Ce n'est pas à proprement parler une question Debian, mais c'est sous
une Debian Etch que ça m'arrive, et il y a certainement des admin réseau
sur la liste...
Ce midi, au boot la machine va chercher son adresse ip sur le routeur.
Ok, c'est fait. J'ouvre une session x, lance icewiesel... Le site choisi
comme page par défaut ne s'affiche pas. Je tente une requête http sur le
routeur. idem. Le routeur m'est donc inaccessible...
J'ai consulté ma messagerie (voir ci-dessous) et puis évidemment
reconfiguré mon interface réseau pour dans un premier temps me connecter
à mon routeur : rien d'anormal.
Je joins, expugés au maximum, les rapports de mes divers "surveillants".
Vous y verrez sans doute des choses que je n'ai pas vu. Malgré tous mes
efforts sur les sites en anglais, je ne parviens pas à me représenter
les procédures à suivre pour palier les failles dénoncées par chkrootkit
et rkhunter. Il ne s'agit pas ici d'un logiciel récalcitrant, mais
peut-être de l'avenir à cout terme de mon réseau familial (4 machines)
et de nos données personnelles et professionnelles, en clair j'ai besoin
d'aide.
Cordialement,
Christophe.
Arpwatch :
hostname: platon.local
ip address: 169.254.214.233
interface: eth0
ethernet address: 0:4f:4e:14:fe:f8
ethernet vendor: <unknown>
timestamp: Monday, November 17, 2008 12:11:26 +0100
Ce qui diffère du message envoyé après son installation
hostname: platon.excathedra.lan
ip address: 192.168.1.103
interface: eth0
ethernet address: 0:4f:4e:14:fe:f8
ethernet vendor: <unknown>
timestamp: Thursday, November 13, 2008 19:01:51 +0100
Logwatch :
################### Logwatch 7.3.1 (09/15/06) ####################
Processing Initiated: Mon Nov 17 12:15:58 2008
Date Range Processed: yesterday
( 2008-Nov-16 )
Period is day.
Detail Level of Output: 5
Type of Output: unformatted
Logfiles for Host: platon
##################################################################
--------------------- Cron Begin ------------------------
[...]
---------------------- Cron End -------------------------
--------------------- dpkg status changes Begin ------------------------
---------------------- pam_unix End -------------------------
--------------------- postfix Begin ------------------------
[...]
---------------------- postfix End -------------------------
--------------------- samba Begin ------------------------
[...]
---------------------- samba End -------------------------
--------------------- SSHD Begin ------------------------
SSHD Killed: 1 Time(s)
SSHD Started: 1 Time(s)
Failed logins from:
24.182.161.69: 8 times
bin/password: 1 time
daemon/password: 1 time
games/password: 1 time
lp/password: 1 time
mail/password: 1 time
news/password: 1 time
sync/password: 1 time
uucp/password: 1 time
79.170.216.8: 1 time
root/password: 1 time
88.191.94.148: 2 times
root/password: 2 times
89.163.250.121: 2 times
root/password: 2 times
122.200.102.6: 1 time
root/password: 1 time
Illegal users from:
24.182.161.69: 5 times
adm/password: 1 time
guest/password: 1 time
halt/password: 1 time
operator/password: 1 time
shutdown/password: 1 time
79.99.248.4: 1 time
guest/password: 1 time
88.191.94.148: 4 times
oracle/password: 1 time
pgsql/password: 1 time
postgres/password: 1 time
test/password: 1 time
89.163.250.121: 2 times
mzarza/password: 1 time
trukulo/password: 1 time
217.79.190.28: 6 times
ts/password: 2 times
friedrich/password: 1 time
nagios/password: 1 time
oracle/password: 1 time
teamspeak/password: 1 time
---------------------- SSHD End -------------------------
--------------------- Disk Space Begin ------------------------
[...]
---------------------- Disk Space End -------------------------
###################### Logwatch End #########################
chkrootkit :
/etc/cron.daily/chkrootkit:
The following suspicious files and directories were found:
/usr/lib/iceweasel/.autoreg
/usr/lib/xulrunner/.autoreg
/usr/lib/epiphany/2.14/extensions/.pyversion
/lib/init/rw/.ramfs
COMMENTAIRE : ces fichiers sont vides sauf .pyversion (2.4).
/usr/lib/security
/usr/lib/security/classpath.security
INFECTED (PORTS: 1524 6667 31337)
eth0: PACKET SNIFFER(/usr/sbin/snort[2973], /usr/sbin/arpwatch[3105])
/etc/cron.daily/mixmaster:
/usr/bin/mixmaster-update: Get failed for http://www.noreply.org/echolot/rlist2.txt (500 Can't connect to www.noreply.org:80 (Bad hostname 'www.noreply.org'))
Exiting eval via next at /usr/bin/mixmaster-update line 384.
/usr/bin/mixmaster-update: Get failed for http://www.noreply.org/echolot/mlist2.txt (500 Can't connect to www.noreply.org:80 (Bad hostname 'www.noreply.org'))
Exiting eval via next at /usr/bin/mixmaster-update line 384.
/usr/bin/mixmaster-update: Get failed for http://www.noreply.org/echolot/pubring.mix (500 Can't connect to www.noreply.org:80 (Bad hostname 'www.noreply.org'))
Exiting eval via next at /usr/bin/mixmaster-update line 384.
/usr/bin/mixmaster-update: Get failed for http://www.noreply.org/echolot/rlist.txt (500 Can't connect to www.noreply.org:80 (Bad hostname 'www.noreply.org'))
Exiting eval via next at /usr/bin/mixmaster-update line 384.
/usr/bin/mixmaster-update: Get failed for http://www.noreply.org/echolot/mlist.txt (500 Can't connect to www.noreply.org:80 (Bad hostname 'www.noreply.org'))
Exiting eval via next at /usr/bin/mixmaster-update line 384.
/usr/bin/mixmaster-update: Get failed for http://www.noreply.org/echolot/pgp-all.asc (500 Can't connect to www.noreply.org:80 (Bad hostname 'www.noreply.org'))
Exiting eval via next at /usr/bin/mixmaster-update line 384.
Downloading of mlist and/or mixring failed (do you need a proxy?). Aborting.
run-parts: /etc/cron.daily/mixmaster exited with return code 22
If you're unsure about the results above, please contact the
Rootkit Hunter team through the Rootkit Hunter mailinglist
at rkhunter-users@lists.sourceforge.net.
Some errors has been found while checking. Please perform a manual check on this machine (platon)
--
Prends donc un coquillage pour parler au noyau.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
David Prévot
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Christophe VINCHON a écrit :
Bonjour,
Bonjour,
Ce midi, au boot la machine va chercher son adresse ip sur le routeur. Ok, c'est fait. J'ouvre une session x, lance icewiesel... Le site choisi comme page par défaut ne s'affiche pas. Je tente une requête http sur le routeur. idem. Le routeur m'est donc inaccessible...
Que c'est-il passé ?
Arpwatch :
hostname: platon.local ip address: 169.254.214.233
Ha ben voilà : un petit tour via la RFC 3330 devrait t'apprendre qu'il s'agit d'une adresse attribuée par défaut, donc que l'attribution d'adresse via DHCP a échoué probablement.
Amicalement
David
Request for Comments: 3330 September 2002 [...] 2. Global and Other Specialized Address Blocks
[...]
169.254.0.0/16 - This is the "link local" block. It is allocated for communication between hosts on a single link. Hosts obtain these addresses by auto-configuration, such as when a DHCP server may not be found.
Et en français, un lien utile : http://www.bortzmeyer.org/3330.html
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Christophe VINCHON a écrit :
Bonjour,
Bonjour,
Ce midi, au boot la machine va chercher son adresse ip sur le routeur.
Ok, c'est fait. J'ouvre une session x, lance icewiesel... Le site choisi
comme page par défaut ne s'affiche pas. Je tente une requête http sur le
routeur. idem. Le routeur m'est donc inaccessible...
Que c'est-il passé ?
Arpwatch :
hostname: platon.local
ip address: 169.254.214.233
Ha ben voilà : un petit tour via la RFC 3330 devrait t'apprendre qu'il
s'agit d'une adresse attribuée par défaut, donc que l'attribution
d'adresse via DHCP a échoué probablement.
Amicalement
David
Request for Comments: 3330 September 2002
[...]
2. Global and Other Specialized Address Blocks
[...]
169.254.0.0/16 - This is the "link local" block. It is allocated for
communication between hosts on a single link. Hosts obtain these
addresses by auto-configuration, such as when a DHCP server may not
be found.
Et en français, un lien utile : http://www.bortzmeyer.org/3330.html
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Ce midi, au boot la machine va chercher son adresse ip sur le routeur. Ok, c'est fait. J'ouvre une session x, lance icewiesel... Le site choisi comme page par défaut ne s'affiche pas. Je tente une requête http sur le routeur. idem. Le routeur m'est donc inaccessible...
Que c'est-il passé ?
Arpwatch :
hostname: platon.local ip address: 169.254.214.233
Ha ben voilà : un petit tour via la RFC 3330 devrait t'apprendre qu'il s'agit d'une adresse attribuée par défaut, donc que l'attribution d'adresse via DHCP a échoué probablement.
Amicalement
David
Request for Comments: 3330 September 2002 [...] 2. Global and Other Specialized Address Blocks
[...]
169.254.0.0/16 - This is the "link local" block. It is allocated for communication between hosts on a single link. Hosts obtain these addresses by auto-configuration, such as when a DHCP server may not be found.
Et en français, un lien utile : http://www.bortzmeyer.org/3330.html
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Eddy Touati
Bonjour,
Pas de gros problème sauf que ton dhcp est en rade. c'est pour cela que ton ordinateur ne peut pas aller sur internet.
Arpwatch :
hostname: platon.local ip address: 169.254.214.233 interface: eth0
Regarde sur ton routeur pour redémarrer le protocol dhcp, et tout devrait bien se passer.
Pour vérifier sur ta machine tu peux aussi taper la commande ifconfig eth0 la deuxième ligne chez toi doit ressembler à ça :
Ce n'est pas à proprement parler une question Debian, mais c'est sous une Debian Etch que ça m'arrive, et il y a certainement des admin réseau sur la liste...
Ce midi, au boot la machine va chercher son adresse ip sur le routeur. Ok, c'est fait. J'ouvre une session x, lance icewiesel... Le site choisi comme page par défaut ne s'affiche pas. Je tente une requête http sur le routeur. idem. Le routeur m'est donc inaccessible...
J'ai consulté ma messagerie (voir ci-dessous) et puis évidemment reconfiguré mon interface réseau pour dans un premier temps me connecter à mon routeur : rien d'anormal.
Je joins, expugés au maximum, les rapports de mes divers "surveillants". Vous y verrez sans doute des choses que je n'ai pas vu. Malgré tous mes efforts sur les sites en anglais, je ne parviens pas à me représenter les procédures à suivre pour palier les failles dénoncées par chkrootkit et rkhunter. Il ne s'agit pas ici d'un logiciel récalcitrant, mais peut-être de l'avenir à cout terme de mon réseau familial (4 machines) et de nos données personnelles et professionnelles, en clair j'ai besoin d'aide.
Cordialement, Christophe.
Arpwatch :
hostname: platon.local ip address: 169.254.214.233 interface: eth0 ethernet address: 0:4f:4e:14:fe:f8 ethernet vendor: <unknown> timestamp: Monday, November 17, 2008 12:11:26 +0100
Ce qui diffère du message envoyé après son installation
hostname: platon.excathedra.lan ip address: 192.168.1.103 interface: eth0 ethernet address: 0:4f:4e:14:fe:f8 ethernet vendor: <unknown> timestamp: Thursday, November 13, 2008 19:01:51 +0100
Logwatch :
################### Logwatch 7.3.1 (09/15/06) #################### Processing Initiated: Mon Nov 17 12:15:58 2008 Date Range Processed: yesterday ( 2008-Nov-16 ) Period is day. Detail Level of Output: 5 Type of Output: unformatted Logfiles for Host: platon ##################################################################
--------------------- Cron Begin ------------------------
[...]
---------------------- Cron End -------------------------
--------------------- dpkg status changes Begin ------------------------
---------------------- pam_unix End -------------------------
--------------------- postfix Begin ------------------------
[...]
---------------------- postfix End -------------------------
--------------------- samba Begin ------------------------
[...]
---------------------- samba End -------------------------
--------------------- SSHD Begin ------------------------
SSHD Killed: 1 Time(s)
SSHD Started: 1 Time(s)
Failed logins from: 24.182.161.69: 8 times bin/password: 1 time daemon/password: 1 time games/password: 1 time lp/password: 1 time mail/password: 1 time news/password: 1 time sync/password: 1 time uucp/password: 1 time 79.170.216.8: 1 time root/password: 1 time 88.191.94.148: 2 times root/password: 2 times 89.163.250.121: 2 times root/password: 2 times 122.200.102.6: 1 time root/password: 1 time
Illegal users from: 24.182.161.69: 5 times adm/password: 1 time guest/password: 1 time halt/password: 1 time operator/password: 1 time shutdown/password: 1 time 79.99.248.4: 1 time guest/password: 1 time 88.191.94.148: 4 times oracle/password: 1 time pgsql/password: 1 time postgres/password: 1 time test/password: 1 time 89.163.250.121: 2 times mzarza/password: 1 time trukulo/password: 1 time 217.79.190.28: 6 times ts/password: 2 times friedrich/password: 1 time nagios/password: 1 time oracle/password: 1 time teamspeak/password: 1 time
---------------------- SSHD End -------------------------
--------------------- Disk Space Begin ------------------------
[...]
---------------------- Disk Space End -------------------------
###################### Logwatch End #########################
chkrootkit :
/etc/cron.daily/chkrootkit: The following suspicious files and directories were found: /usr/lib/iceweasel/.autoreg /usr/lib/xulrunner/.autoreg /usr/lib/epiphany/2.14/extensions/.pyversion /lib/init/rw/.ramfs
COMMENTAIRE : ces fichiers sont vides sauf .pyversion (2.4).
/usr/lib/security /usr/lib/security/classpath.security INFECTED (PORTS: 1524 6667 31337) eth0: PACKET SNIFFER(/usr/sbin/snort[2973], /usr/sbin/arpwatch[3105]) /etc/cron.daily/mixmaster: /usr/bin/mixmaster-update: Get failed for http://www.noreply.org/echolot/rlist2.txt (500 Can't connect to www.noreply.org:80 (Bad hostname 'www.noreply.org')) Exiting eval via next at /usr/bin/mixmaster-update line 384. /usr/bin/mixmaster-update: Get failed for http://www.noreply.org/echolot/mlist2.txt (500 Can't connect to www.noreply.org:80 (Bad hostname 'www.noreply.org')) Exiting eval via next at /usr/bin/mixmaster-update line 384. /usr/bin/mixmaster-update: Get failed for http://www.noreply.org/echolot/pubring.mix (500 Can't connect to www.noreply.org:80 (Bad hostname 'www.noreply.org')) Exiting eval via next at /usr/bin/mixmaster-update line 384. /usr/bin/mixmaster-update: Get failed for http://www.noreply.org/echolot/rlist.txt (500 Can't connect to www.noreply.org:80 (Bad hostname 'www.noreply.org')) Exiting eval via next at /usr/bin/mixmaster-update line 384. /usr/bin/mixmaster-update: Get failed for http://www.noreply.org/echolot/mlist.txt (500 Can't connect to www.noreply.org:80 (Bad hostname 'www.noreply.org')) Exiting eval via next at /usr/bin/mixmaster-update line 384. /usr/bin/mixmaster-update: Get failed for http://www.noreply.org/echolot/pgp-all.asc (500 Can't connect to www.noreply.org:80 (Bad hostname 'www.noreply.org')) Exiting eval via next at /usr/bin/mixmaster-update line 384. Downloading of mlist and/or mixring failed (do you need a proxy?). Aborting. run-parts: /etc/cron.daily/mixmaster exited with return code 22
If you're unsure about the results above, please contact the Rootkit Hunter team through the Rootkit Hunter mailinglist at Some errors has been found while checking. Please perform a manual check on this machine (platon)
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Bonjour,
Pas de gros problème sauf que ton dhcp est en rade. c'est pour cela que
ton ordinateur ne peut pas aller sur internet.
Arpwatch :
hostname: platon.local
ip address: 169.254.214.233
interface: eth0
Regarde sur ton routeur pour redémarrer le protocol dhcp, et tout
devrait bien se passer.
Pour vérifier sur ta machine tu peux aussi taper la commande ifconfig eth0
la deuxième ligne chez toi doit ressembler à ça :
Ce n'est pas à proprement parler une question Debian, mais c'est sous
une Debian Etch que ça m'arrive, et il y a certainement des admin réseau
sur la liste...
Ce midi, au boot la machine va chercher son adresse ip sur le routeur.
Ok, c'est fait. J'ouvre une session x, lance icewiesel... Le site choisi
comme page par défaut ne s'affiche pas. Je tente une requête http sur le
routeur. idem. Le routeur m'est donc inaccessible...
J'ai consulté ma messagerie (voir ci-dessous) et puis évidemment
reconfiguré mon interface réseau pour dans un premier temps me connecter
à mon routeur : rien d'anormal.
Je joins, expugés au maximum, les rapports de mes divers "surveillants".
Vous y verrez sans doute des choses que je n'ai pas vu. Malgré tous mes
efforts sur les sites en anglais, je ne parviens pas à me représenter
les procédures à suivre pour palier les failles dénoncées par chkrootkit
et rkhunter. Il ne s'agit pas ici d'un logiciel récalcitrant, mais
peut-être de l'avenir à cout terme de mon réseau familial (4 machines)
et de nos données personnelles et professionnelles, en clair j'ai besoin
d'aide.
Cordialement,
Christophe.
Arpwatch :
hostname: platon.local
ip address: 169.254.214.233
interface: eth0
ethernet address: 0:4f:4e:14:fe:f8
ethernet vendor: <unknown>
timestamp: Monday, November 17, 2008 12:11:26 +0100
Ce qui diffère du message envoyé après son installation
hostname: platon.excathedra.lan
ip address: 192.168.1.103
interface: eth0
ethernet address: 0:4f:4e:14:fe:f8
ethernet vendor: <unknown>
timestamp: Thursday, November 13, 2008 19:01:51 +0100
Logwatch :
################### Logwatch 7.3.1 (09/15/06) ####################
Processing Initiated: Mon Nov 17 12:15:58 2008
Date Range Processed: yesterday
( 2008-Nov-16 )
Period is day.
Detail Level of Output: 5
Type of Output: unformatted
Logfiles for Host: platon
##################################################################
--------------------- Cron Begin ------------------------
[...]
---------------------- Cron End -------------------------
--------------------- dpkg status changes Begin ------------------------
---------------------- pam_unix End -------------------------
--------------------- postfix Begin ------------------------
[...]
---------------------- postfix End -------------------------
--------------------- samba Begin ------------------------
[...]
---------------------- samba End -------------------------
--------------------- SSHD Begin ------------------------
SSHD Killed: 1 Time(s)
SSHD Started: 1 Time(s)
Failed logins from:
24.182.161.69: 8 times
bin/password: 1 time
daemon/password: 1 time
games/password: 1 time
lp/password: 1 time
mail/password: 1 time
news/password: 1 time
sync/password: 1 time
uucp/password: 1 time
79.170.216.8: 1 time
root/password: 1 time
88.191.94.148: 2 times
root/password: 2 times
89.163.250.121: 2 times
root/password: 2 times
122.200.102.6: 1 time
root/password: 1 time
Illegal users from:
24.182.161.69: 5 times
adm/password: 1 time
guest/password: 1 time
halt/password: 1 time
operator/password: 1 time
shutdown/password: 1 time
79.99.248.4: 1 time
guest/password: 1 time
88.191.94.148: 4 times
oracle/password: 1 time
pgsql/password: 1 time
postgres/password: 1 time
test/password: 1 time
89.163.250.121: 2 times
mzarza/password: 1 time
trukulo/password: 1 time
217.79.190.28: 6 times
ts/password: 2 times
friedrich/password: 1 time
nagios/password: 1 time
oracle/password: 1 time
teamspeak/password: 1 time
---------------------- SSHD End -------------------------
--------------------- Disk Space Begin ------------------------
[...]
---------------------- Disk Space End -------------------------
###################### Logwatch End #########################
chkrootkit :
/etc/cron.daily/chkrootkit:
The following suspicious files and directories were found:
/usr/lib/iceweasel/.autoreg
/usr/lib/xulrunner/.autoreg
/usr/lib/epiphany/2.14/extensions/.pyversion
/lib/init/rw/.ramfs
COMMENTAIRE : ces fichiers sont vides sauf .pyversion (2.4).
/usr/lib/security
/usr/lib/security/classpath.security
INFECTED (PORTS: 1524 6667 31337)
eth0: PACKET SNIFFER(/usr/sbin/snort[2973], /usr/sbin/arpwatch[3105])
/etc/cron.daily/mixmaster:
/usr/bin/mixmaster-update: Get failed for http://www.noreply.org/echolot/rlist2.txt (500 Can't connect to www.noreply.org:80 (Bad hostname 'www.noreply.org'))
Exiting eval via next at /usr/bin/mixmaster-update line 384.
/usr/bin/mixmaster-update: Get failed for http://www.noreply.org/echolot/mlist2.txt (500 Can't connect to www.noreply.org:80 (Bad hostname 'www.noreply.org'))
Exiting eval via next at /usr/bin/mixmaster-update line 384.
/usr/bin/mixmaster-update: Get failed for http://www.noreply.org/echolot/pubring.mix (500 Can't connect to www.noreply.org:80 (Bad hostname 'www.noreply.org'))
Exiting eval via next at /usr/bin/mixmaster-update line 384.
/usr/bin/mixmaster-update: Get failed for http://www.noreply.org/echolot/rlist.txt (500 Can't connect to www.noreply.org:80 (Bad hostname 'www.noreply.org'))
Exiting eval via next at /usr/bin/mixmaster-update line 384.
/usr/bin/mixmaster-update: Get failed for http://www.noreply.org/echolot/mlist.txt (500 Can't connect to www.noreply.org:80 (Bad hostname 'www.noreply.org'))
Exiting eval via next at /usr/bin/mixmaster-update line 384.
/usr/bin/mixmaster-update: Get failed for http://www.noreply.org/echolot/pgp-all.asc (500 Can't connect to www.noreply.org:80 (Bad hostname 'www.noreply.org'))
Exiting eval via next at /usr/bin/mixmaster-update line 384.
Downloading of mlist and/or mixring failed (do you need a proxy?). Aborting.
run-parts: /etc/cron.daily/mixmaster exited with return code 22
If you're unsure about the results above, please contact the
Rootkit Hunter team through the Rootkit Hunter mailinglist
at rkhunter-users@lists.sourceforge.net.
Some errors has been found while checking. Please perform a manual check on this machine (platon)
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Ce n'est pas à proprement parler une question Debian, mais c'est sous une Debian Etch que ça m'arrive, et il y a certainement des admin réseau sur la liste...
Ce midi, au boot la machine va chercher son adresse ip sur le routeur. Ok, c'est fait. J'ouvre une session x, lance icewiesel... Le site choisi comme page par défaut ne s'affiche pas. Je tente une requête http sur le routeur. idem. Le routeur m'est donc inaccessible...
J'ai consulté ma messagerie (voir ci-dessous) et puis évidemment reconfiguré mon interface réseau pour dans un premier temps me connecter à mon routeur : rien d'anormal.
Je joins, expugés au maximum, les rapports de mes divers "surveillants". Vous y verrez sans doute des choses que je n'ai pas vu. Malgré tous mes efforts sur les sites en anglais, je ne parviens pas à me représenter les procédures à suivre pour palier les failles dénoncées par chkrootkit et rkhunter. Il ne s'agit pas ici d'un logiciel récalcitrant, mais peut-être de l'avenir à cout terme de mon réseau familial (4 machines) et de nos données personnelles et professionnelles, en clair j'ai besoin d'aide.
Cordialement, Christophe.
Arpwatch :
hostname: platon.local ip address: 169.254.214.233 interface: eth0 ethernet address: 0:4f:4e:14:fe:f8 ethernet vendor: <unknown> timestamp: Monday, November 17, 2008 12:11:26 +0100
Ce qui diffère du message envoyé après son installation
hostname: platon.excathedra.lan ip address: 192.168.1.103 interface: eth0 ethernet address: 0:4f:4e:14:fe:f8 ethernet vendor: <unknown> timestamp: Thursday, November 13, 2008 19:01:51 +0100
Logwatch :
################### Logwatch 7.3.1 (09/15/06) #################### Processing Initiated: Mon Nov 17 12:15:58 2008 Date Range Processed: yesterday ( 2008-Nov-16 ) Period is day. Detail Level of Output: 5 Type of Output: unformatted Logfiles for Host: platon ##################################################################
--------------------- Cron Begin ------------------------
[...]
---------------------- Cron End -------------------------
--------------------- dpkg status changes Begin ------------------------
---------------------- pam_unix End -------------------------
--------------------- postfix Begin ------------------------
[...]
---------------------- postfix End -------------------------
--------------------- samba Begin ------------------------
[...]
---------------------- samba End -------------------------
--------------------- SSHD Begin ------------------------
SSHD Killed: 1 Time(s)
SSHD Started: 1 Time(s)
Failed logins from: 24.182.161.69: 8 times bin/password: 1 time daemon/password: 1 time games/password: 1 time lp/password: 1 time mail/password: 1 time news/password: 1 time sync/password: 1 time uucp/password: 1 time 79.170.216.8: 1 time root/password: 1 time 88.191.94.148: 2 times root/password: 2 times 89.163.250.121: 2 times root/password: 2 times 122.200.102.6: 1 time root/password: 1 time
Illegal users from: 24.182.161.69: 5 times adm/password: 1 time guest/password: 1 time halt/password: 1 time operator/password: 1 time shutdown/password: 1 time 79.99.248.4: 1 time guest/password: 1 time 88.191.94.148: 4 times oracle/password: 1 time pgsql/password: 1 time postgres/password: 1 time test/password: 1 time 89.163.250.121: 2 times mzarza/password: 1 time trukulo/password: 1 time 217.79.190.28: 6 times ts/password: 2 times friedrich/password: 1 time nagios/password: 1 time oracle/password: 1 time teamspeak/password: 1 time
---------------------- SSHD End -------------------------
--------------------- Disk Space Begin ------------------------
[...]
---------------------- Disk Space End -------------------------
###################### Logwatch End #########################
chkrootkit :
/etc/cron.daily/chkrootkit: The following suspicious files and directories were found: /usr/lib/iceweasel/.autoreg /usr/lib/xulrunner/.autoreg /usr/lib/epiphany/2.14/extensions/.pyversion /lib/init/rw/.ramfs
COMMENTAIRE : ces fichiers sont vides sauf .pyversion (2.4).
/usr/lib/security /usr/lib/security/classpath.security INFECTED (PORTS: 1524 6667 31337) eth0: PACKET SNIFFER(/usr/sbin/snort[2973], /usr/sbin/arpwatch[3105]) /etc/cron.daily/mixmaster: /usr/bin/mixmaster-update: Get failed for http://www.noreply.org/echolot/rlist2.txt (500 Can't connect to www.noreply.org:80 (Bad hostname 'www.noreply.org')) Exiting eval via next at /usr/bin/mixmaster-update line 384. /usr/bin/mixmaster-update: Get failed for http://www.noreply.org/echolot/mlist2.txt (500 Can't connect to www.noreply.org:80 (Bad hostname 'www.noreply.org')) Exiting eval via next at /usr/bin/mixmaster-update line 384. /usr/bin/mixmaster-update: Get failed for http://www.noreply.org/echolot/pubring.mix (500 Can't connect to www.noreply.org:80 (Bad hostname 'www.noreply.org')) Exiting eval via next at /usr/bin/mixmaster-update line 384. /usr/bin/mixmaster-update: Get failed for http://www.noreply.org/echolot/rlist.txt (500 Can't connect to www.noreply.org:80 (Bad hostname 'www.noreply.org')) Exiting eval via next at /usr/bin/mixmaster-update line 384. /usr/bin/mixmaster-update: Get failed for http://www.noreply.org/echolot/mlist.txt (500 Can't connect to www.noreply.org:80 (Bad hostname 'www.noreply.org')) Exiting eval via next at /usr/bin/mixmaster-update line 384. /usr/bin/mixmaster-update: Get failed for http://www.noreply.org/echolot/pgp-all.asc (500 Can't connect to www.noreply.org:80 (Bad hostname 'www.noreply.org')) Exiting eval via next at /usr/bin/mixmaster-update line 384. Downloading of mlist and/or mixring failed (do you need a proxy?). Aborting. run-parts: /etc/cron.daily/mixmaster exited with return code 22
If you're unsure about the results above, please contact the Rootkit Hunter team through the Rootkit Hunter mailinglist at Some errors has been found while checking. Please perform a manual check on this machine (platon)
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Christophe VINCHON
Le mardi 18 novembre 2008 à 09:12:36, Guy Roussin a écrit :
Bonjour,
Que donne la commande (en root) : dhclient eth0 ?
platon:~# dhclient eth0 There is already a pid file /var/run/dhclient.pid with pid 2157 killed old client process, removed PID file Internet Systems Consortium DHCP Client V3.0.4 Copyright 2004-2006 Internet Systems Consortium. All rights reserved. For info, please visit http://www.isc.org/sw/dhcp/
Listening on LPF/eth0/00:4f:4e:14:fe:f8 Sending on LPF/eth0/00:4f:4e:14:fe:f8 Sending on Socket/fallback DHCPREQUEST on eth0 to 255.255.255.255 port 67 DHCPACK from 192.168.1.1 bound to 192.168.1.103 -- renewal in 28303 seconds.
Toutes les autres machines du réseau (Win ME et XP) ont obtenu leur adresse ip du routeur. Seule la mienne, sous debian, a connu cet incident.
La machine n'a pas été redémarré depuis ma reconfiguration "en dur" hier midi. En général, le routeur/passerelle réaffecte la même ip au démarrage des machines (il n'est jamais éteint).
Cordialement, Christophe.
-- « The process of preparing programs for a digital computer [...] can be an aesthetic experience much like composing poetry or music. » Donald Knuth
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Le mardi 18 novembre 2008 à 09:12:36, Guy Roussin a écrit :
Bonjour,
Que donne la commande (en root) :
dhclient eth0
?
platon:~# dhclient eth0
There is already a pid file /var/run/dhclient.pid with pid 2157
killed old client process, removed PID file
Internet Systems Consortium DHCP Client V3.0.4
Copyright 2004-2006 Internet Systems Consortium.
All rights reserved.
For info, please visit http://www.isc.org/sw/dhcp/
Listening on LPF/eth0/00:4f:4e:14:fe:f8
Sending on LPF/eth0/00:4f:4e:14:fe:f8
Sending on Socket/fallback
DHCPREQUEST on eth0 to 255.255.255.255 port 67
DHCPACK from 192.168.1.1
bound to 192.168.1.103 -- renewal in 28303 seconds.
Toutes les autres machines du réseau (Win ME et XP) ont obtenu leur adresse ip du
routeur. Seule la mienne, sous debian, a connu cet incident.
La machine n'a pas été redémarré depuis ma reconfiguration "en dur" hier
midi. En général, le routeur/passerelle réaffecte la même ip au
démarrage des machines (il n'est jamais éteint).
Cordialement,
Christophe.
--
« The process of preparing programs for a digital computer [...] can
be an aesthetic experience much like composing poetry or music. »
Donald Knuth
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Le mardi 18 novembre 2008 à 09:12:36, Guy Roussin a écrit :
Bonjour,
Que donne la commande (en root) : dhclient eth0 ?
platon:~# dhclient eth0 There is already a pid file /var/run/dhclient.pid with pid 2157 killed old client process, removed PID file Internet Systems Consortium DHCP Client V3.0.4 Copyright 2004-2006 Internet Systems Consortium. All rights reserved. For info, please visit http://www.isc.org/sw/dhcp/
Listening on LPF/eth0/00:4f:4e:14:fe:f8 Sending on LPF/eth0/00:4f:4e:14:fe:f8 Sending on Socket/fallback DHCPREQUEST on eth0 to 255.255.255.255 port 67 DHCPACK from 192.168.1.1 bound to 192.168.1.103 -- renewal in 28303 seconds.
Toutes les autres machines du réseau (Win ME et XP) ont obtenu leur adresse ip du routeur. Seule la mienne, sous debian, a connu cet incident.
La machine n'a pas été redémarré depuis ma reconfiguration "en dur" hier midi. En général, le routeur/passerelle réaffecte la même ip au démarrage des machines (il n'est jamais éteint).
Cordialement, Christophe.
-- « The process of preparing programs for a digital computer [...] can be an aesthetic experience much like composing poetry or music. » Donald Knuth
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Christophe VINCHON
Le lundi 17 novembre 2008 à 09:26:23, David Prévot a écrit :
Ha ben voilà : un petit tour via la RFC 3330 devrait t'apprendre qu'il s'agit d'une adresse attribuée par défaut, donc que l'attribution d'adresse via DHCP a échoué probablement.
Ben c'est le dernier endroit où je serai allé. Faut dire qu'avec mes "surveillants", j'étais psychologiquement prêt à réagir en mode paranoïd... ;-)
Cordialement, Christophe.
-- L'ordinateur mène de loin le groupe des inventions grâce auxquelles on peut très vite aligner les conneries. Seules les armes de poing et la tequila menacent sa suprématie. -- Mitch Ratcliffe
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Le lundi 17 novembre 2008 à 09:26:23, David Prévot a écrit :
Ha ben voilà : un petit tour via la RFC 3330 devrait t'apprendre qu'il
s'agit d'une adresse attribuée par défaut, donc que l'attribution
d'adresse via DHCP a échoué probablement.
Ben c'est le dernier endroit où je serai allé. Faut dire qu'avec mes
"surveillants", j'étais psychologiquement prêt à réagir en mode
paranoïd... ;-)
Cordialement,
Christophe.
--
L'ordinateur mène de loin le groupe des inventions grâce auxquelles on peut
très vite aligner les conneries. Seules les armes de poing et la tequila
menacent sa suprématie. -- Mitch Ratcliffe
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Ha ben voilà : un petit tour via la RFC 3330 devrait t'apprendre qu'il s'agit d'une adresse attribuée par défaut, donc que l'attribution d'adresse via DHCP a échoué probablement.
Ben c'est le dernier endroit où je serai allé. Faut dire qu'avec mes "surveillants", j'étais psychologiquement prêt à réagir en mode paranoïd... ;-)
Cordialement, Christophe.
-- L'ordinateur mène de loin le groupe des inventions grâce auxquelles on peut très vite aligner les conneries. Seules les armes de poing et la tequila menacent sa suprématie. -- Mitch Ratcliffe
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
mouss
Christophe VINCHON a écrit :
Le mardi 18 novembre 2008 à 09:12:36, Guy Roussin a écrit :
Bonjour,
Que donne la commande (en root) : dhclient eth0 ?
platon:~# dhclient eth0 There is already a pid file /var/run/dhclient.pid with pid 2157 killed old client process, removed PID file Internet Systems Consortium DHCP Client V3.0.4 Copyright 2004-2006 Internet Systems Consortium. All rights reserved. For info, please visit http://www.isc.org/sw/dhcp/
Listening on LPF/eth0/00:4f:4e:14:fe:f8 Sending on LPF/eth0/00:4f:4e:14:fe:f8 Sending on Socket/fallback DHCPREQUEST on eth0 to 255.255.255.255 port 67 DHCPACK from 192.168.1.1 bound to 192.168.1.103 -- renewal in 28303 seconds.
si c'est pour prendre des adresses privées dans un réseau de 4 machines, pourquoi s'embêter avec DHCP? tu donnes une IP statique à ta machine et on n'en parle plus ;-p
sauf si c'est un (trans)portable qui voyage dans plusieurs réseaux...
Toutes les autres machines du réseau (Win ME et XP) ont obtenu leur adresse ip du routeur. Seule la mienne, sous debian, a connu cet incident.
La machine n'a pas été redémarré depuis ma reconfiguration "en dur" hier midi. En général, le routeur/passerelle réaffecte la même ip au démarrage des machines (il n'est jamais éteint).
Cordialement, Christophe.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Christophe VINCHON a écrit :
Le mardi 18 novembre 2008 à 09:12:36, Guy Roussin a écrit :
Bonjour,
Que donne la commande (en root) :
dhclient eth0
?
platon:~# dhclient eth0
There is already a pid file /var/run/dhclient.pid with pid 2157
killed old client process, removed PID file
Internet Systems Consortium DHCP Client V3.0.4
Copyright 2004-2006 Internet Systems Consortium.
All rights reserved.
For info, please visit http://www.isc.org/sw/dhcp/
Listening on LPF/eth0/00:4f:4e:14:fe:f8
Sending on LPF/eth0/00:4f:4e:14:fe:f8
Sending on Socket/fallback
DHCPREQUEST on eth0 to 255.255.255.255 port 67
DHCPACK from 192.168.1.1
bound to 192.168.1.103 -- renewal in 28303 seconds.
si c'est pour prendre des adresses privées dans un réseau de 4 machines,
pourquoi s'embêter avec DHCP? tu donnes une IP statique à ta machine et
on n'en parle plus ;-p
sauf si c'est un (trans)portable qui voyage dans plusieurs réseaux...
Toutes les autres machines du réseau (Win ME et XP) ont obtenu leur adresse ip du
routeur. Seule la mienne, sous debian, a connu cet incident.
La machine n'a pas été redémarré depuis ma reconfiguration "en dur" hier
midi. En général, le routeur/passerelle réaffecte la même ip au
démarrage des machines (il n'est jamais éteint).
Cordialement,
Christophe.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Le mardi 18 novembre 2008 à 09:12:36, Guy Roussin a écrit :
Bonjour,
Que donne la commande (en root) : dhclient eth0 ?
platon:~# dhclient eth0 There is already a pid file /var/run/dhclient.pid with pid 2157 killed old client process, removed PID file Internet Systems Consortium DHCP Client V3.0.4 Copyright 2004-2006 Internet Systems Consortium. All rights reserved. For info, please visit http://www.isc.org/sw/dhcp/
Listening on LPF/eth0/00:4f:4e:14:fe:f8 Sending on LPF/eth0/00:4f:4e:14:fe:f8 Sending on Socket/fallback DHCPREQUEST on eth0 to 255.255.255.255 port 67 DHCPACK from 192.168.1.1 bound to 192.168.1.103 -- renewal in 28303 seconds.
si c'est pour prendre des adresses privées dans un réseau de 4 machines, pourquoi s'embêter avec DHCP? tu donnes une IP statique à ta machine et on n'en parle plus ;-p
sauf si c'est un (trans)portable qui voyage dans plusieurs réseaux...
Toutes les autres machines du réseau (Win ME et XP) ont obtenu leur adresse ip du routeur. Seule la mienne, sous debian, a connu cet incident.
La machine n'a pas été redémarré depuis ma reconfiguration "en dur" hier midi. En général, le routeur/passerelle réaffecte la même ip au démarrage des machines (il n'est jamais éteint).
Cordialement, Christophe.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact