J'aurais besoin d'un avis sur un incident.
J'ai un serveur Linux sur lequel sont ouverts certains services (http, smtp,...).
La semaine derniere en soiree, en consultant les logs du serveur(log/messages), je decouvre un contenu inhabituel...
Par exemple, des lignes signalant des erreurs input/output survenues quelques heures plus tot dans la journee, je suis plus etonne qu'inquiet, et qd je veux fermer le fichier avant d'aller en consulter un autre...Mon editeur(vim pour ne pas le citer) me previent que
le fichier est deja ouvert...Premiere fois que ca m'arrive, je ne comprends pas et je force la fermeture.
Ensuite qd je veux faire un "ls" du repertoire /var/log
le repertoire est vide, alors que 5 minutes plustot(avant que j'ouvre le fichier "messages") j'avais la liste.
Je pense alors a un incident materiel
...j'essaie ensuite d'utiliser qqs commandes qui ne fonctionnent plus, j'obtiens meme "bus error" ou error input/output de tps a autre...
A ce moment, je me dis que le disque est en train de rendre l'ame...Apres quelques essais pour recuperer les donnees depuis le reseau, rien ne marche.
Je me decide donc a rebooter, ca plante la premiere fois et ca va reussir au 2eme reboot.
Ensuite tout refonctionne, j'arrive de nouveau a voir les fichiers logs qui sont reapparus par enchantement. Je decide de recuperer les donnees importantes que j'avais pas backupees
depuis qqs temps, et en utilisant WinSCP(un client graphique scp), et pendant le download, mon anti-virus sous windows m'alerte d'une attaque "putty" sur SSH (avec un nom de virus dont j'ai oublie le nom) depuis le reseau.
A ce moment, j'ai un doute et je debranche aussitot le serveur du reseau.
Je verifie aussitot les logs du serveur et toutes les traces d'incident dans le fichier log/messages ont disparues (et uniquement elles) comme s'il n'y avait jamais eu d'incident.
Aucune trace non plus dans les autres fichiers logs.
Plus j'y reflechis, plus je suis persuade qu'il s'agit d'une intrusion, les erreurs input/output auraient ete generees par un buffer overflow qq part, et par le plus grand des hasards, j'ai consulte le fichier de log pendant que l'intrus effacait ses traces, d'ou l'avertissement de vim sur le fichier deja ouvert en ecriture.
J'aurais donc besoin de vos lumieres:
1 - Suis-je parano inutilement?
2 - Dans le cas d'une reelle intrusion, que dois-je faire pour trouver des traces? j'ai lu qq part que les binaires risquaient d'etre corrompus et qu'il fallait monter une partition avec des binaires propres. ca je pense pouvoir le faire, mais pour chercher quoi? et je crois avoir lu aussi qu'utiliser des commandes telle que "find" modifiait les dates de modif des fichiers, bref que si elle etait mal utilisee, on pouvait par megarde effacer les traces recherchees...
Je sais pas trop quoi faire,
quelques conseils avises seraient donc plus que bienvenus...
Merci d'avance pour ceux qui auront pris le temps de me lire et de me fournir qqs pistes.
et voir les dernieres commandes ( peut etre ) taper .
