[FreeBSD] étrangetés suite make buildworld

Le
patpro ~ patrick proniewski
Bonsoir,

J'ai mis mon FreeBSD 6.3 à jour en 6.4, comme je fais d'ordinaire pour
ce genre de choses :
csup et make buildworld/buildkernel/installkernel/installworld.

Tout s'est bien déroulé, mais j'ai eu la surprise le lendemain de
recevoir un daily security un peu alarmant. Les binaires systèmes
sensibles avaient été modifiés : ok. Mais des binaires n'ayant rien à
voir étaient aussi référencés comme ayant été modifiés.
Au nombre des fichiers détectés comme modifiés par rapport au
/var/log/setuid.today de la veille, on trouve par exemple :

Les exécutables de Mailman sur ma partition de backup :
/backup/FILE/usr/local/mailman/cgi-bin/admin


Les mêmes dans une backup manuelle faite avant une mise à jour :
/usr/local/mailman.backup/cgi-bin/admin


Encore les mêmes, mais les actifs cette fois :
/usr/local/mailman/cgi-bin/admin


Ainsi qu'une petite série d'autres fichiers installés via les ports, et
qui n'aurait jamais du être touchés par un make buildworld :

/usr/local/bin/lockfile
/usr/local/bin/procmail
/usr/local/bin/screen
/usr/local/bin/speedy_suidperl
/usr/local/bin/sudo
/usr/local/bin/sudoedit

J'ai une backup sur une autre machine de ces fichiers, j'ai fait un
checksum, et les fichiers sont identiques. J'en perds mon latin.

Une idée ?

patpro

--
A vendre : KVM IP 16 ports APC
http://patpro.net/blog/index.php/2008/01/12/133
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Eric S.
Le #18233291
patpro ~ patrick proniewski
Bonsoir,

J'ai mis mon FreeBSD 6.3 à jour en 6.4, comme je fais d'ordinaire pour
ce genre de choses :
csup et make buildworld/buildkernel/installkernel/installworld.

Tout s'est bien déroulé, mais j'ai eu la surprise le lendemain de
recevoir un daily security un peu alarmant. Les binaires systèmes
sensibles avaient été modifiés : ok. Mais des binaires n'ayant rien à
voir étaient aussi référencés comme ayant été modifiés.
Au nombre des fichiers détectés comme modifiés par rapport au
/var/log/setuid.today de la veille, on trouve par exemple :

Les exécutables de Mailman sur ma partition de backup :
/backup/FILE/usr/local/mailman/cgi-bin/admin
...

Les mêmes dans une backup manuelle faite avant une mise à jour :
/usr/local/mailman.backup/cgi-bin/admin
...

Encore les mêmes, mais les actifs cette fois :
/usr/local/mailman/cgi-bin/admin
...

Ainsi qu'une petite série d'autres fichiers installés via les ports, et
qui n'aurait jamais du être touchés par un make buildworld :

/usr/local/bin/lockfile
/usr/local/bin/procmail
/usr/local/bin/screen
/usr/local/bin/speedy_suidperl
/usr/local/bin/sudo
/usr/local/bin/sudoedit

J'ai une backup sur une autre machine de ces fichiers, j'ai fait un
checksum, et les fichiers sont identiques. J'en perds mon latin.

Une idée ?



Bonjour,

N'y aurait-il pas une différence entre le format du fichier
setuid.yesterday et celui du fichier setuid.today ?

Il m'est arrivé de lancer "periodic daily" à la main et je me retrouvais
avec un format de date différent entre les deux fichiers.

Mes 2 cents.

--
Eric S.
patpro ~ patrick proniewski
Le #18233891
In article "Eric S."
N'y aurait-il pas une diffÈrence entre le format du fichier
setuid.yesterday et celui du fichier setuid.today ?



j'ai failli passer à coté, mais il semble bien y avoir une différence.
J'avais un setuid.today datant de mi-juillet dans une backup, que j'ai
comparé avec le setuid.today actuel. J'ai noté que dans les nouveaux
setuid.* (6.4) chaque ligne commence par un espace. Ce n'est pas le cas
dans ceux que j'ai retrouvés pour la 6.3.

merci !

patpro

--
A vendre : KVM IP 16 ports APC
http://patpro.net/blog/index.php/2008/01/12/133
Erwan David
Le #18235761
"Eric S."
User-Agent: slrn/0.9.9p1 (FreeBSD)
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO8859-15



Tiens d'habitude c'est Knode qui nous fout des charsets invalides...

Ici il faudrait mettre ISO-8859-15

--
Le travail n'est pas une bonne chose. Si ça l'était,
les riches l'auraient accaparé
Publicité
Poster une réponse
Anonyme