Archlinux.fr [Forums]

Bonjour,

Récemment une machine ArchLinux d'un client de mon entreprise a été attaquée. J'ai pu repérer les IPs qui ont réussi à se connecter en SSH. Seulement le 25 et 26 mars j'ai constaté de fort débit montant (de l'ordre de 600 à 800 Mbits/s).

De ce fait je me demandais si il était possible de récupérer des logs réseau pour voir ce qui c'est passé à ce moment sur le trafic réseau ?

Merci

Bonjour,
Les logs réseau ? A moins d'avoir configuré quelque chose de spécifique, non il n'y a rien...
Tu as juste normalement les logs de connexions pour ssh. Si la personne qui s'est connecté est mauvais il y a l'historique des commande bash dans l'historique de bash, mais il a surement juste fait du sftp...

Si des choses ont été téléchargées via un serveur Web tu as les généralement un log des requêtes HTTP mais comme tu parles de ssh, je ne pense pas que cela te soit utile...

Merci de ta réponse rapide !

C'est bien ce que je pensais, il n'y pas de logs du flux réseau de base.

Pour les logs de connexion j'ai pu y accéder et ainsi voir quelles IPs se sont connectées.

Le sujet est donc clos !