[HS] Fichier /bin/gzip qui change sans cesse (ouverture de l'enquete)

Le
Romaric DEFAUX
Salut à tous,


AIDE m'a remonté que ce matin a partir de 7h00 la somme MD5 de
l'exécutable gzip sur un des serveurs changeait en permanence :

File: /bin/gzip
MD5 : lyhcltnQrQ8ywl7Bz/kLvw== , z/l5IV9aH2GiFf8PQyQH0=
g==

File: /bin/gzip

MD5 : 87UaX+aTIbykxMzZJugFoA== , hpOZj30moVb7W2IznLCgn=
g==
File: /bin/gzip
MD5 : QmxBWKDa+bcToRhbDlFwLA== , 4gjNhBD4+Tmy8C4p6Zj1T=
w==

J'ai vérifié à la mano et ça s'avérait exact :
# md5sum /bin/gzip
6aec07042ce11be9c4f07a21f71772e1 /bin/gzip
# md5sum /bin/gzip
6aec07042ce11be9c4f07a21f71772e1 /bin/gzip
# md5sum /bin/gzip
68d4d97a9c3663fbffae9dc91e60c63b /bin/gzip
# md5sum /bin/gzip
2b3b7ea888dc26c3bfffe0fcdbf3d7e8 /bin/gzip
# md5sum /bin/gzip
ad17cf5e14ff1f27fb143871003d5f72 /bin/gzip
# md5sum /bin/gzip
d5a4537541dbc3db8151146f563c9511 /bin/gzip
# md5sum /bin/gzip
1eeb0c956419d5dae3c77c1b6fc6f021 /bin/gzip

J'ai donc voulu le désinstallé pour le résinstallé. Mais apparemm=
ent il n'était pas dans la liste de mes paquets installés car l'autoc=
ompletion ne me proposait pas de le désinstaller :
#apt-get remove g
g++ g++-4.2 gamin gcc gcc-4.2 gcc=
-4.2-base gettext-base gnupg gpgv gsfonts

Pensant qu'il pouvait faire partie d'un autre paquet que "gzip", j'ai ten=
té un apt-file qui m'a retourné ceci :
# apt-file search gzip
/bin/zgrep: line 218: 4748 Segmentation fault gzip -cdfq -- "$i" 5>=
&-
/bin/zgrep: line 218: 4756 Segmentation fault gzip -cdfq -- "$i" 5>=
&-
/bin/zgrep: line 218: 4762 Segmentation fault gzip -cdfq -- "$i" 5>=
&-
/bin/zgrep: line 218: 4769 Segmentation fault gzip -cdfq -- "$i" 5>=
&-

Je tente donc de le réinstallé directement :
# apt-get install gzip
Reading package lists Done
Building dependency tree
Reading state information Done
gzip is already the newest version.

Il est déjà là :S

Je tape donc la commande entiere pour le supprimer :
# apt-get remove gzip
[]
This should NOT be done unless you know exactly what you are doing!
gzip
0 upgraded, 0 newly installed, 2 to remove and 5 not upgraded.
After this operation, 348kB disk space will be freed.
You are about to do something potentially harmful.
To continue type in the phrase 'Yes, do as I say!'
?] Yes, do as I say!
(Reading database 25486 files and directories currently installed.)
Removing ubuntu-minimal
dpkg - warning, overriding problem because --force enabled:
This is an essential package - it should not be removed.
Removing gzip
La il veut bien :)

Puis je le réinstalle (presque) sans problème, et depuis sa somme ne =
change plus.


Avez-vous une idée d'où ça peut venir ?

PS : Info utile, c'est un serveur virtuel xen
Dom0 : Ubuntu 8.04.2
DomU : Ubuntu 8.04.2 <- c'est sur celui là que ça changeait

Romaric






--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Guillaume Caron
Le #19083871
--=-akgidK+0kXrsDDna2jHq
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: 8bit

Hello,

Personnellement, je pencherais vers une corruption du disque ou du
filesystem, qui résulte en une lecture aléatoire des fichiers sur les
blocs corrompus et donc une somme différente à chaque fois. Ça se tient
si tu considère que la réinstallation a placé le binaire à un autre
endroit sur le disque, non-corrompu cette fois.

Je te conseille de faire un fsck de ton disque système, et un badblocks
si besoin est.

Cordialement,
--
Guillaume Caron


Le jeudi 09 avril 2009 à 09:29 +0200, Romaric DEFAUX a écrit :

Salut à tous,


AIDE m'a remonté que ce matin a partir de 7h00 la somme MD5 de
l'exécutable gzip sur un des serveurs changeait en permanence :

File: /bin/gzip
MD5 : lyhcltnQrQ8ywl7Bz/kLvw== , z/l5IV9aH2GiFf8PQyQH0g= >
File: /bin/gzip

MD5 : 87UaX+aTIbykxMzZJugFoA== , hpOZj30moVb7W2IznLCgng= > File: /bin/gzip
MD5 : QmxBWKDa+bcToRhbDlFwLA== , 4gjNhBD4+Tmy8C4p6Zj1Tw= >
J'ai vérifié à la mano et ça s'avérait exact :
# md5sum /bin/gzip
6aec07042ce11be9c4f07a21f71772e1 /bin/gzip
# md5sum /bin/gzip
6aec07042ce11be9c4f07a21f71772e1 /bin/gzip
# md5sum /bin/gzip
68d4d97a9c3663fbffae9dc91e60c63b /bin/gzip
# md5sum /bin/gzip
2b3b7ea888dc26c3bfffe0fcdbf3d7e8 /bin/gzip
# md5sum /bin/gzip
ad17cf5e14ff1f27fb143871003d5f72 /bin/gzip
# md5sum /bin/gzip
d5a4537541dbc3db8151146f563c9511 /bin/gzip
# md5sum /bin/gzip
1eeb0c956419d5dae3c77c1b6fc6f021 /bin/gzip

J'ai donc voulu le désinstallé pour le résinstallé. Mais apparemment il n'était pas dans la liste de mes paquets installés car l'autocompletion ne me proposait pas de le désinstaller :
#apt-get remove g
g++ g++-4.2 gamin gcc gcc-4.2 gcc-4.2-base gettext-base gnupg gpgv gsfonts

Pensant qu'il pouvait faire partie d'un autre paquet que "gzip", j'ai tenté un apt-file qui m'a retourné ceci :
# apt-file search gzip
/bin/zgrep: line 218: 4748 Segmentation fault gzip -cdfq -- "$i" 5>&-
/bin/zgrep: line 218: 4756 Segmentation fault gzip -cdfq -- "$i" 5>&-
/bin/zgrep: line 218: 4762 Segmentation fault gzip -cdfq -- "$i" 5>&-
/bin/zgrep: line 218: 4769 Segmentation fault gzip -cdfq -- "$i" 5>&-

Je tente donc de le réinstallé directement :
# apt-get install gzip
Reading package lists... Done
Building dependency tree
Reading state information... Done
gzip is already the newest version.

Il est déjà là :S

Je tape donc la commande entiere pour le supprimer :
# apt-get remove gzip
[...]
This should NOT be done unless you know exactly what you are doing!
gzip
0 upgraded, 0 newly installed, 2 to remove and 5 not upgraded.
After this operation, 348kB disk space will be freed.
You are about to do something potentially harmful.
To continue type in the phrase 'Yes, do as I say!'
?] Yes, do as I say!
(Reading database ... 25486 files and directories currently installed.)
Removing ubuntu-minimal ...
dpkg - warning, overriding problem because --force enabled:
This is an essential package - it should not be removed.
Removing gzip ...
La il veut bien :)

Puis je le réinstalle (presque) sans problème, et depuis sa somme ne change plus.


Avez-vous une idée d'où ça peut venir ?

PS : Info utile, c'est un serveur virtuel xen
Dom0 : Ubuntu 8.04.2
DomU : Ubuntu 8.04.2 <- c'est sur celui là que ça changeait

Romaric









--=-akgidK+0kXrsDDna2jHq
Content-Type: text/html; charset="utf-8"
Content-Transfer-Encoding: 7bit

<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; CHARSET=UTF-8">
</HEAD>
<BODY>
Hello,<BR>
<BR>
Personnellement, je pencherais vers une corruption du disque ou du filesystem, qui r&#233;sulte en une lecture al&#233;atoire des fichiers sur les blocs corrompus et donc une somme diff&#233;rente &#224; chaque fois. &#199;a se tient si tu consid&#232;re que la r&#233;installation a plac&#233; le binaire &#224; un autre endroit sur le disque, non-corrompu cette fois.<BR>
<BR>
Je te conseille de faire un fsck de ton disque syst&#232;me, et un badblocks si besoin est.<BR>
<BR>
Cordialement,<BR>
<TABLE CELLSPACING="0" CELLPADDING="0" WIDTH="100%">
<TR>
<TD>
--<BR>
Guillaume Caron
</TD>
</TR>
</TABLE>
<BR>
<BR>
Le jeudi 09 avril 2009 &#224; 09:29 +0200, Romaric DEFAUX a &#233;crit&nbsp;:
<BLOCKQUOTE TYPE=CITE>
<PRE>
Salut &#224; tous,


AIDE m'a remont&#233; que ce matin a partir de 7h00 la somme MD5 de
l'ex&#233;cutable gzip sur un des serveurs changeait en permanence :

File: /bin/gzip
MD5 : lyhcltnQrQ8ywl7Bz/kLvw== , z/l5IV9aH2GiFf8PQyQH0g=
File: /bin/gzip

MD5 : 87UaX+aTIbykxMzZJugFoA== , hpOZj30moVb7W2IznLCgng= File: /bin/gzip
MD5 : QmxBWKDa+bcToRhbDlFwLA== , 4gjNhBD4+Tmy8C4p6Zj1Tw=
J'ai v&#233;rifi&#233; &#224; la mano et &#231;a s'av&#233;rait exact :
# md5sum /bin/gzip
6aec07042ce11be9c4f07a21f71772e1 /bin/gzip
# md5sum /bin/gzip
6aec07042ce11be9c4f07a21f71772e1 /bin/gzip
# md5sum /bin/gzip
68d4d97a9c3663fbffae9dc91e60c63b /bin/gzip
# md5sum /bin/gzip
2b3b7ea888dc26c3bfffe0fcdbf3d7e8 /bin/gzip
# md5sum /bin/gzip
ad17cf5e14ff1f27fb143871003d5f72 /bin/gzip
# md5sum /bin/gzip
d5a4537541dbc3db8151146f563c9511 /bin/gzip
# md5sum /bin/gzip
1eeb0c956419d5dae3c77c1b6fc6f021 /bin/gzip

J'ai donc voulu le d&#233;sinstall&#233; pour le r&#233;sinstall&#233;. Mais apparemment il n'&#233;tait pas dans la liste de mes paquets install&#233;s car l'autocompletion ne me proposait pas de le d&#233;sinstaller :
#apt-get remove g
g++ g++-4.2 gamin gcc gcc-4.2 gcc-4.2-base gettext-base gnupg gpgv gsfonts

Pensant qu'il pouvait faire partie d'un autre paquet que &quot;gzip&quot;, j'ai tent&#233; un apt-file qui m'a retourn&#233; ceci :
# apt-file search gzip
/bin/zgrep: line 218: 4748 Segmentation fault gzip -cdfq -- &quot;$i&quot; 5&gt;&amp;-
/bin/zgrep: line 218: 4756 Segmentation fault gzip -cdfq -- &quot;$i&quot; 5&gt;&amp;-
/bin/zgrep: line 218: 4762 Segmentation fault gzip -cdfq -- &quot;$i&quot; 5&gt;&amp;-
/bin/zgrep: line 218: 4769 Segmentation fault gzip -cdfq -- &quot;$i&quot; 5&gt;&amp;-

Je tente donc de le r&#233;install&#233; directement :
# apt-get install gzip
Reading package lists... Done
Building dependency tree
Reading state information... Done
gzip is already the newest version.

Il est d&#233;j&#224; l&#224; :S

Je tape donc la commande entiere pour le supprimer :
# apt-get remove gzip
[...]
This should NOT be done unless you know exactly what you are doing!
gzip
0 upgraded, 0 newly installed, 2 to remove and 5 not upgraded.
After this operation, 348kB disk space will be freed.
You are about to do something potentially harmful.
To continue type in the phrase 'Yes, do as I say!'
?] Yes, do as I say!
(Reading database ... 25486 files and directories currently installed.)
Removing ubuntu-minimal ...
dpkg - warning, overriding problem because --force enabled:
This is an essential package - it should not be removed.
Removing gzip ...
La il veut bien :)

Puis je le r&#233;installe (presque) sans probl&#232;me, et depuis sa somme ne change plus.


Avez-vous une id&#233;e d'o&#249; &#231;a peut venir ?

PS : Info utile, c'est un serveur virtuel xen
Dom0 : Ubuntu 8.04.2
DomU : Ubuntu 8.04.2 &lt;- c'est sur celui l&#224; que &#231;a changeait

Romaric






</PRE>
</BLOCKQUOTE>
</BODY>
</HTML>

--=-akgidK+0kXrsDDna2jHq--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
BRAKOS
Le #19087801
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Guillaume Caron a écrit :
Hello,

Personnellement, je pencherais vers une corruption du disque ou du
filesystem, qui résulte en une lecture aléatoire des fichiers sur les
blocs corrompus et donc une somme différente à chaque fois. Ça se tient
si tu considère que la réinstallation a placé le binaire à un autre
endroit sur le disque, non-corrompu cette fois.

Je te conseille de faire un fsck de ton disque système, et un badblocks
si besoin est.

Cordialement,
--
Guillaume Caron


Le jeudi 09 avril 2009 à 09:29 +0200, Romaric DEFAUX a écrit :

Salut à tous,


AIDE m'a remonté que ce matin a partir de 7h00 la somme MD5 de
l'exécutable gzip sur un des serveurs changeait en permanence :

File: /bin/gzip
MD5 : lyhcltnQrQ8ywl7Bz/kLvw== , z/l5IV9aH2GiFf8PQyQH0g= >>
File: /bin/gzip

MD5 : 87UaX+aTIbykxMzZJugFoA== , hpOZj30moVb7W2IznLCgng= >> File: /bin/gzip
MD5 : QmxBWKDa+bcToRhbDlFwLA== , 4gjNhBD4+Tmy8C4p6Zj1Tw= >>
J'ai vérifié à la mano et ça s'avérait exact :
# md5sum /bin/gzip
6aec07042ce11be9c4f07a21f71772e1 /bin/gzip
# md5sum /bin/gzip
6aec07042ce11be9c4f07a21f71772e1 /bin/gzip
# md5sum /bin/gzip
68d4d97a9c3663fbffae9dc91e60c63b /bin/gzip
# md5sum /bin/gzip
2b3b7ea888dc26c3bfffe0fcdbf3d7e8 /bin/gzip
# md5sum /bin/gzip
ad17cf5e14ff1f27fb143871003d5f72 /bin/gzip
# md5sum /bin/gzip
d5a4537541dbc3db8151146f563c9511 /bin/gzip
# md5sum /bin/gzip
1eeb0c956419d5dae3c77c1b6fc6f021 /bin/gzip

J'ai donc voulu le désinstallé pour le résinstallé. Mais




apparemment il n'était pas dans la liste de mes paquets installés car
l'autocompletion ne me proposait pas de le désinstaller :
#apt-get remove g
g++ g++-4.2 gamin gcc gcc-4.2




gcc-4.2-base gettext-base gnupg gpgv gsfonts

Pensant qu'il pouvait faire partie d'un autre paquet que "gzip", j'ai




tenté un apt-file qui m'a retourné ceci :
# apt-file search gzip
/bin/zgrep: line 218: 4748 Segmentation fault gzip -cdfq -- "$i"




5>&-
/bin/zgrep: line 218: 4756 Segmentation fault gzip -cdfq -- "$i"




5>&-
/bin/zgrep: line 218: 4762 Segmentation fault gzip -cdfq -- "$i"




5>&-
/bin/zgrep: line 218: 4769 Segmentation fault gzip -cdfq -- "$i"




5>&-

Je tente donc de le réinstallé directement :
# apt-get install gzip
Reading package lists... Done
Building dependency tree
Reading state information... Done
gzip is already the newest version.

Il est déjà là :S

Je tape donc la commande entiere pour le supprimer :
# apt-get remove gzip
[...]
This should NOT be done unless you know exactly what you are doing!
gzip
0 upgraded, 0 newly installed, 2 to remove and 5 not upgraded.
After this operation, 348kB disk space will be freed.
You are about to do something potentially harmful.
To continue type in the phrase 'Yes, do as I say!'
?] Yes, do as I say!
(Reading database ... 25486 files and directories currently installed.)
Removing ubuntu-minimal ...
dpkg - warning, overriding problem because --force enabled:
This is an essential package - it should not be removed.
Removing gzip ...
La il veut bien :)

Puis je le réinstalle (presque) sans problème, et depuis sa somme ne




change plus.


Avez-vous une idée d'où ça peut venir ?

PS : Info utile, c'est un serveur virtuel xen
Dom0 : Ubuntu 8.04.2
DomU : Ubuntu 8.04.2 <- c'est sur celui là que ça changeait

Romaric










Bonjour,

Je rebondi sur votre message, mais en posant une autre question qui
n'a rien à voir avec le sujet de celui-ci.
J'aimerai bien utilisé AIDE, que j'ai d'ailleurs installé.
Je sais que c'est une application servant à vérifier l'intégrité du
filesystem en cas d'intrusion, j'ai aussi jeté un coup d'oeil sur le
fichier de configuration, lancé la création de sa base via la commande:
<code>
...# aideinit
...
</code>

Celle-ci s'est bien créé, mais je voudrai allé plus loin dans la
configuration de celui-ci, en l'occurence le fichier:
<file|[:/etc/aide]$>
...$ ls
aide.conf aide.conf.d
</file>

Si quelqu'un aurait une petit explication à me fournir, un lien
intéressant car malgrés mes recherches, je n'en ait pas trouvé une qui
soit compréhensible à mon petit cerveau ;-) (peut-être ai-je mal
cherché!)

Amicalement,

- --
Kad

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iEYEARECAAYFAkneKB4ACgkQf/Ob6jO9EY9NCwCdE6+LDpX7HewrDd52XiYTCwrr
SUAAni/RdTJ/BWmXjZGb9EEa/Hj1lCvE
=rJYN
-----END PGP SIGNATURE-----

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
François Cerbelle
Le #19088451
BRAKOS a écrit :
[...]
Bonjour,
Je rebondi sur votre message, mais en posant une autre question qui
n'a rien à voir avec le sujet de celui-ci.



Salut,

Tu as de la chance de pouvoir encore rebondir, car tu as quand même cité
,sans le tronquer, un message de plusieurs pages, en y répondant.

En plus, tu changes de sujet. Pourrais tu plutot ouvrir une nouvelle
discussion en écrivant un message à la liste et surtout pas en répondant
à un message arbitraire.

Merci pour la liste
Bonne soirée
Fanfan

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Publicité
Poster une réponse
Anonyme