films sur mon serveur

lock2007 · 27/03/2011, 01h33

Bonjour,
depuis quelques jours, j'ai trouvé des films sur mon serveur ovh.
afin de connaitre d’où viennent ces films j'ai analysé les fichiers logs : ftp, access, ssh, etc.... mais j'ai rien trouvé.
le propriétaire de ces films est www-data (autrement dit : 33 33) donc je crois qu'il y a un script php qui autorise ça.
y-a-t-il un moyen pour identifier qui l'a fait ? avec quel fichier ?

frp31 · 27/03/2011, 12h06

la vraie question est pourquoi tu n'as pas mounté les volumes en lecture seule pour un serveur WEB ou FTP ???

par exemple une fois terminé, /usr et /var/www ainsi que / doivent être monté en lecture seule, et seul le home des utilisateurs authorisé et /opt pour les applications si necessaires peuvent resté libre d'écriture et encore avec pour droit maximal 1700

si tu n'as pas d'infos dan auth et autres fichiers dans /var/log, tu peux mettre en place fail2ban par exemple et iptables pour limiter les accès ....

lock2007 · 27/03/2011, 12h21

Merci pour la réponse,
en fait, il y avait plusieurs personnes qui ont travaillé sur mon serveur et ils ont changé les accès, créé des dossiers, mettre des scripts etc...
d'ailleurs le dossier trouvé est caché (il commence par un point)
j'ai installé récemment fail2ban, logwatch mais j'ai rien trouvé d'important.
Hier soir la personne a supprimé quelques films et a laissé un

Je suis pas un expert en LINUX. j'espère avoir de l'aide
Merci comme même

Marco46 · 29/03/2011, 15h06

Citation:

Envoyé par lock2007

Merci pour la réponse,
en fait, il y avait plusieurs personnes qui ont travaillé sur mon serveur et ils ont changé les accès, créé des dossiers, mettre des scripts etc...

Si c'est réellement ton serveur, c'est à dire s'il est à ton nom, commences déjà par supprimer tous les comptes et les recréer avec des mots de passes dignes de ce nom tout en restreignant l'accès de ces comptes au système. En fait des comptes user standards avec leur propre home chacun.

Normalement tes utilisateurs ne doivent pas pouvoir faire tout ce que tu viens de décrire. Le premier problème est à ce niveau il me semble ...

EDIT : Et change le mot de passe du compte root évidemment.

27/03/2011, 01h33	#1
lock2007 Invité de passage Inscription : octobre 2006 Messages : 3 Détails du profil Informations forums : Inscription : octobre 2006 Messages : 3 Points : 1 Points : 1	films sur mon serveur Bonjour, depuis quelques jours, j'ai trouvé des films sur mon serveur ovh. afin de connaitre d’où viennent ces films j'ai analysé les fichiers logs : ftp, access, ssh, etc.... mais j'ai rien trouvé. le propriétaire de ces films est www-data (autrement dit : 33 33) donc je crois qu'il y a un script php qui autorise ça. y-a-t-il un moyen pour identifier qui l'a fait ? avec quel fichier ?
	10

27/03/2011, 12h06	#2
frp31 Expert Confirmé Sénior francois Ingénieur systèmes et réseaux Inscription : juillet 2006 Messages : 3 534 Détails du profil Informations personnelles : Nom : francois Âge : 35 Localisation : France, Haute Garonne (Midi Pyrénées) Informations professionnelles : Activité : Ingénieur systèmes et réseaux Secteur : Aéronautique - Marine - Espace - Armement Informations forums : Inscription : juillet 2006 Messages : 3 534 Points : 7 743 Points : 7 743	la vraie question est pourquoi tu n'as pas mounté les volumes en lecture seule pour un serveur WEB ou FTP ??? par exemple une fois terminé, /usr et /var/www ainsi que / doivent être monté en lecture seule, et seul le home des utilisateurs authorisé et /opt pour les applications si necessaires peuvent resté libre d'écriture et encore avec pour droit maximal 1700 si tu n'as pas d'infos dan auth et autres fichiers dans /var/log, tu peux mettre en place fail2ban par exemple et iptables pour limiter les accès .... __________________ Communauté OpenBSD francophone Communauté de collectionneur d'ordinateurs antiques
	00

27/03/2011, 12h21	#3
lock2007 Invité de passage Inscription : octobre 2006 Messages : 3 Détails du profil Informations forums : Inscription : octobre 2006 Messages : 3 Points : 1 Points : 1	Merci pour la réponse, en fait, il y avait plusieurs personnes qui ont travaillé sur mon serveur et ils ont changé les accès, créé des dossiers, mettre des scripts etc... d'ailleurs le dossier trouvé est caché (il commence par un point) j'ai installé récemment fail2ban, logwatch mais j'ai rien trouvé d'important. Hier soir la personne a supprimé quelques films et a laissé un Je suis pas un expert en LINUX. j'espère avoir de l'aide Merci comme même
	01

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email