- Lorsque je lance les commandes ls ou mkdir, elles ne veulent pas
s'executer, et partent en segfault.
- Je suis également dans l'impossibilité de faire un 'su -': le mot de
passe est validé, mais je n'obtiens jamais la main. Lorsque je fais
CTRL+C, j'obtiens alors la main, je suis en root, mais je n'ai pas la
bonne invite de commande, j'ai celle d'un user normal au lieu de celle
de root (qqch comme $bash2.x.x: au lieu d'avoir [root@host:/root]#)
Par contre, un 'su' normal fonctionne.
Le serveur tourne sous redhat-7.2. Les symptomes sont apparus (il me
semblent) lorsque j'ai lancé urchind (un moteur de stats web proprio),
que j'ai récupéré depuis un Cobalt.
J'ai cru, au début, que j'avais à faire à un rootkit, mais bon. Peut
etre que ce urchind a foutu le bazar sur la machine (problème de
librairies ?) ?
Je ne sais pas, en fait.
Donc si vous avez des idées, tout ca, n'hésitez pas.
J'aimerai avoir qq indications, au moins pour faire un diagnostic du
serveur, et puis également comment remettre tout ça d'aplomb.
Le serveur tourne sous redhat-7.2. Les symptomes sont apparus (il me semblent) lorsque j'ai lancé urchind (un moteur de stats web proprio), que j'ai récupéré depuis un Cobalt. J'ai cru, au début, que j'avais à faire à un rootkit, mais bon. Peut etre que ce urchind a foutu le bazar sur la machine (problème de librairies ?) ?
tu l'as installe depuis un package rpm ou un fichier tar ?
parce que rpm ne te laisserais pas ecraser un lib sans rien dire, alors qu'avec un tar ...
-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.0.7 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
Le serveur tourne sous redhat-7.2. Les symptomes sont apparus (il me
semblent) lorsque j'ai lancé urchind (un moteur de stats web proprio),
que j'ai récupéré depuis un Cobalt.
J'ai cru, au début, que j'avais à faire à un rootkit, mais bon. Peut
etre que ce urchind a foutu le bazar sur la machine (problème de
librairies ?) ?
tu l'as installe depuis un package rpm ou un fichier tar ?
parce que rpm ne te laisserais pas ecraser un lib sans rien dire, alors
qu'avec un tar ...
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.7 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
Le serveur tourne sous redhat-7.2. Les symptomes sont apparus (il me semblent) lorsque j'ai lancé urchind (un moteur de stats web proprio), que j'ai récupéré depuis un Cobalt. J'ai cru, au début, que j'avais à faire à un rootkit, mais bon. Peut etre que ce urchind a foutu le bazar sur la machine (problème de librairies ?) ?
tu l'as installe depuis un package rpm ou un fichier tar ?
parce que rpm ne te laisserais pas ecraser un lib sans rien dire, alors qu'avec un tar ...
-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.0.7 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
Le serveur tourne sous redhat-7.2. Les symptomes sont apparus (il me semblent) lorsque j'ai lancé urchind (un moteur de stats web proprio), que j'ai récupéré depuis un Cobalt. J'ai cru, au début, que j'avais à faire à un rootkit, mais bon. Peut etre que ce urchind a foutu le bazar sur la machine (problème de librairies ?) ?
tu l'as installe depuis un package rpm ou un fichier tar ?
je ne l'ai pas installé :/
pour l'histoire: -- la version 3.0 était installé sur un vieux cobalt (à partir d'un tar je pense) je voulais l'installer sur la redhat. Sur le ftp de urchin, il n'y avait que la 3.4 de dispo (la current est 5.0), en tar.gz. Je l'extrait _dans_ mon rép perso pour voir ce qu'il y a comme fichier. Je me rends compte qu'il n'y a rien de requis, et ce sont les même fichiers que la 3.0. Mais la 3.0 installée, disposait en plus de l'interface d'administration déjà prête, du coup, je me suis dit: "Je vais essayer de lancer la 3.0, si ca marche pas, tant pis, je prendrais du temps pour installer correctement la 3.4.." Je lance la 3.0, R.A.S., tout va bien, je récupère mes anciennes stats, j'arrive à y ajouter mes nouvelles. nickel. --
Sauf que depuis, plus de ls, ni mkdir (entre autre, je pense) Je viens de "réinstaller" le package fileutils (qui contient notamment mkdir et ls), comme ca: rpm -ivh --replacepkgs fileutils-4.1-10.1.i386.rpm
La commande refonctionne, tant que je suis loggué (via ssh, je précise) :/
Si je me déloggue et je me reloggue en root, via su -, pour la 1ere fois, ca passe (j'obtiens l'invite du root), mais ls et mkdir ne fonctionne plus...
Comment vérifier ce qui est appelé via su - ? pour voir, si y a pas un truc qui déconne.
parce que rpm ne te laisserais pas ecraser un lib sans rien dire, alors qu'avec un tar ...
mouais.. je sais po..
GERBIER Eric wrote:
@_*_*_@elv.enic.fr wrote:
Bonjour à tous,
J'en appelle à fcolc, parce que la ca me dépasse:
Le serveur tourne sous redhat-7.2. Les symptomes sont apparus (il me
semblent) lorsque j'ai lancé urchind (un moteur de stats web proprio),
que j'ai récupéré depuis un Cobalt.
J'ai cru, au début, que j'avais à faire à un rootkit, mais bon. Peut
etre que ce urchind a foutu le bazar sur la machine (problème de
librairies ?) ?
tu l'as installe depuis un package rpm ou un fichier tar ?
je ne l'ai pas installé :/
pour l'histoire:
--
la version 3.0 était installé sur un vieux cobalt (à partir d'un tar je
pense)
je voulais l'installer sur la redhat. Sur le ftp de urchin, il n'y avait
que la 3.4 de dispo (la current est 5.0), en tar.gz. Je l'extrait _dans_
mon rép perso pour voir ce qu'il y a comme fichier. Je me rends
compte qu'il n'y a rien de requis, et ce sont les même fichiers que la 3.0.
Mais la 3.0 installée, disposait en plus de l'interface d'administration
déjà prête, du coup, je me suis dit:
"Je vais essayer de lancer la 3.0, si ca marche pas, tant pis, je
prendrais du temps pour installer correctement la 3.4.."
Je lance la 3.0, R.A.S., tout va bien, je récupère mes anciennes stats,
j'arrive à y ajouter mes nouvelles. nickel.
--
Sauf que depuis, plus de ls, ni mkdir (entre autre, je pense)
Je viens de "réinstaller" le package fileutils (qui contient notamment
mkdir et ls), comme ca:
rpm -ivh --replacepkgs fileutils-4.1-10.1.i386.rpm
La commande refonctionne,
tant que je suis loggué (via ssh, je précise) :/
Si je me déloggue et je me reloggue en root, via su -, pour la 1ere
fois, ca passe (j'obtiens l'invite du root), mais ls et mkdir ne
fonctionne plus...
Comment vérifier ce qui est appelé via su - ? pour voir, si y a pas un
truc qui déconne.
parce que rpm ne te laisserais pas ecraser un lib sans rien dire, alors
qu'avec un tar ...
Le serveur tourne sous redhat-7.2. Les symptomes sont apparus (il me semblent) lorsque j'ai lancé urchind (un moteur de stats web proprio), que j'ai récupéré depuis un Cobalt. J'ai cru, au début, que j'avais à faire à un rootkit, mais bon. Peut etre que ce urchind a foutu le bazar sur la machine (problème de librairies ?) ?
tu l'as installe depuis un package rpm ou un fichier tar ?
je ne l'ai pas installé :/
pour l'histoire: -- la version 3.0 était installé sur un vieux cobalt (à partir d'un tar je pense) je voulais l'installer sur la redhat. Sur le ftp de urchin, il n'y avait que la 3.4 de dispo (la current est 5.0), en tar.gz. Je l'extrait _dans_ mon rép perso pour voir ce qu'il y a comme fichier. Je me rends compte qu'il n'y a rien de requis, et ce sont les même fichiers que la 3.0. Mais la 3.0 installée, disposait en plus de l'interface d'administration déjà prête, du coup, je me suis dit: "Je vais essayer de lancer la 3.0, si ca marche pas, tant pis, je prendrais du temps pour installer correctement la 3.4.." Je lance la 3.0, R.A.S., tout va bien, je récupère mes anciennes stats, j'arrive à y ajouter mes nouvelles. nickel. --
Sauf que depuis, plus de ls, ni mkdir (entre autre, je pense) Je viens de "réinstaller" le package fileutils (qui contient notamment mkdir et ls), comme ca: rpm -ivh --replacepkgs fileutils-4.1-10.1.i386.rpm
La commande refonctionne, tant que je suis loggué (via ssh, je précise) :/
Si je me déloggue et je me reloggue en root, via su -, pour la 1ere fois, ca passe (j'obtiens l'invite du root), mais ls et mkdir ne fonctionne plus...
Comment vérifier ce qui est appelé via su - ? pour voir, si y a pas un truc qui déconne.
parce que rpm ne te laisserais pas ecraser un lib sans rien dire, alors qu'avec un tar ...
mouais.. je sais po..
GERBIER Eric
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
@_$_elv.enic.fr wrote:
GERBIER Eric wrote:
Sauf que depuis, plus de ls, ni mkdir (entre autre, je pense) Je viens de "réinstaller" le package fileutils (qui contient notamment mkdir et ls), comme ca: rpm -ivh --replacepkgs fileutils-4.1-10.1.i386.rpm
La commande refonctionne, tant que je suis loggué (via ssh, je précise) :/
Si je me déloggue et je me reloggue en root, via su -, pour la 1ere fois, ca passe (j'obtiens l'invite du root), mais ls et mkdir ne fonctionne plus...
2 idees : - - rpm -Va pour voir ce qui a pu etre modifie sur les rpm installes - - type ls pour voir quel programme est lance, puis des ldd pour suivre les librairies ... -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.0.7 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
Sauf que depuis, plus de ls, ni mkdir (entre autre, je pense)
Je viens de "réinstaller" le package fileutils (qui contient notamment
mkdir et ls), comme ca:
rpm -ivh --replacepkgs fileutils-4.1-10.1.i386.rpm
La commande refonctionne,
tant que je suis loggué (via ssh, je précise) :/
Si je me déloggue et je me reloggue en root, via su -, pour la 1ere
fois, ca passe (j'obtiens l'invite du root), mais ls et mkdir ne
fonctionne plus...
2 idees :
- - rpm -Va pour voir ce qui a pu etre modifie sur les rpm installes
- - type ls pour voir quel programme est lance, puis des ldd pour suivre
les librairies ...
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.7 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
Sauf que depuis, plus de ls, ni mkdir (entre autre, je pense) Je viens de "réinstaller" le package fileutils (qui contient notamment mkdir et ls), comme ca: rpm -ivh --replacepkgs fileutils-4.1-10.1.i386.rpm
La commande refonctionne, tant que je suis loggué (via ssh, je précise) :/
Si je me déloggue et je me reloggue en root, via su -, pour la 1ere fois, ca passe (j'obtiens l'invite du root), mais ls et mkdir ne fonctionne plus...
2 idees : - - rpm -Va pour voir ce qui a pu etre modifie sur les rpm installes - - type ls pour voir quel programme est lance, puis des ldd pour suivre les librairies ... -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.0.7 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
Bon.. et faire un md5sum de /bin/ls, et des librairies pour voir s'ils sont ok, non ? Mais les comparer à quelle valeur ?
Un autre truc. On dirait que à chaque fois que je lance 'su -', j'ai ca: Nov 27 16:06:29 ns248 kernel: eth0: Promiscuous mode enabled.
C'est grave docteur ?
Merci beaucoup pour votre aide.
GERBIER Eric
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
@_$_elv.enic.fr wrote:
GERBIER Eric wrote:
- rpm -Va pour voir ce qui a pu etre modifie sur les rpm installes
fait. mais je ne comprends pas trop comment ca marche. Je vais chercher un peu pour traduire...
man rpm :
Le format de sortie est constitué d'une chaîne de caractères de 8 caractère, d'un « c » éventuel dénotant un fichier de configuration, et ensuite du nom du fichier. Chacun des 8 caractères dénote le résultat d'une comparaison d'un attribut du fichier avec la valeur de cet attribut enregistré dans la base de données rpm. Un simple « . » (point) ignifie que le test s'est bien passé. Les caractères suivants dénotent l'échec à certains tests :
5 Somme MD5 S Taille du fichier L Lien symbolique T Mtime D Périphérique U Utilisateur G Groupe M Mode (inclut les permissions et le type de fichier)
donc en gros, tes fichiers ne correspondent pas ceux qui ont ete installes (taille, md5) et dont la base rpm conserve les caracteristiques.
Bon.. et faire un md5sum de /bin/ls, et des librairies pour voir s'ils sont ok, non ? Mais les comparer à quelle valeur ?
c'est exactement ce que fait rpm -V (avec la base de donnee rpm)
Un autre truc. On dirait que à chaque fois que je lance 'su -', j'ai ca: Nov 27 16:06:29 ns248 kernel: eth0: Promiscuous mode enabled.
ce n'est pas trop normal, non, ca veut dire que ta machine ecoute/espionne (sniffe) le reseau.
tu n'aurais pas choppe un rootkit par hasard ?
il faudrait que tu verifie avec les programmes de http://www.chkrootkit.org/ en demarrant a partir d'une version propre (disquette, cdrom) -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.0.7 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
- rpm -Va pour voir ce qui a pu etre modifie sur les rpm installes
fait. mais je ne comprends pas trop comment ca marche.
Je vais chercher un peu pour traduire...
man rpm :
Le format de sortie est constitué d'une chaîne de caractères de 8
caractère, d'un « c » éventuel dénotant un fichier
de configuration, et ensuite du nom du fichier. Chacun des 8
caractères dénote le résultat d'une comparaison d'un
attribut du fichier avec la valeur de cet attribut enregistré dans la
base de données rpm. Un simple « . » (point)
ignifie que le test s'est bien passé. Les caractères suivants dénotent
l'échec à certains tests :
5 Somme MD5
S Taille du fichier
L Lien symbolique
T Mtime
D Périphérique
U Utilisateur
G Groupe
M Mode (inclut les permissions et le type de fichier)
donc en gros, tes fichiers ne correspondent pas ceux qui ont ete
installes (taille, md5) et dont la base rpm conserve les caracteristiques.
Bon.. et faire un md5sum de /bin/ls, et des librairies pour voir s'ils
sont ok, non ?
Mais les comparer à quelle valeur ?
c'est exactement ce que fait rpm -V (avec la base de donnee rpm)
Un autre truc.
On dirait que à chaque fois que je lance 'su -', j'ai ca:
Nov 27 16:06:29 ns248 kernel: eth0: Promiscuous mode enabled.
ce n'est pas trop normal, non, ca veut dire que ta machine
ecoute/espionne (sniffe) le reseau.
tu n'aurais pas choppe un rootkit par hasard ?
il faudrait que tu verifie avec les programmes de http://www.chkrootkit.org/
en demarrant a partir d'une version propre (disquette, cdrom)
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.7 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
- rpm -Va pour voir ce qui a pu etre modifie sur les rpm installes
fait. mais je ne comprends pas trop comment ca marche. Je vais chercher un peu pour traduire...
man rpm :
Le format de sortie est constitué d'une chaîne de caractères de 8 caractère, d'un « c » éventuel dénotant un fichier de configuration, et ensuite du nom du fichier. Chacun des 8 caractères dénote le résultat d'une comparaison d'un attribut du fichier avec la valeur de cet attribut enregistré dans la base de données rpm. Un simple « . » (point) ignifie que le test s'est bien passé. Les caractères suivants dénotent l'échec à certains tests :
5 Somme MD5 S Taille du fichier L Lien symbolique T Mtime D Périphérique U Utilisateur G Groupe M Mode (inclut les permissions et le type de fichier)
donc en gros, tes fichiers ne correspondent pas ceux qui ont ete installes (taille, md5) et dont la base rpm conserve les caracteristiques.
Bon.. et faire un md5sum de /bin/ls, et des librairies pour voir s'ils sont ok, non ? Mais les comparer à quelle valeur ?
c'est exactement ce que fait rpm -V (avec la base de donnee rpm)
Un autre truc. On dirait que à chaque fois que je lance 'su -', j'ai ca: Nov 27 16:06:29 ns248 kernel: eth0: Promiscuous mode enabled.
ce n'est pas trop normal, non, ca veut dire que ta machine ecoute/espionne (sniffe) le reseau.
tu n'aurais pas choppe un rootkit par hasard ?
il faudrait que tu verifie avec les programmes de http://www.chkrootkit.org/ en demarrant a partir d'une version propre (disquette, cdrom) -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.0.7 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
donc en gros, tes fichiers ne correspondent pas ceux qui ont ete installes (taille, md5) et dont la base rpm conserve les caracteristiques.
Argh ! c'est donc bien ce que je craignais.
Et confirmation: en réinstallant le package fileutils, et avant de me délogguer (cf mon problème avec su/su -), rpm -Va ne me signale plus /bin/ls comme "corrompu". Par contre, apres un logout + su -, les fichiers sont de nouveau corrompus.
c'est exactement ce que fait rpm -V (avec la base de donnee rpm) ok, je note.
On dirait que à chaque fois que je lance 'su -', j'ai ca: Nov 27 16:06:29 ns248 kernel: eth0: Promiscuous mode enabled.
ce n'est pas trop normal, non, ca veut dire que ta machine ecoute/espionne (sniffe) le reseau. grmf !
tu n'aurais pas choppe un rootkit par hasard ?
J'eusse espérer que non.
il faudrait que tu verifie avec les programmes de http://www.chkrootkit.org/ Justement, j'ai testé hier, et rien à signaler il me semble.
je vais le retester.
en demarrant a partir d'une version propre (disquette, cdrom)
Sauf que je n'ai pas d'accès physique au serveur. Je peux essayer avec un chroot ?
GERBIER Eric wrote:
donc en gros, tes fichiers ne correspondent pas ceux qui ont ete
installes (taille, md5) et dont la base rpm conserve les caracteristiques.
Argh ! c'est donc bien ce que je craignais.
Et confirmation: en réinstallant le package fileutils, et avant de me
délogguer (cf mon problème avec su/su -), rpm -Va ne me signale plus
/bin/ls comme "corrompu".
Par contre, apres un logout + su -, les fichiers sont de nouveau corrompus.
c'est exactement ce que fait rpm -V (avec la base de donnee rpm)
ok, je note.
On dirait que à chaque fois que je lance 'su -', j'ai ca:
Nov 27 16:06:29 ns248 kernel: eth0: Promiscuous mode enabled.
ce n'est pas trop normal, non, ca veut dire que ta machine
ecoute/espionne (sniffe) le reseau.
grmf !
tu n'aurais pas choppe un rootkit par hasard ?
J'eusse espérer que non.
il faudrait que tu verifie avec les programmes de http://www.chkrootkit.org/
Justement, j'ai testé hier, et rien à signaler il me semble.
je vais le retester.
en demarrant a partir d'une version propre (disquette, cdrom)
Sauf que je n'ai pas d'accès physique au serveur.
Je peux essayer avec un chroot ?
donc en gros, tes fichiers ne correspondent pas ceux qui ont ete installes (taille, md5) et dont la base rpm conserve les caracteristiques.
Argh ! c'est donc bien ce que je craignais.
Et confirmation: en réinstallant le package fileutils, et avant de me délogguer (cf mon problème avec su/su -), rpm -Va ne me signale plus /bin/ls comme "corrompu". Par contre, apres un logout + su -, les fichiers sont de nouveau corrompus.
c'est exactement ce que fait rpm -V (avec la base de donnee rpm) ok, je note.
On dirait que à chaque fois que je lance 'su -', j'ai ca: Nov 27 16:06:29 ns248 kernel: eth0: Promiscuous mode enabled.
ce n'est pas trop normal, non, ca veut dire que ta machine ecoute/espionne (sniffe) le reseau. grmf !
tu n'aurais pas choppe un rootkit par hasard ?
J'eusse espérer que non.
il faudrait que tu verifie avec les programmes de http://www.chkrootkit.org/ Justement, j'ai testé hier, et rien à signaler il me semble.
je vais le retester.
en demarrant a partir d'une version propre (disquette, cdrom)
Sauf que je n'ai pas d'accès physique au serveur. Je peux essayer avec un chroot ?
GERBIER Eric
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
@_$_elv.enic.fr wrote:
GERBIER Eric wrote:
donc en gros, tes fichiers ne correspondent pas ceux qui ont ete installes (taille, md5) et dont la base rpm conserve les caracteristiques.
Argh ! c'est donc bien ce que je craignais.
Et confirmation: en réinstallant le package fileutils, et avant de me délogguer (cf mon problème avec su/su -), rpm -Va ne me signale plus /bin/ls comme "corrompu".
Par contre, apres un logout + su -, les fichiers sont de nouveau corrompus.
donc c'est bien su qui mets la panique, il faudrait controller le package su (rpm -V su) et le re-installer pour voir (rpm --force su...)
tu n'aurais pas choppe un rootkit par hasard ?
J'eusse espérer que non.
il faudrait que tu verifie avec les programmes de http://www.chkrootkit.org/
Justement, j'ai testé hier, et rien à signaler il me semble. je vais le retester.
en demarrant a partir d'une version propre (disquette, cdrom)
Sauf que je n'ai pas d'accès physique au serveur. Je peux essayer avec un chroot ?
si jamais tu pars d'un systeme corrompu, il peut donner des infos fausses a chkrootkit ...
bonne chance ... -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.0.7 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
donc en gros, tes fichiers ne correspondent pas ceux qui ont ete
installes (taille, md5) et dont la base rpm conserve les
caracteristiques.
Argh ! c'est donc bien ce que je craignais.
Et confirmation: en réinstallant le package fileutils, et avant de me
délogguer (cf mon problème avec su/su -), rpm -Va ne me signale plus
/bin/ls comme "corrompu".
Par contre, apres un logout + su -, les fichiers sont de nouveau
corrompus.
donc c'est bien su qui mets la panique, il faudrait controller le
package su (rpm -V su) et le re-installer pour voir (rpm --force su...)
tu n'aurais pas choppe un rootkit par hasard ?
J'eusse espérer que non.
il faudrait que tu verifie avec les programmes de
http://www.chkrootkit.org/
Justement, j'ai testé hier, et rien à signaler il me semble.
je vais le retester.
en demarrant a partir d'une version propre (disquette, cdrom)
Sauf que je n'ai pas d'accès physique au serveur.
Je peux essayer avec un chroot ?
si jamais tu pars d'un systeme corrompu, il peut donner des infos
fausses a chkrootkit ...
bonne chance ...
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.7 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
donc en gros, tes fichiers ne correspondent pas ceux qui ont ete installes (taille, md5) et dont la base rpm conserve les caracteristiques.
Argh ! c'est donc bien ce que je craignais.
Et confirmation: en réinstallant le package fileutils, et avant de me délogguer (cf mon problème avec su/su -), rpm -Va ne me signale plus /bin/ls comme "corrompu".
Par contre, apres un logout + su -, les fichiers sont de nouveau corrompus.
donc c'est bien su qui mets la panique, il faudrait controller le package su (rpm -V su) et le re-installer pour voir (rpm --force su...)
tu n'aurais pas choppe un rootkit par hasard ?
J'eusse espérer que non.
il faudrait que tu verifie avec les programmes de http://www.chkrootkit.org/
Justement, j'ai testé hier, et rien à signaler il me semble. je vais le retester.
en demarrant a partir d'une version propre (disquette, cdrom)
Sauf que je n'ai pas d'accès physique au serveur. Je peux essayer avec un chroot ?
si jamais tu pars d'un systeme corrompu, il peut donner des infos fausses a chkrootkit ...
bonne chance ... -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.0.7 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
donc c'est bien su qui mets la panique, il faudrait controller le package su (rpm -V su) et le re-installer pour voir (rpm --force su...)
Je rentre chez ouam la. Je vais reinstaller le package sh-utils (je crois que c'est celui la qui contient su).
si jamais tu pars d'un systeme corrompu, il peut donner des infos fausses a chkrootkit ...
Oui, c'est ce que j'ai lu dans le README de chkrootkit. C'est parce qu'il se base sur des outils de base (awk, sed, netstat, *ls*)pour faire ses vérifications
Mais j'ai trouvé ca: http://securite.le-remi.com/?sec=chkrk&page=static
Un script (je vais reprendre la méthode plutôt) qui compile tout ce qu'il faut en static. Je fais ca sur ma machine perso, et je transfere sur le serveur, on verra ce que ca donne.
bonne chance ...
merci beaucoup pour ton aide :-)
GERBIER Eric wrote:
donc c'est bien su qui mets la panique, il faudrait controller le
package su (rpm -V su) et le re-installer pour voir (rpm --force su...)
Je rentre chez ouam la. Je vais reinstaller le package sh-utils (je
crois que c'est celui la qui contient su).
si jamais tu pars d'un systeme corrompu, il peut donner des infos
fausses a chkrootkit ...
Oui, c'est ce que j'ai lu dans le README de chkrootkit. C'est parce
qu'il se base sur des outils de base (awk, sed, netstat, *ls*)pour faire
ses vérifications
Mais j'ai trouvé ca:
http://securite.le-remi.com/?sec=chkrk&page=static
Un script (je vais reprendre la méthode plutôt) qui compile tout ce
qu'il faut en static.
Je fais ca sur ma machine perso, et je transfere sur le serveur, on
verra ce que ca donne.
donc c'est bien su qui mets la panique, il faudrait controller le package su (rpm -V su) et le re-installer pour voir (rpm --force su...)
Je rentre chez ouam la. Je vais reinstaller le package sh-utils (je crois que c'est celui la qui contient su).
si jamais tu pars d'un systeme corrompu, il peut donner des infos fausses a chkrootkit ...
Oui, c'est ce que j'ai lu dans le README de chkrootkit. C'est parce qu'il se base sur des outils de base (awk, sed, netstat, *ls*)pour faire ses vérifications
Mais j'ai trouvé ca: http://securite.le-remi.com/?sec=chkrk&page=static
Un script (je vais reprendre la méthode plutôt) qui compile tout ce qu'il faut en static. Je fais ca sur ma machine perso, et je transfere sur le serveur, on verra ce que ca donne.
bonne chance ...
merci beaucoup pour ton aide :-)
Eddahbi Karim
On Thu, 27 Nov 2003 15:24:10 +0100 "@_$_elv.enic.fr" <""btirmarche_$_"@_$_elv.enic.fr"> wrote:
[snip]
Évite de séparer les parties avec seulement 2 - (--) surtout sur une nouvelle ligne, c'est le délimiteur qui est utilisé pour les signatures et certains newsreader coupe les signatures lors de la réponse ;-).
-- -- ThE_TemPLaR
On Thu, 27 Nov 2003 15:24:10 +0100
"@_$_elv.enic.fr" <""btirmarche_$_"@_$_elv.enic.fr"> wrote:
[snip]
Évite de séparer les parties avec seulement 2 - (--) surtout sur une
nouvelle ligne, c'est le délimiteur qui est utilisé pour les signatures
et certains newsreader coupe les signatures lors de la réponse ;-).
On Thu, 27 Nov 2003 15:24:10 +0100 "@_$_elv.enic.fr" <""btirmarche_$_"@_$_elv.enic.fr"> wrote:
[snip]
Évite de séparer les parties avec seulement 2 - (--) surtout sur une nouvelle ligne, c'est le délimiteur qui est utilisé pour les signatures et certains newsreader coupe les signatures lors de la réponse ;-).
-- -- ThE_TemPLaR
Erwann ABALEA
Bonjour,
On Thu, 27 Nov 2003, Eddahbi Karim wrote:
Évite de séparer les parties avec seulement 2 - (--) surtout sur une nouvelle ligne, c'est le délimiteur qui est utilisé pour les signatures et certains newsreader coupe les signatures lors de la réponse ;-).
Mauvais lecteur de news, changer lecteur de news.
Le séparateur de signature, c'est: "n-- n". Soit: 2 tirets '-', un espace, le tout seul sur sa ligne.
Évite de séparer les parties avec seulement 2 - (--) surtout sur une
nouvelle ligne, c'est le délimiteur qui est utilisé pour les signatures
et certains newsreader coupe les signatures lors de la réponse ;-).
Mauvais lecteur de news, changer lecteur de news.
Le séparateur de signature, c'est: "n-- n". Soit: 2 tirets '-', un
espace, le tout seul sur sa ligne.
Évite de séparer les parties avec seulement 2 - (--) surtout sur une nouvelle ligne, c'est le délimiteur qui est utilisé pour les signatures et certains newsreader coupe les signatures lors de la réponse ;-).
Mauvais lecteur de news, changer lecteur de news.
Le séparateur de signature, c'est: "n-- n". Soit: 2 tirets '-', un espace, le tout seul sur sa ligne.
