Logs effacés.

Vous venez de déballer votre Raspberry Pi et vous vous posez des questions ? C'est ici que ça se passe !

Modérateur : Francois

Avatar du membre
thierryR
Messages : 49
Enregistré le : dim. 27 déc. 2015 21:45
Localisation : Chalons en Champagne

Logs effacés.

Message par thierryR » jeu. 8 juil. 2021 12:53

Bonjour. Je soupçonne mon raspi d'avoir été visité et de l'être encore.
J'ai voulu examiner mes logs et ils sont effacés de la veille. Ma question:
Y a t-il une fonction automatique d'effacement des logs?

Code : Tout sélectionner

sudo lastb

btmp begins Thu Jul  1 00:00:37 2021
Merci.

piper
Raspinaute
Messages : 645
Enregistré le : sam. 5 juin 2021 18:57

Re: Logs effacés.

Message par piper » jeu. 8 juil. 2021 14:37

Oui, il y a logrotate pour éviter de remplir tout l'espace disque avec des logs .
1ère étape : renommer le fichier (ex : /var/log/btpm devient /var/log/btmp.1)
2ième étape : compression
3ième étape : suppression

Pour info, le mien, qui est utilisé tous les jours présente la même chose.
Mais lastb -f /var/log/btmp.1
me donne bien les dernières connexion (il y a eu rotate de log depuis)
3 Pi4 : Emby / Samba , Librelec, Android TV
3 Pi3 : Hifiberry /OSMC, Games station, Samba / VPN / HotSpot Wifi
2 Pi2 : RFID, radio reveil (PiReveil)
1 Pi0 : traker GPS et acquisitions
1 Pi0 2W : tests divers
5 Arduinos dont 4 nanos et 1 Mega
1 ESP32

Avatar du membre
thierryR
Messages : 49
Enregistré le : dim. 27 déc. 2015 21:45
Localisation : Chalons en Champagne

Re: Logs effacés.

Message par thierryR » jeu. 8 juil. 2021 17:09

Code : Tout sélectionner

 sudo lastb -f /var/log/btmp.1

btmp.1 begins Thu Jul  1 00:00:37 2021
Plus ça va, plus je la sent mal celle là.
Le propre d'un hackeur est d’effacer ces traces.

Code : Tout sélectionner

 ls -l /var/log
total 2384
drwxr-xr-x 2 root        root   4096 juil.  8 06:25 account
-rw-r--r-- 1 root        root      0 juin   1 00:00 alternatives.log
-rw-r--r-- 1 root        root   1593 mai    1 18:21 alternatives.log.1
-rw-r--r-- 1 root        root    201 avril  1 21:37 alternatives.log.2.gz
-rw-r--r-- 1 root        root   1340 mars  22 22:08 alternatives.log.3.gz
drwxr-xr-x 2 root        root   4096 juil.  1 00:00 apt
-rw-r----- 1 root        adm  167843 juil.  8 17:06 auth.log
-rw-r----- 1 root        adm  316191 juil.  3 23:17 auth.log.1
-rw-r----- 1 root        adm   22686 juin  26 23:17 auth.log.2.gz
-rw-r----- 1 root        adm   28328 juin  19 23:17 auth.log.3.gz
-rw-r----- 1 root        adm   19938 juin  12 23:17 auth.log.4.gz
-rw-r--r-- 1 root        root      0 janv. 11 14:08 bootstrap.log
-rw-rw---- 1 root        utmp      0 juil.  1 00:00 btmp
-rw-rw---- 1 root        utmp      0 juin   1 00:00 btmp.1
-rw-r----- 1 root        adm  358148 juil.  8 16:32 daemon.log
-rw-r----- 1 root        adm  324272 juil.  4 00:00 daemon.log.1
-rw-r----- 1 root        adm   22530 juin  27 00:00 daemon.log.2.gz
-rw-r----- 1 root        adm   24497 juin  20 00:00 daemon.log.3.gz
-rw-r----- 1 root        adm   21684 juin  13 00:00 daemon.log.4.gz
-rw-r----- 1 root        adm    3284 juil.  7 22:35 debug
-rw-r----- 1 root        adm    6568 juil.  6 14:40 debug.1
-rw-r----- 1 root        adm     504 mai   17 09:49 debug.2.gz
-rw-r----- 1 root        adm     532 avril  6 18:34 debug.3.gz
-rw-r----- 1 root        adm    1100 avril  1 19:33 debug.4.gz
-rw-r--r-- 1 root        root      0 juil.  1 00:00 dpkg.log
-rw-r--r-- 1 root        root    705 juin   3 22:05 dpkg.log.1
-rw-r--r-- 1 root        root   5278 mai    1 18:22 dpkg.log.2.gz
-rw-r--r-- 1 root        root   1599 avril  1 21:49 dpkg.log.3.gz
-rw-r--r-- 1 root        root  19856 mars  22 22:08 dpkg.log.4.gz
drwxr-s--- 2 Debian-exim adm    4096 juil.  8 02:34 exim4
-rw-r----- 1 root        adm   13829 juil.  7 22:35 fail2ban.log
-rw-r----- 1 root        adm     107 juin  27 00:00 fail2ban.log.1
-rw-r----- 1 root        adm     106 juin  20 00:00 fail2ban.log.2.gz
-rw-r----- 1 root        adm     106 juin  13 00:00 fail2ban.log.3.gz
-rw-r----- 1 root        adm     105 juin   6 00:00 fail2ban.log.4.gz
-rw-r--r-- 1 root        root  24048 mars  29 19:41 faillog
-rw-r----- 1 root        root   8932 avril  6 18:34 firewalld
-rw-r--r-- 1 root        root   1236 mars  22 22:04 fontconfig.log
-rw-r----- 1 root        adm  210136 juil.  8 06:25 kern.log
-rw-r----- 1 root        adm    1246 juil.  3 06:25 kern.log.1
-rw-r----- 1 root        adm     187 juin  26 06:25 kern.log.2.gz
-rw-r----- 1 root        adm     186 juin  19 06:25 kern.log.3.gz
-rw-r----- 1 root        adm     185 juin  12 06:25 kern.log.4.gz
-rw-rw-r-- 1 root        utmp 292584 juil.  8 12:46 lastlog
-rw-r----- 1 root        adm  202114 juil.  8 06:25 messages
-rw-r----- 1 root        adm    2510 juil.  4 00:00 messages.1
-rw-r----- 1 root        adm     316 juin  27 00:00 messages.2.gz
-rw-r----- 1 root        adm     312 juin  20 00:00 messages.3.gz
-rw-r----- 1 root        adm     312 juin  13 00:00 messages.4.gz
drwx------ 2 root        root   4096 janv. 11 14:09 private
-rw-r----- 1 root        adm   54139 juil.  8 16:32 syslog
-rw-r----- 1 root        adm  158416 juil.  8 02:34 syslog.1
-rw-r----- 1 root        adm   55049 juil.  7 00:01 syslog.2.gz
-rw-r----- 1 root        adm    3960 juil.  6 00:00 syslog.3.gz
-rw-r----- 1 root        adm    4025 juil.  5 00:00 syslog.4.gz
-rw-r----- 1 root        adm    3990 juil.  4 00:00 syslog.5.gz
-rw-r----- 1 root        adm    4043 juil.  3 00:00 syslog.6.gz
-rw-r----- 1 root        adm    4506 juil.  2 00:00 syslog.7.gz
-rw-r----- 1 root        adm     840 juil.  7 22:35 user.log
-rw-r----- 1 root        adm    1680 juil.  6 14:40 user.log.1
-rw-r----- 1 root        adm     168 mai   17 09:49 user.log.2.gz
-rw-r----- 1 root        adm     198 avril  6 18:34 user.log.3.gz
-rw-r----- 1 root        adm     334 avril  1 19:33 user.log.4.gz
-rw-rw-r-- 1 root        utmp 152448 juil.  8 12:46 wtmp
-rw-r----- 1 root        adm     101 juil.  1 06:52 wtmp.report

dyox
Raspinaute
Messages : 969
Enregistré le : dim. 28 déc. 2014 15:28
Localisation : Le long de la côte, au dessus du pays des bigoudennes, aïe

Re: Logs effacés.

Message par dyox » jeu. 8 juil. 2021 18:26

Bonjour,

La commande "last" est plus explicite, non ? Et en plus elle se lance sans root.

Si il y a vraiment un "hackeur", il devrait être visible dans auth.log

Avatar du membre
thierryR
Messages : 49
Enregistré le : dim. 27 déc. 2015 21:45
Localisation : Chalons en Champagne

Re: Logs effacés.

Message par thierryR » jeu. 8 juil. 2021 19:13

Auth_log est intéressant en effet. Il y a une tâche cron qui a été exécuté, mais je ne vois rien en crontab.

Code : Tout sélectionner

Jul  7 19:17:01 raspi-sauvegarde CRON[1813]: pam_unix(cron:session): session opened for user root by (uid=0)
Jul  7 19:17:01 raspi-sauvegarde CRON[1813]: pam_unix(cron:session): session closed for user root
Jul  7 20:17:01 raspi-sauvegarde CRON[1847]: pam_unix(cron:session): session opened for user root by (uid=0)
Jul  7 20:17:01 raspi-sauvegarde CRON[1847]: pam_unix(cron:session): session closed for user root
Jul  7 21:17:01 raspi-sauvegarde CRON[1929]: pam_unix(cron:session): session opened for user root by (uid=0)
Jul  7 21:17:01 raspi-sauvegarde CRON[1929]: pam_unix(cron:session): session closed for user root
Jul  7 22:00:02 raspi-sauvegarde sshd[1955]: Connection closed by 185.228.229.35 port 31658 [preauth]
Jul  7 22:01:01 raspi-sauvegarde sshd[1960]: Connection closed by 185.228.229.35 port 31654 [preauth]
Jul  7 22:02:02 raspi-sauvegarde sshd[1962]: Connection closed by 185.228.229.35 port 31654 [preauth]
Jul  7 22:03:01 raspi-sauvegarde sshd[1964]: Connection closed by 185.228.229.35 port 31654 [preauth]
Jul  7 22:04:02 raspi-sauvegarde sshd[1966]: Connection closed by 185.228.229.35 port 31658 [preauth]
Jul  7 22:05:01 raspi-sauvegarde sshd[1968]: Connection closed by 185.228.229.35 port 31657 [preauth]
Jul  7 22:06:02 raspi-sauvegarde sshd[1972]: Connection closed by 185.228.229.35 port 31658 [preauth]
Jul  7 22:07:01 raspi-sauvegarde sshd[1974]: Connection closed by 185.228.229.35 port 31654 [preauth]
Jul  7 22:08:02 raspi-sauvegarde sshd[1976]: Connection closed by 185.228.229.35 port 31658 [preauth]
Jul  7 22:09:01 raspi-sauvegarde sshd[1978]: Connection closed by 185.228.229.35 port 31654 [preauth]
Jul  7 22:10:02 raspi-sauvegarde sshd[1980]: Connection closed by 185.228.229.35 port 31656 [preauth]
Jul  7 22:11:01 raspi-sauvegarde sshd[1984]: Connection closed by 185.228.229.35 port 31654 [preauth]
Jul  7 22:12:02 raspi-sauvegarde sshd[1986]: Connection closed by 185.228.229.35 port 31656 [preauth]
Jul  7 22:13:01 raspi-sauvegarde sshd[1988]: Connection closed by 185.228.229.35 port 31656 [preauth]
Jul  7 22:14:02 raspi-sauvegarde sshd[1990]: Connection closed by 185.228.229.35 port 31658 [preauth]
Jul  7 22:15:01 raspi-sauvegarde sshd[1992]: Connection closed by 185.228.229.35 port 31654 [preauth]
Jul  7 22:16:02 raspi-sauvegarde sshd[1996]: Connection closed by 185.228.229.35 port 31656 [preauth]
Jul  7 22:17:01 raspi-sauvegarde CRON[2000]: pam_unix(cron:session): session opened for user root by (uid=0)
Jul  7 22:17:01 raspi-sauvegarde CRON[2000]: pam_unix(cron:session): session closed for user root
Jul  7 22:17:01 raspi-sauvegarde sshd[1998]: Connection closed by 185.228.229.35 port 31657 [preauth]
Jul  7 22:18:02 raspi-sauvegarde sshd[2008]: Connection closed by 185.228.229.35 port 31658 [preauth]
Jul  7 22:19:01 raspi-sauvegarde sshd[2010]: Connection closed by 185.228.229.35 port 31656 [preauth]
Jul  7 22:20:02 raspi-sauvegarde sshd[2012]: Connection closed by 185.228.229.35 port 31656 [preauth]
Jul  7 22:21:01 raspi-sauvegarde sshd[2016]: Connection closed by 185.228.229.35 port 31655 [preauth]
Jul  7 22:22:02 raspi-sauvegarde sshd[2018]: Connection closed by 185.228.229.35 port 31655 [preauth]
Jul  7 22:23:01 raspi-sauvegarde sshd[2021]: Connection closed by 185.228.229.35 port 34209 [preauth]
Jul  7 22:24:02 raspi-sauvegarde sshd[2023]: Connection closed by 185.228.229.35 port 31656 [preauth]
Jul  7 22:25:01 raspi-sauvegarde sshd[2025]: Connection closed by 185.228.229.35 port 34207 [preauth]
Jul  7 22:26:02 raspi-sauvegarde sshd[2029]: Connection closed by 185.228.229.35 port 31654 [preauth]
Jul  7 22:27:01 raspi-sauvegarde sshd[2031]: Connection closed by 185.228.229.35 port 31656 [preauth]
Jul  7 22:28:02 raspi-sauvegarde sshd[2034]: Connection closed by 185.228.229.35 port 31658 [preauth]
Jul  7 22:29:01 raspi-sauvegarde sshd[2036]: Connection closed by 185.228.229.35 port 31654 [preauth]
Jul  7 22:30:02 raspi-sauvegarde sshd[2038]: Connection closed by 185.228.229.35 port 31654 [preauth]
Jul  7 22:31:01 raspi-sauvegarde sshd[2042]: Connection closed by 185.228.229.35 port 31654 [preauth]
Jul  7 22:32:02 raspi-sauvegarde sshd[2044]: Connection closed by 185.228.229.35 port 31654 [preauth]
Jul  7 22:33:01 raspi-sauvegarde sshd[2047]: Connection closed by 185.228.229.35 port 31658 [preauth]
Jul  7 22:34:02 raspi-sauvegarde sshd[2049]: Connection closed by 185.228.229.35 port 31658 [preauth]
Jul  7 22:35:01 raspi-sauvegarde sshd[2051]: Connection closed by 185.228.229.35 port 34207 [preauth]
Jul  7 22:36:02 raspi-sauvegarde sshd[2054]: Connection closed by 185.228.229.35 port 34205 [preauth]
Jul  7 22:37:01 raspi-sauvegarde sshd[2056]: Connection closed by 185.228.229.35 port 31656 [preauth]
Jul  7 22:38:02 raspi-sauvegarde sshd[2059]: Connection closed by 185.228.229.35 port 31656 [preauth]
Jul  7 22:39:01 raspi-sauvegarde sshd[2061]: Connection closed by 185.228.229.35 port 31654 [preauth]
Jul  7 22:40:02 raspi-sauvegarde sshd[2063]: Connection closed by 185.228.229.35 port 31658 [preauth]
Jul  7 22:41:02 raspi-sauvegarde sshd[2066]: Connection closed by 185.228.229.35 port 34204 [preauth]
Jul  7 22:42:01 raspi-sauvegarde sshd[2068]: Connection closed by 185.228.229.35 port 31654 [preauth]
Jul  7 22:43:02 raspi-sauvegarde sshd[2071]: Connection closed by 185.228.229.35 port 31654 [preauth]
Jul  7 22:44:01 raspi-sauvegarde sshd[2073]: Connection closed by 185.228.229.35 port 31656 [preauth]
Jul  7 22:45:02 raspi-sauvegarde sshd[2075]: Connection closed by 185.228.229.35 port 31656 [preauth]
Jul  7 22:46:01 raspi-sauvegarde sshd[2078]: Connection closed by 185.228.229.35 port 31658 [preauth]
Jul  7 22:47:01 raspi-sauvegarde sshd[2081]: Connection closed by 185.228.229.35 port 34204 [preauth]
Jul  7 22:48:01 raspi-sauvegarde sshd[2084]: Connection closed by 185.228.229.35 port 31656 [preauth]
Jul  7 22:49:01 raspi-sauvegarde sshd[2086]: Connection closed by 185.228.229.35 port 31656 [preauth]
Jul  7 22:50:03 raspi-sauvegarde sshd[2088]: Connection closed by 185.228.229.35 port 31654 [preauth]
Jul  7 22:51:01 raspi-sauvegarde sshd[2091]: Connection closed by 185.228.229.35 port 31654 [preauth]
Jul  7 22:52:01 raspi-sauvegarde sshd[2093]: Connection closed by 185.228.229.35 port 31656 [preauth]
Jul  7 22:53:01 raspi-sauvegarde sshd[2096]: Connection closed by 185.228.229.35 port 34204 [preauth]
Jul  7 22:54:02 raspi-sauvegarde sshd[2098]: Connection closed by 185.228.229.35 port 31654 [preauth]
Jul  7 22:55:01 raspi-sauvegarde sshd[2100]: Connection closed by 185.228.229.35 port 31654 [preauth]
Jul  7 22:56:02 raspi-sauvegarde sshd[2103]: Connection closed by 185.228.229.35 port 31658 [preauth]
Jul  7 22:57:01 raspi-sauvegarde sshd[2105]: Connection closed by 185.228.229.35 port 31658 [preauth]
Jul  7 22:58:02 raspi-sauvegarde sshd[2109]: Connection closed by 185.228.229.35 port 31656 [preauth]
Jul  7 22:59:01 raspi-sauvegarde sshd[2111]: Connection closed by 185.228.229.35 port 23487 [preauth]
Jul  7 22:35:54 raspi-sauvegarde systemd-logind[334]: New seat seat0.
Jul  7 22:35:57 raspi-sauvegarde sshd[519]: Server listening on 0.0.0.0 port 22.
Jul  7 22:35:57 raspi-sauvegarde sshd[519]: Server listening on :: port 22.

Avatar du membre
_Jean-Marc_
Messages : 24
Enregistré le : ven. 11 juin 2021 22:23

Re: Logs effacés.

Message par _Jean-Marc_ » jeu. 8 juil. 2021 22:02

Bonjour,

Code : Tout sélectionner

sudo less /etc/crontab
Chez moi, j'ai des tâches système, dont une qui s'exécute à la minute 17, entre autres.

C'est compliqué de s'y retrouver dans les cron (il y a en a... beaucoup), tu as une page qui explique ça ici.

Il y a une perte de suite temporelle dans ton auth_log (et un drop dans la numérotation des PID), à la fin. Un reboot ?

Avatar du membre
thierryR
Messages : 49
Enregistré le : dim. 27 déc. 2015 21:45
Localisation : Chalons en Champagne

Re: Logs effacés.

Message par thierryR » dim. 11 juil. 2021 16:20

La fin de la journée s'arrête là. C'est bizarre.
Dans le auth.log d'aujourd'hui, je me vois un peu plus rassuré.

Code : Tout sélectionner

Jul 11 03:17:01 raspi-sauvegarde CRON[994]: pam_unix(cron:session): session opened for user root by (uid=0)
Jul 11 03:17:01 raspi-sauvegarde CRON[994]: pam_unix(cron:session): session closed for user root
Jul 11 04:17:01 raspi-sauvegarde CRON[1029]: pam_unix(cron:session): session opened for user root by (uid=0)
Jul 11 04:17:01 raspi-sauvegarde CRON[1029]: pam_unix(cron:session): session closed for user root
Jul 11 05:17:01 raspi-sauvegarde CRON[1063]: pam_unix(cron:session): session opened for user root by (uid=0)
Jul 11 05:17:01 raspi-sauvegarde CRON[1063]: pam_unix(cron:session): session closed for user root
Jul 11 06:17:01 raspi-sauvegarde CRON[1149]: pam_unix(cron:session): session opened for user root by (uid=0)
Jul 11 06:17:01 raspi-sauvegarde CRON[1149]: pam_unix(cron:session): session closed for user root
Jul 11 06:25:01 raspi-sauvegarde CRON[1161]: pam_unix(cron:session): session opened for user root by (uid=0)
Jul 11 06:25:03 raspi-sauvegarde CRON[1161]: pam_unix(cron:session): session closed for user root
Jul 11 06:47:01 raspi-sauvegarde CRON[1313]: pam_unix(cron:session): session opened for user root by (uid=0)
Jul 11 06:47:01 raspi-sauvegarde CRON[1313]: pam_unix(cron:session): session closed for user root
Jul 11 07:01:56 raspi-sauvegarde sshd[1371]: Accepted publickey for isabelle from 91.167.74.212 port 33390 ssh2: RSA SHA256:HKT6MdcPEUv2v4dcImZBxWz+UKrLhEVnAocHpFj2qeE
Jul 11 07:01:56 raspi-sauvegarde sshd[1371]: pam_unix(sshd:session): session opened for user isabelle by (uid=0)
Jul 11 07:01:56 raspi-sauvegarde systemd-logind[309]: New session 7 of user isabelle.
Jul 11 07:01:56 raspi-sauvegarde systemd: pam_unix(systemd-user:session): session opened for user isabelle by (uid=0)
Jul 11 07:17:01 raspi-sauvegarde CRON[1398]: pam_unix(cron:session): session opened for user root by (uid=0)
Jul 11 07:17:01 raspi-sauvegarde CRON[1398]: pam_unix(cron:session): session closed for user root
Jul 11 08:17:01 raspi-sauvegarde CRON[1432]: pam_unix(cron:session): session opened for user root by (uid=0)
Jul 11 08:17:01 raspi-sauvegarde CRON[1432]: pam_unix(cron:session): session closed for user root
Jul 11 09:17:01 raspi-sauvegarde CRON[1467]: pam_unix(cron:session): session opened for user root by (uid=0)
Jul 11 09:17:01 raspi-sauvegarde CRON[1467]: pam_unix(cron:session): session closed for user root
Jul 11 09:59:11 raspi-sauvegarde sshd[1390]: Timeout, client not responding from user isabelle 91.167.74.212 port 33390
Jul 11 09:59:11 raspi-sauvegarde sshd[1371]: pam_unix(sshd:session): session closed for user isabelle
Jul 11 09:59:11 raspi-sauvegarde systemd-logind[309]: Session 7 logged out. Waiting for processes to exit.
Jul 11 09:59:11 raspi-sauvegarde systemd-logind[309]: Removed session 7.
Jul 11 09:59:21 raspi-sauvegarde systemd: pam_unix(systemd-user:session): session closed for user isabelle
Jul 11 09:59:53 raspi-sauvegarde sshd[1495]: Accepted publickey for isabelle from 91.167.74.212 port 40529 ssh2: RSA SHA256:HKT6MdcPEUv2v4dcImZBxWz+UKrLhEVnAocHpFj2qeE
Jul 11 09:59:53 raspi-sauvegarde sshd[1495]: pam_unix(sshd:session): session opened for user isabelle by (uid=0)
Jul 11 09:59:53 raspi-sauvegarde systemd-logind[309]: New session 12 of user isabelle.
Jul 11 09:59:53 raspi-sauvegarde systemd: pam_unix(systemd-user:session): session opened for user isabelle by (uid=0)
Jul 11 10:17:01 raspi-sauvegarde CRON[1524]: pam_unix(cron:session): session opened for user root by (uid=0)
Jul 11 10:17:01 raspi-sauvegarde CRON[1524]: pam_unix(cron:session): session closed for user root
Jul 11 11:17:01 raspi-sauvegarde CRON[1558]: pam_unix(cron:session): session opened for user root by (uid=0)
Jul 11 11:17:01 raspi-sauvegarde CRON[1558]: pam_unix(cron:session): session closed for user root
Jul 11 12:17:01 raspi-sauvegarde CRON[1592]: pam_unix(cron:session): session opened for user root by (uid=0)
Jul 11 12:17:01 raspi-sauvegarde CRON[1592]: pam_unix(cron:session): session closed for user root
Jul 11 13:17:01 raspi-sauvegarde CRON[1628]: pam_unix(cron:session): session opened for user root by (uid=0)
Jul 11 13:17:01 raspi-sauvegarde CRON[1628]: pam_unix(cron:session): session closed for user root
Jul 11 14:17:01 raspi-sauvegarde CRON[1665]: pam_unix(cron:session): session opened for user root by (uid=0)
Jul 11 14:17:01 raspi-sauvegarde CRON[1665]: pam_unix(cron:session): session closed for user root
Jul 11 15:17:01 raspi-sauvegarde CRON[1700]: pam_unix(cron:session): session opened for user root by (uid=0)
Jul 11 15:17:01 raspi-sauvegarde CRON[1700]: pam_unix(cron:session): session closed for user root
Je ne vois plus les tentatives par un robot. Soit il a abdiqué, soit il est entré. Difficile à définir.
La commande last est bizarre aussi.

Code : Tout sélectionner

last
thierry  pts/0        91.167.74.212    Sun Jul 11 16:15   still logged in
reboot   system boot  5.10.17-v7+      Thu Jan  1 01:00   still running
reboot   system boot  5.10.17-v7+      Thu Jan  1 01:00   still running
thierry  pts/0        91.167.74.212    Thu Jul  8 19:02 - 19:45  (00:42)
thierry  pts/0        91.167.74.212    Thu Jul  8 12:46 - 17:19  (04:32)
thierry  pts/0        91.167.74.212    Thu Jul  8 12:14 - 12:43  (00:28)
thierry  pts/0        91.167.74.212    Thu Jul  8 12:05 - 12:12  (00:07)
thierry  pts/0        91.167.74.212    Thu Jul  8 11:52 - 12:01  (00:09)
thierry  pts/0        91.167.74.212    Thu Jul  8 11:48 - 11:51  (00:02)
thierry  pts/0        91.167.74.212    Thu Jul  8 11:24 - 11:27  (00:03)
thierry  pts/0        91.167.74.212    Thu Jul  8 11:23 - 11:23  (00:00)
reboot   system boot  5.10.17-v7+      Thu Jan  1 01:00   still running
reboot   system boot  5.10.17-v7+      Thu Jan  1 01:00   still running
reboot   system boot  5.10.17-v7+      Thu Jan  1 01:00   still running
reboot   system boot  5.10.17-v7+      Thu Jan  1 01:00   still running
reboot   system boot  5.10.17-v7+      Thu Jan  1 01:00   still running
reboot   system boot  5.10.17-v7+      Thu Jan  1 01:00   still running
thierry  pts/0        185.228.231.126  Wed Jun 30 19:48 - 19:50  (00:02)
thierry  pts/0        185.228.229.71   Thu Jun  3 22:04 - 23:14  (01:09)
reboot   system boot  5.10.17-v7+      Thu Jan  1 01:00   still running
Les reboot sont datés de janvier comme si la date était réinitialisée.

dyox
Raspinaute
Messages : 969
Enregistré le : dim. 28 déc. 2014 15:28
Localisation : Le long de la côte, au dessus du pays des bigoudennes, aïe

Re: Logs effacés.

Message par dyox » dim. 11 juil. 2021 17:42

Les reboot sont datés de janvier comme si la date était réinitialisée.
De mon côté, c'est pareil. Comme il n'y a pas de pile pour la sauvegarde de l'heure, c'est normal.

Avez-vous sécurisé votre sshd_config ? (virer le root, changer de port par défaut, allouer des users, n'autoriser qu'une sorte de clé et aucun mdp...)
Apparemment et de nos jours, seules les clés ed25519 sont sûres.
D'ailleurs j'espère que vous avez viré "pi" comme utilisateur. (je vois thierry et isa)

Pensez à faire un sed pour remplacer toutes les @ip qui traînent dans les logs ; on ne sait jamais :ugeek:

Il y a une chose que je ne comprends pas : les connexions d'isabelle de ce matin aurait dû apparaître dans le last.
Et thierry apparaître dans auth.log, à moins que le copier-coller a été fait 1h avant.

Avatar du membre
thierryR
Messages : 49
Enregistré le : dim. 27 déc. 2015 21:45
Localisation : Chalons en Champagne

Re: Logs effacés.

Message par thierryR » dim. 11 juil. 2021 20:49

Oui j'ai essayé de me parer de ce genre d'attaque.
J'ai sécurisé le sshd_config ? (virer le root, allouer 2 users en liste blanche, n'autoriser qu'une sorte de clé et aucun mdp...)
Malgré ça je me pose des questions sur les manques dans les logs.
Je vais peut être tout réinstaller et voir l'attitude du robot... Je pense que ce serait ça le plus sage.

dyox
Raspinaute
Messages : 969
Enregistré le : dim. 28 déc. 2014 15:28
Localisation : Le long de la côte, au dessus du pays des bigoudennes, aïe

Re: Logs effacés.

Message par dyox » dim. 11 juil. 2021 21:15

Au fait, ssh est protégé par iptables ?

Peut-être redirigé les logs dans un autre chemin/fichier pour masquer ?

Et il reste la technique du knock-knock pour ouvrir le port ssh

Répondre

Retourner vers « Débutants »