J'ai mis mon FreeBSD 6.3 à jour en 6.4, comme je fais d'ordinaire pour
ce genre de choses :
csup et make buildworld/buildkernel/installkernel/installworld.
Tout s'est bien déroulé, mais j'ai eu la surprise le lendemain de
recevoir un daily security un peu alarmant. Les binaires systèmes
sensibles avaient été modifiés : ok. Mais des binaires n'ayant rien à
voir étaient aussi référencés comme ayant été modifiés.
Au nombre des fichiers détectés comme modifiés par rapport au
/var/log/setuid.today de la veille, on trouve par exemple :
Les exécutables de Mailman sur ma partition de backup :
/backup/FILE/usr/local/mailman/cgi-bin/admin
...
Les mêmes dans une backup manuelle faite avant une mise à jour :
/usr/local/mailman.backup/cgi-bin/admin
...
Encore les mêmes, mais les actifs cette fois :
/usr/local/mailman/cgi-bin/admin
...
Ainsi qu'une petite série d'autres fichiers installés via les ports, et
qui n'aurait jamais du être touchés par un make buildworld :
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Eric S.
patpro ~ patrick proniewski [21-12-2008] :
Bonsoir,
J'ai mis mon FreeBSD 6.3 à jour en 6.4, comme je fais d'ordinaire pour ce genre de choses : csup et make buildworld/buildkernel/installkernel/installworld.
Tout s'est bien déroulé, mais j'ai eu la surprise le lendemain de recevoir un daily security un peu alarmant. Les binaires systèmes sensibles avaient été modifiés : ok. Mais des binaires n'ayant rien à voir étaient aussi référencés comme ayant été modifiés. Au nombre des fichiers détectés comme modifiés par rapport au /var/log/setuid.today de la veille, on trouve par exemple :
Les exécutables de Mailman sur ma partition de backup : /backup/FILE/usr/local/mailman/cgi-bin/admin ...
Les mêmes dans une backup manuelle faite avant une mise à jour : /usr/local/mailman.backup/cgi-bin/admin ...
Encore les mêmes, mais les actifs cette fois : /usr/local/mailman/cgi-bin/admin ...
Ainsi qu'une petite série d'autres fichiers installés via les ports, et qui n'aurait jamais du être touchés par un make buildworld :
J'ai une backup sur une autre machine de ces fichiers, j'ai fait un checksum, et les fichiers sont identiques. J'en perds mon latin.
Une idée ?
Bonjour,
N'y aurait-il pas une différence entre le format du fichier setuid.yesterday et celui du fichier setuid.today ?
Il m'est arrivé de lancer "periodic daily" à la main et je me retrouvais avec un format de date différent entre les deux fichiers.
Mes 2 cents.
-- Eric S.
patpro ~ patrick proniewski <patpro@boleskine.patpro.net> [21-12-2008] :
Bonsoir,
J'ai mis mon FreeBSD 6.3 à jour en 6.4, comme je fais d'ordinaire pour
ce genre de choses :
csup et make buildworld/buildkernel/installkernel/installworld.
Tout s'est bien déroulé, mais j'ai eu la surprise le lendemain de
recevoir un daily security un peu alarmant. Les binaires systèmes
sensibles avaient été modifiés : ok. Mais des binaires n'ayant rien à
voir étaient aussi référencés comme ayant été modifiés.
Au nombre des fichiers détectés comme modifiés par rapport au
/var/log/setuid.today de la veille, on trouve par exemple :
Les exécutables de Mailman sur ma partition de backup :
/backup/FILE/usr/local/mailman/cgi-bin/admin
...
Les mêmes dans une backup manuelle faite avant une mise à jour :
/usr/local/mailman.backup/cgi-bin/admin
...
Encore les mêmes, mais les actifs cette fois :
/usr/local/mailman/cgi-bin/admin
...
Ainsi qu'une petite série d'autres fichiers installés via les ports, et
qui n'aurait jamais du être touchés par un make buildworld :
J'ai mis mon FreeBSD 6.3 à jour en 6.4, comme je fais d'ordinaire pour ce genre de choses : csup et make buildworld/buildkernel/installkernel/installworld.
Tout s'est bien déroulé, mais j'ai eu la surprise le lendemain de recevoir un daily security un peu alarmant. Les binaires systèmes sensibles avaient été modifiés : ok. Mais des binaires n'ayant rien à voir étaient aussi référencés comme ayant été modifiés. Au nombre des fichiers détectés comme modifiés par rapport au /var/log/setuid.today de la veille, on trouve par exemple :
Les exécutables de Mailman sur ma partition de backup : /backup/FILE/usr/local/mailman/cgi-bin/admin ...
Les mêmes dans une backup manuelle faite avant une mise à jour : /usr/local/mailman.backup/cgi-bin/admin ...
Encore les mêmes, mais les actifs cette fois : /usr/local/mailman/cgi-bin/admin ...
Ainsi qu'une petite série d'autres fichiers installés via les ports, et qui n'aurait jamais du être touchés par un make buildworld :
J'ai une backup sur une autre machine de ces fichiers, j'ai fait un checksum, et les fichiers sont identiques. J'en perds mon latin.
Une idée ?
Bonjour,
N'y aurait-il pas une différence entre le format du fichier setuid.yesterday et celui du fichier setuid.today ?
Il m'est arrivé de lancer "periodic daily" à la main et je me retrouvais avec un format de date différent entre les deux fichiers.
Mes 2 cents.
-- Eric S.
patpro ~ patrick proniewski
In article , "Eric S." wrote:
N'y aurait-il pas une diffÈrence entre le format du fichier setuid.yesterday et celui du fichier setuid.today ?
j'ai failli passer à coté, mais il semble bien y avoir une différence. J'avais un setuid.today datant de mi-juillet dans une backup, que j'ai comparé avec le setuid.today actuel. J'ai noté que dans les nouveaux setuid.* (6.4) chaque ligne commence par un espace. Ce n'est pas le cas dans ceux que j'ai retrouvés pour la 6.3.
merci !
patpro
-- A vendre : KVM IP 16 ports APC http://patpro.net/blog/index.php/2008/01/12/133
In article <1vmj26-v4f1.ln1@azrael.network.net>,
"Eric S." <freesurf.fr@eric.servant.invalid> wrote:
N'y aurait-il pas une diffÈrence entre le format du fichier
setuid.yesterday et celui du fichier setuid.today ?
j'ai failli passer à coté, mais il semble bien y avoir une différence.
J'avais un setuid.today datant de mi-juillet dans une backup, que j'ai
comparé avec le setuid.today actuel. J'ai noté que dans les nouveaux
setuid.* (6.4) chaque ligne commence par un espace. Ce n'est pas le cas
dans ceux que j'ai retrouvés pour la 6.3.
merci !
patpro
--
A vendre : KVM IP 16 ports APC
http://patpro.net/blog/index.php/2008/01/12/133
N'y aurait-il pas une diffÈrence entre le format du fichier setuid.yesterday et celui du fichier setuid.today ?
j'ai failli passer à coté, mais il semble bien y avoir une différence. J'avais un setuid.today datant de mi-juillet dans une backup, que j'ai comparé avec le setuid.today actuel. J'ai noté que dans les nouveaux setuid.* (6.4) chaque ligne commence par un espace. Ce n'est pas le cas dans ceux que j'ai retrouvés pour la 6.3.
merci !
patpro
-- A vendre : KVM IP 16 ports APC http://patpro.net/blog/index.php/2008/01/12/133
