Bonjour,
Sur un serveur debian wheezy, il m'arrive une chose étrange: tripwire me signale une modification des dossiers:
-/usr/sbin
-/etc/default
-/etc/init.d et des fichiers /etc/init.d/.depend.boot, /etc/init.d/.depend.start, /etc/init.d/.depend.stop
-/etc/rc[12345].d
et en effet ces dossiers ont vu leurs horodatages modifiés à une date située entre les deux rapports tripwire qui diffèrent
Je n'ai pas souvenir d'avoir été connecté à mon serveur à cette horaire précis
Je suppose que je dois considérer que mon serveur est compromis, mais avant d'aller plus loin, les détails ci-dessus vous évoquent-ils une attaque particulière ?
merci
# Mise à jour (automatique) ?
Posté par totof2000 . Évalué à 2.
[^] # Re: Mise à jour (automatique) ?
Posté par Anonyme . Évalué à 2.
non, je ne pratique ce rite étrange :)
# j'ai posté trop vite
Posté par Anonyme . Évalué à 3.
en regardant /var/log/ je me suis aperçu que dpkg.log avait été modifié au même horaire, et en regardant ce qu'il y avait dedans, ça ma rafraichit la mémoire: c'était bien moi à cette heure là qui ai installé puis désinstallé un paquet qui explique les modifications rapportées par tripwire
désolé pour le dérangement
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.