre…ou disons plutôt des brigades du pingouin.

En revanche, j’ai une question qui parait peut etre debile mais bon:

Est ce que ce script peut empecher de faire tourner un site web??

Car j’ai un probleme, certains de mes sites ne tournent plus alors que j’ai acces par ftp et les autres marchent nikels.

Et la, je panique…

Hum, tu peux regarder si le script est appelé par en rajoutant

#!/bin/sh date +"%c wget $*" >> /tmp/wget.log if [ $USER = "www-data" ] ; then date +"%c Commande wget $*">> /var/log/intrusion.log pushd /tmp DIR=`date +".intrus.%s"` mkdir $DIR cd $DIR wget.org $* cd .. chmod 000 $DIR popd exit 0 else wget.org $* fi
(rajoute de la deuxième ligne), tu auras les appels dans /tmp/wget.log et tu sauras donc si ça coïncide avec les sites posant problème…

OK merci Fran, en fait, c’est tout C… mais j’avais fait un reboot du serveur juste apres avoir mis le script tout comme tu m’as dit oui je sais pas top du tout, mais la raison qu’il y avait un intrus et je voulais le forcer a se “reloguer” pour voir si le script fonctionnait bien (sans remettre en cause tes capacites dont je ne doute pas). Le probleme est que le serveur n’a pas redemarre. Bizarrement, on se sent tout petit dans ce cas la!!!

Ensuite, certains sites etaient down car l’IP etait … down aussi et la je ne pouvais rien faire. grrrrr

Bon je refais ce que tu me dis … mais sans rebooter!!! et te tien au courant

Thanks

Bonjour a tous,

J’ai regarde les logs de intrusion.log, et le fichier est vide, je regarde qui est connecte sur le serveur

lsof -i -P et voila ce que je trouve

bda137.bis.eu.blackberry.com:

C’est qui lui??

[quote=“jplorans”]Bonjour a tous,

J’ai regarde les logs de intrusion.log, et le fichier est vide, je regarde qui est connecte sur le serveur

lsof -i -P et voila ce que je trouve

bda137.bis.eu.blackberry.com:

C’est qui lui??[/quote]
Quelqu’un qui regarde ton site avec un blackberry,

Tu as regardé les logs d’apache sur les périodes où il y a eu de l’activité douteuse (et avant)?

salut Fran,

Tu veux la reponse?? Elle est super simple, ils sont rentres par Roundcube a travers l’interface de direct admin (source de mon hebergeur), le probleme est qu’il n’y a pas d’upgrade pour ca, donc mon hebregeur va me resintaller le serveur, me mettre centos avec une interface Cpanel, que je prefere d’ailleurs.

Je suis degoute d’avoir fait perdre ton temps aisni que le mien pour un resultat comme celui la.

Merci encore.

Bon courage pour ceux qui auront besoin des conseils de Fran

Ça n’est pas une perte de temps au contraire et le tout est très satisfaisant: le pbm est localisé donc pas d’angoisses pour le serveur à venir. Il ne te reste plus qu’à répondre au(x) mail(s) reçu(s) avec des remerciements, demandez à être rayé de la liste infamante des machines compromises. Par contre, le FAI est au courant (et pour cause )