Pour savoir s'il y avait une faille dans tes services :
Trouver leurs versions puis regarder sur des sites comme
http://www.securityfocus.com/ (qui parle aussi des failles CS et HL) ou
http://www.frsirt.com/.....
ssh, apache2, samba, psyBNC, spamassassin, mysql, vsftpd, vsftpd.
Ca fait vraiment beaucoup !!!
A tu vraiment besoin de tout ça sur ton serveur ??
Ces services étaient ils acessibles depuis l'exterieur ?? (forward sur
le routeur)
Tu peut aussi aller faire un tour dans /var/log voir s'il y a des traces
: activité des daemons (et logs de tes services) /var/log/wtmp (derniers
logins et logouts - voir commande last -f /var/log/wtmp et lastlog) et
utmp (qui est connectés, commande last -f /var/run/utmp ou who),
/var/log/messages (chargement de modules etc...), /var/log/mail.log....
Si l'attaquant à pris le contrôle de la machine (en dehors de CS), lance
un scan de port avec nmap par exemple (depuis une autre machine de
préférence) pour voir s'il n'y à pas un rootkit (à l'ecoute) installés
sur ta machine (voir aussi les outils comme chkrootkit et rkhunter) -
regarde s'il n'y a pas de modules suspects avec lsmod puis modinfo (mais
il peuvent être cachés), examine la liste des processus avec top et ps
-aux (il y a aussi netsat -alpe pour les ports ouverts, lsof etc....),
verifie que ta carte reseaux ne soit pas en mode PROMISC, regarde le
fichier /etc/hosts, les comptes dans /etc/passwd.....
De toute facon, je te conseille, dans le cas d'une prise de contrôle, de
reinstaller ta machine car ces commandes de verification ou les
librairies dequelles elle dépendent peuvent avoir été falsifiée !
Si un shell à été utilisé, tu peut peut être regarder dans les
/root/.bash_history ou /home/utilisateur/.bash_history (bash est un
exemple voir aussi .sh_history - pour sh - ou .history - pour csh) pour
voir l'historique des commandes qui ont été tapée (si le gars n'a rien
effacé !) - voir aussi la commande history....
Si des fichiers on été suprimés il faut savoir que seul les "inodes"
sont déconnecté... tu peut peut être les retrouver (voir l'undeletion
mini-howto...)
Examine ta partition de swap avec string et grep (cat /dev/partition |
strings | grep chaine), le fichier /proc/kcore ou tu peut trouver
beaucoup d'infos (si tu n'a pas redemarré !)
Les fichier de sauvegarde .*~, .*.swp etc......
Verifier les fichiers recement modifiés grace à find / -ctime 0
Verifier l'integrité du systeme avec systraq, les md5 avec debsums -a
(si tu est sur debian)
Etc, etc, etc.....
Déja avec last -f /var/log/wtmp, find / -ctime 0 et history tu devrais y
voir plus clair et surtout voir si l'attaque est limitée à CS ou non !
/proc/kcore et la swap sont aussi des endroit trés interessants.....
Bonne chance (et dans le pire des cas fait une sauvegarde de ton systeme
(avec dd ou partimage) avant d'aller plus loin pour pouvoir l'examiner
sans l'endommager...)
++
