Sioux: repérer l'exécution d'une commande à une heure donnée

Le
meta
Bonjour,

Je cherche à jouer les inspecteurs Colombo afin de retrouver qui peut bien
détruire un fichier tous les jours à heure fixe.

Le crontab et les scripts associés ont déjà été explorés à fond sans
permettre de résoudre le mystère, ainsi que le journal système.

Ma question est donc: comment faire pour capturer la liste de toute commande
rm qui serait déclenchée par exemple entre h - 1 seconde et h + 1 seconde,
ou même tout process tournant dans cet intervalle ? (Sans être root).

Merci pour toute aide.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Marc
Le #24275831
Bonsoir,

Le 23/02/2012 20:15, meta a écrit :
Bonjour,

Je cherche à jouer les inspecteurs Colombo afin de retrouver qui peut
bien détruire un fichier tous les jours à heure fixe.



strace -e trace=unlink /path_to_file/file_name

Pour contrôler tous les accès a ce fichier, pas seulement unlink :

strace -e trace=file /path_to_file/file_name

Marc
Alain Ketterlin
Le #24275881
"meta"
Je cherche à jouer les inspecteurs Colombo afin de retrouver qui peut
bien détruire un fichier tous les jours à heure fixe.

Le crontab et les scripts associés ont déjà été explorés à fond sans
permettre de résoudre le mystère, ainsi que le journal systà ¨me.

Ma question est donc: comment faire pour capturer la liste de toute
commande rm qui serait déclenchée par exemple entre h - 1 secon de et h
+ 1 seconde, ou même tout process tournant dans cet intervalle ? (Sa ns
être root).



Si c'est linux, tu peux essayer inotify (man 7 inotify). Il semble qu'il
y ait des inotify-tools, sinon il te faudra écrire un petit programme,
mais au moins tu auras le coupable même s'il n'utilise pas rm. Cela di t,
sans être root... je ne sais pas.

-- Alain.
meta
Le #24276281
"Alain Ketterlin" a écrit dans le message de groupe de discussion :


"meta"
Je cherche à jouer les inspecteurs Colombo afin de retrouver qui peut
bien détruire un fichier tous les jours à heure fixe.

Le crontab et les scripts associés ont déjà été explorés à fond sans
permettre de résoudre le mystère, ainsi que le journal système.

Ma question est donc: comment faire pour capturer la liste de toute
commande rm qui serait déclenchée par exemple entre h - 1 seconde et h
+ 1 seconde, ou même tout process tournant dans cet intervalle ? (Sans
être root).

Si c'est linux, tu peux essayer inotify (man 7 inotify). Il semble qu'il
y ait des inotify-tools, sinon il te faudra écrire un petit programme,
mais au moins tu auras le coupable même s'il n'utilise pas rm. Cela dit,
sans être root... je ne sais pas.



Non ce n'est pas du Linux, à mon grand regret d'ailleurs.
Marc
Le #24277611
Bonsoir,

Le 24/02/2012 07:50, meta a écrit :
"Alain Ketterlin" a écrit dans le message de groupe de discussion :
Si c'est linux, tu peux essayer inotify (man 7 inotify). Il semble qu'il
y ait des inotify-tools, sinon il te faudra écrire un petit programme,
mais au moins tu auras le coupable même s'il n'utilise pas rm. Cela dit,
sans être root... je ne sais pas.



Non ce n'est pas du Linux, à mon grand regret d'ailleurs.



Si, sous Fedora en tout cas :
yum install inotify-tools

Mais cela ne répond pas au problème posé car ces outils n'identifient
pas la commande responsable de l'action à ma connaissance.

Toujours sous Fedora, regarder plutot auditctl et ausearch en faisant
yum install audit si ces commandes ne sont pas disponibles.

Marc
Olivier Miakinen
Le #24277661
Bonjour,

Le 24/02/2012 18:41, Marc a écrit :

Si c'est linux, tu peux essayer inotify [...]



Non ce n'est pas du Linux, à mon grand regret d'ailleurs.



Si, sous Fedora en tout cas :
yum install inotify-tools



Je crois que tu as dû lire et comprendre « ce (inotify) n'est pas *sur*
Linux » alors que meta disait « ce (mon Unix) n'est pas *du* Linux ».

Cordialement,
--
Olivier Miakinen
meta
Le #24278401
Je crois que tu as dû lire et comprendre « ce (inotify) n'est pas *sur*
Linux » alors que meta disait « ce (mon Unix) n'est pas *du* Linux ».



Yep. C'est du Hache-Pé.
Paul Gaborit
Le #24279061
À (at) Fri, 24 Feb 2012 07:50:14 +0100,
"meta"
"Alain Ketterlin" a écrit dans le message de groupe de discussion :


"meta"
Je cherche à jouer les inspecteurs Colombo afin de retrouver qui peut
bien détruire un fichier tous les jours à heure fixe.

Le crontab et les scripts associés ont déjà été explorés à fond sans
permettre de résoudre le mystère, ainsi que le journal système.

Ma question est donc: comment faire pour capturer la liste de toute
commande rm qui serait déclenchée par exemple entre h - 1 seconde et h
+ 1 seconde, ou même tout process tournant dans cet intervalle ? (Sans
être root).



Si c'est linux, tu peux essayer inotify (man 7 inotify). Il semble qu'il
y ait des inotify-tools, sinon il te faudra écrire un petit programme,
mais au moins tu auras le coupable même s'il n'utilise pas rm. Cela dit,
sans être root... je ne sais pas.



Non ce n'est pas du Linux, à mon grand regret d'ailleurs.




Autre possibilité : remplacer (momentanément) le fichier par un
répertoire. Le programme qui efface le fichier échouera... Mais
aurez-vous une trace d'erreur accessible ? Sans être 'root', rien n'est
moins sûr.

--
Paul Gaborit -
Erwan David
Le #24280111
"meta"
Je crois que tu as dû lire et comprendre « ce (inotify) n'est pas *sur*
Linux » alors que meta disait « ce (mon Unix) n'est pas *du* Linux ».



Yep. C'est du Hache-Pé.



Quel Unix de HP ? J'en vois 3, suite à rachats successifs :
Ultrix
HP-UX
Tru64


--
Le travail n'est pas une bonne chose. Si ça l'était,
les riches l'auraient accaparé
Marc
Le #24280211
Bonsoir,

Le 24/02/2012 18:54, Olivier Miakinen a écrit :

Je crois que tu as dû lire et comprendre « ce (inotify) n'est pas *sur*
Linux » alors que meta disait « ce (mon Unix) n'est pas *du* Linux ».



Effectivement, désolé.

Marc
Marc
Le #24280201
Bonsoir,

Le 25/02/2012 00:14, meta a écrit :
Je crois que tu as dû lire et comprendre « ce (inotify) n'est pas *sur*
Linux » alors que meta disait « ce (mon Unix) n'est pas *du* Linux ».



Yep. C'est du Hache-Pé.



Dans ce cas, il existe au moins sous HP UX l'équivalent du système
d'audit Linux :
http://docstore.mik.ua/manuals/hp-ux/en/B2355-60130/audit.5.html
http://docstore.mik.ua/manuals/hp-ux/en/B2355-60130/audevent.1M.html

Marc
Publicité
Poster une réponse
Anonyme