Un excellent article sur les commandes à connaître pour détecter une intrusion sur un serveur Linux.
Je copie ça rapidement ci-dessous.
# Voir si quelqu'un est connecté à la machine
w
who
# Traces des dernières connexions
last
lastb
# Historique des dernières commandes
history
su user1
history
cat /home/user/.bash_history
# Utilisateurs existants
less /etc/passwd
cat /etc/passwd
cat /etc/passwd | grep /bin/bash
# Processus
ps
ps aux
top
htop
# Connexions ouvertes par processus
lsof -i
lsof -i -p <pid-proc>
# Fichiers ouverts par processus
lsof -l
lsof -p <pid-proc>
# Ports/routes exposées
## liste les ports TCP/UDP exposés avec les services
netstat -lntup
ss -lntup
## liste les routes
netstat -r
## affiche les stats des cartes
netstat -s
ss -s
# Cartes réseaux
ip address
ip a
# Routes
ip route
# Crontab
crontab -l
crontab -u user -l
# Fichiers modifiés récemment
## Les derniers 5 jours
find / -mtime -5 -ctime -5
## La dernière minute
find / -mmin -1
# Les logs
cat /var/log/syslog
cat /var/log/syslog | less
tail -f -n 5 /var/log/syslog
cat /var/log/syslog | grep fail
tail -f /var/log/syslog
# Les clés SSH autorisées
cat /root/.ssh/authorized_keys
cat /home/debian/.ssh/authorized_keys
cat /home/user1/.ssh/authorized_keys
# Le contenu de /tmp
ls /tmp
ls -la /tmp
ls -la /tmp | more
less /tmp
ls -la /tmp | grep xxxQuelques bonnes pratiques pour les formulaires.
Des alternatives aux outils en ligne de commande du monde UNIX, développés en RUST.