Présence de fichiers .DS_Store et Thumbs.db : organiser le contrôle d’intégrité sur votre serveur Web avec Afick
Les systèmes Mac OS X et Windows, au travers des fichiers .DS_Store et Thumbs.db, créent des vignettes du contenu de vos dossiers. Autrement dit, la présence de tels fichiers sur un serveur Web Linux indique la réalisation d’un accès distant et/ou un transfert de fichiers. Sur un serveur Linux, où l’accès se fait exclusivement au travers de systèmes Windows, la présence de fichiers .DS_Store peut indiquer que vous avez été victime d’une intrusion réalisée à partir d’un système Mac OS X. Notons que certains thèmes ou plugins utilisés peuvent aussi receler de tels fichiers. Soyez prudents dans votre diagnostic et regardez les dates de ces fichiers.
Effacer les fichiers .DS_Store et Thumbs.db d’un système Linux
find /var/www -name .DS_Store -exec rm -f {} \\;
find /var/www -name Thumbs.db -exec rm -f {} \\;
Afick
Pour détecter tout changement sur votre système de fichiers, vous disposez, sous Linux, du logiciel Afick. Il est de mon point de vue beaucoup plus simple à utiliser que Tripwire. Pour l’installation sous CentOS, tapez : yum install afick.
Vous devez déterminer les répertoires à scanner régulièrement dans le fichier /etc/afick.conf. Vous pouvez aussi gérer des listes d’exclusion.
Vous devez tout d’abord initialiser la base par la commande afick -i. A l’aide de cron (crontab -e), planifiez la mise à jour régulière de la base gérée par le logiciel Afick : afick -u.
Pour l’historique des modifications relatives à un fichier, tapez afick -l /var/www/wp-config.php, par exemple.
NB A chaque changement majeur de votre distribution Linux, de votre site Web ou de votre CMS, pensez à réinitialiser la base de données gérée par Afick (afick -i).
Autres billets sur le sujet :
