je me permets de vous ecrire car j'ai un doute sur l'integrit=E9 d'une
machine.
Ce matin, je tente d'acceder au serveur https.
il ne fonctionne pas. Il etait arret=E9. hors hier au soir il fonctionnait
encore parfaitement.
le probleme vient d'un module charg=E9:
mod_proxy
Je l'avais utilis=E9 il y a quelques temps. Sans en pouvoir etre persuad=E9=
, il
me semblait l'avoir supprim=E9 de la configuration d'Apache.
Dans le fichier proxy.load, j'ai une etrange ligne:
LoadFile /usr/lib/libxml2.so.2
qui est responsable du plantage d'Apache.
Lors de mon update, j'ai pu voir que cette lib avait =E9t=E9 mise a jour.
Cela ne m'explique pas pourquoi j'ai cette ligne dans le fichier de
configuration et comment le fichier a pu obtenir cette ligne, ni comment
Apache a pu avoir un signal de restart ou de reload.
Je consulte mes logs.
Rien d'anormal a premiere vu.
L'authentification sur ma machine se fait uniquement via cle, pas par mot d=
e
passe, pas d'acces root.
Quelques services tournent dessus, accessible depuis le net, mais consultan=
t
les exploits, apparemment rien de nouveau...
Malheureusement mon ulog ne fonctionnait pas :( je ne peux donc voir les
acces etrangers :(
Avez vous connaissance d'un exploit similaire?
Savez vous comment je peux decompiler une librairie pour analyser le conten=
u
de cette lib?
Bien cordialement,
bonjour a tous,<br>
<br>
je me permets de vous ecrire car j'ai un doute sur l'integrit=E9 d'une mach=
ine.<br>
Ce matin, je tente d'acceder au serveur https.<br>
il ne fonctionne pas. Il etait arret=E9. hors hier au soir il fonctionnait =
encore parfaitement.<br>
le probleme vient d'un module charg=E9:<br>
mod_proxy<br>
Je l'avais utilis=E9 il y a quelques temps. Sans en pouvoir etre
persuad=E9, il me semblait l'avoir supprim=E9 de la configuration d'Apache.=
<br>
Dans le fichier proxy.load, j'ai une etrange ligne:<br>
LoadFile /usr/lib/libxml2.so.2<br>
<br>
qui est responsable du plantage d'Apache.<br>
Lors de mon update, j'ai pu voir que cette lib avait =E9t=E9 mise a jour.<b=
r>
Cela ne m'explique pas pourquoi j'ai cette ligne dans le fichier de
configuration et comment le fichier a pu obtenir cette ligne, ni
comment Apache a pu avoir un signal de restart ou de reload.<br>
<br>
Je consulte mes logs.<br>
Rien d'anormal a premiere vu.<br>
L'authentification sur ma machine se fait uniquement via cle, pas par mot d=
e passe, pas d'acces root.<br>
Quelques services tournent dessus, accessible depuis le net, mais consultan=
t les exploits, apparemment rien de nouveau...<br>
<br>
Malheureusement mon ulog ne fonctionnait pas :( je ne peux donc voir les ac=
ces etrangers :(<br>
Avez vous connaissance d'un exploit similaire?<br>
Savez vous comment je peux decompiler une librairie pour analyser le conten=
u de cette lib?<br>
Bien cordialement,<br>
<br>
Matthieu<br>
<br>
------=_Part_165_22911706.1162577322592--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Le Vendredi 03 Novembre 2006 19:08, Matthieu a écrit :
bonjour a tous,
Bonjour,
Savez vous comment je peux decompiler une librairie pour analyser le contenu de cette lib?
Peut-être faire une comparaison avec une version saine? http://packages.debian.org/stable/libs/libxml2
Souhaitant que ça aide.
-- Serge
François Boisson
Le Fri, 3 Nov 2006 19:08:42 +0100 Matthieu a écrit:
bonjour a tous,
je me permets de vous ecrire car j'ai un doute sur l'integrité d'une machine. Ce matin, je tente d'acceder au serveur https. il ne fonctionne pas. Il etait arreté. hors hier au soir il fonctionnait encore parfaitement. le probleme vient d'un module chargé: mod_proxy Je l'avais utilisé il y a quelques temps. Sans en pouvoir etre persuadé, il me semblait l'avoir supprimé de la configuration d'Apache. Dans le fichier proxy.load, j'ai une etrange ligne: LoadFile /usr/lib/libxml2.so.2
:~$ apt-file search /usr/lib/libxml2.so.2 libxml2: usr/lib/libxml2.so.2 libxml2: usr/lib/libxml2.so.2.6.16 :~$ locate /usr/lib/libxml2.so.2 /usr/lib/libxml2.so.2 /usr/lib/libxml2.so.2.6.16 :~$ su Password: totoche:/home/francois# apt-get install libxml2 Lecture des listes de paquets... Fait Construction de l'arbre des dépendances... Fait libxml2 est déjà la plus récente version disponible. 0 mis à jour, 0 nouvellement installés, 0 à enlever et 485 non mis à jour. totoche:/home/francois# exit :~$ md5sum /usr/lib/libxml2.so.2 e535b28c3747d8ea5de8e1cdf9322a43 /usr/lib/libxml2.so.2 :~$ md5sum /usr/lib/libxml2.so.2.6.16 e535b28c3747d8ea5de8e1cdf9322a43 /usr/lib/libxml2.so.2.6.16 :~$ cat /var/lib/dpkg/info/libxml2.md5sums .... e535b28c3747d8ea5de8e1cdf9322a43 usr/lib/libxml2.so.2.6.16 :~$
Voilà qui peut te dire si le fichier est Debian ou pas.
François Boisson
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Le Fri, 3 Nov 2006 19:08:42 +0100
Matthieu <ermelir@gmail.com> a écrit:
bonjour a tous,
je me permets de vous ecrire car j'ai un doute sur l'integrité d'une
machine.
Ce matin, je tente d'acceder au serveur https.
il ne fonctionne pas. Il etait arreté. hors hier au soir il fonctionnait
encore parfaitement.
le probleme vient d'un module chargé:
mod_proxy
Je l'avais utilisé il y a quelques temps. Sans en pouvoir etre persuadé, il
me semblait l'avoir supprimé de la configuration d'Apache.
Dans le fichier proxy.load, j'ai une etrange ligne:
LoadFile /usr/lib/libxml2.so.2
francois@totoche:~$ apt-file search /usr/lib/libxml2.so.2
libxml2: usr/lib/libxml2.so.2
libxml2: usr/lib/libxml2.so.2.6.16
francois@totoche:~$ locate /usr/lib/libxml2.so.2
/usr/lib/libxml2.so.2
/usr/lib/libxml2.so.2.6.16
francois@totoche:~$ su
Password:
totoche:/home/francois# apt-get install libxml2
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances... Fait
libxml2 est déjà la plus récente version disponible.
0 mis à jour, 0 nouvellement installés, 0 à enlever et 485 non mis à
jour. totoche:/home/francois# exit
francois@totoche:~$ md5sum /usr/lib/libxml2.so.2
e535b28c3747d8ea5de8e1cdf9322a43 /usr/lib/libxml2.so.2
francois@totoche:~$ md5sum /usr/lib/libxml2.so.2.6.16
e535b28c3747d8ea5de8e1cdf9322a43 /usr/lib/libxml2.so.2.6.16
francois@totoche:~$ cat /var/lib/dpkg/info/libxml2.md5sums
....
e535b28c3747d8ea5de8e1cdf9322a43 usr/lib/libxml2.so.2.6.16
francois@totoche:~$
Voilà qui peut te dire si le fichier est Debian ou pas.
François Boisson
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Le Fri, 3 Nov 2006 19:08:42 +0100 Matthieu a écrit:
bonjour a tous,
je me permets de vous ecrire car j'ai un doute sur l'integrité d'une machine. Ce matin, je tente d'acceder au serveur https. il ne fonctionne pas. Il etait arreté. hors hier au soir il fonctionnait encore parfaitement. le probleme vient d'un module chargé: mod_proxy Je l'avais utilisé il y a quelques temps. Sans en pouvoir etre persuadé, il me semblait l'avoir supprimé de la configuration d'Apache. Dans le fichier proxy.load, j'ai une etrange ligne: LoadFile /usr/lib/libxml2.so.2
:~$ apt-file search /usr/lib/libxml2.so.2 libxml2: usr/lib/libxml2.so.2 libxml2: usr/lib/libxml2.so.2.6.16 :~$ locate /usr/lib/libxml2.so.2 /usr/lib/libxml2.so.2 /usr/lib/libxml2.so.2.6.16 :~$ su Password: totoche:/home/francois# apt-get install libxml2 Lecture des listes de paquets... Fait Construction de l'arbre des dépendances... Fait libxml2 est déjà la plus récente version disponible. 0 mis à jour, 0 nouvellement installés, 0 à enlever et 485 non mis à jour. totoche:/home/francois# exit :~$ md5sum /usr/lib/libxml2.so.2 e535b28c3747d8ea5de8e1cdf9322a43 /usr/lib/libxml2.so.2 :~$ md5sum /usr/lib/libxml2.so.2.6.16 e535b28c3747d8ea5de8e1cdf9322a43 /usr/lib/libxml2.so.2.6.16 :~$ cat /var/lib/dpkg/info/libxml2.md5sums .... e535b28c3747d8ea5de8e1cdf9322a43 usr/lib/libxml2.so.2.6.16 :~$
Voilà qui peut te dire si le fichier est Debian ou pas.
François Boisson
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
LM
Matthieu wrote:
bonjour a tous,
je me permets de vous ecrire car j'ai un doute sur l'integrité d'une machine. Ce matin, je tente d'acceder au serveur https. il ne fonctionne pas. Il etait arreté. hors hier au soir il fonctionnait encore parfaitement. le probleme vient d'un module chargé: mod_proxy Je l'avais utilisé il y a quelques temps. Sans en pouvoir etre persuadé, il me semblait l'avoir supprimé de la configuration d'Apache. Dans le fichier proxy.load, j'ai une etrange ligne: LoadFile /usr/lib/libxml2.so.2
qui est responsable du plantage d'Apache. Lors de mon update, j'ai pu voir que cette lib avait été mise a jour. Cela ne m'explique pas pourquoi j'ai cette ligne dans le fichier de configuration et comment le fichier a pu obtenir cette ligne, ni comment Apache a pu avoir un signal de restart ou de reload.
Je consulte mes logs. Rien d'anormal a premiere vu. L'authentification sur ma machine se fait uniquement via cle, pas par mot de passe, pas d'acces root. Quelques services tournent dessus, accessible depuis le net, mais consultant les exploits, apparemment rien de nouveau...
Malheureusement mon ulog ne fonctionnait pas :( je ne peux donc voir les acces etrangers :( Avez vous connaissance d'un exploit similaire? Savez vous comment je peux decompiler une librairie pour analyser le contenu de cette lib? Bien cordialement,
Matthieu
Pour ce qui est du restart d'apache ce doit être pour la rotation des logs, vers 6h25 par défaut sous debian si mes souvenirs sont bons.
Ce qui n'explique en rien l'ajout de la ligne de le fichier de configuration, peut-être l'installation d'un paquet.
Cordialement.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Matthieu wrote:
bonjour a tous,
je me permets de vous ecrire car j'ai un doute sur l'integrité d'une
machine.
Ce matin, je tente d'acceder au serveur https.
il ne fonctionne pas. Il etait arreté. hors hier au soir il fonctionnait
encore parfaitement.
le probleme vient d'un module chargé:
mod_proxy
Je l'avais utilisé il y a quelques temps. Sans en pouvoir etre persuadé,
il me semblait l'avoir supprimé de la configuration d'Apache.
Dans le fichier proxy.load, j'ai une etrange ligne:
LoadFile /usr/lib/libxml2.so.2
qui est responsable du plantage d'Apache.
Lors de mon update, j'ai pu voir que cette lib avait été mise a jour.
Cela ne m'explique pas pourquoi j'ai cette ligne dans le fichier de
configuration et comment le fichier a pu obtenir cette ligne, ni comment
Apache a pu avoir un signal de restart ou de reload.
Je consulte mes logs.
Rien d'anormal a premiere vu.
L'authentification sur ma machine se fait uniquement via cle, pas par
mot de passe, pas d'acces root.
Quelques services tournent dessus, accessible depuis le net, mais
consultant les exploits, apparemment rien de nouveau...
Malheureusement mon ulog ne fonctionnait pas :( je ne peux donc voir les
acces etrangers :(
Avez vous connaissance d'un exploit similaire?
Savez vous comment je peux decompiler une librairie pour analyser le
contenu de cette lib?
Bien cordialement,
Matthieu
Pour ce qui est du restart d'apache ce doit être pour la rotation des
logs, vers 6h25 par défaut sous debian si mes souvenirs sont bons.
Ce qui n'explique en rien l'ajout de la ligne de le fichier de
configuration, peut-être l'installation d'un paquet.
Cordialement.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
je me permets de vous ecrire car j'ai un doute sur l'integrité d'une machine. Ce matin, je tente d'acceder au serveur https. il ne fonctionne pas. Il etait arreté. hors hier au soir il fonctionnait encore parfaitement. le probleme vient d'un module chargé: mod_proxy Je l'avais utilisé il y a quelques temps. Sans en pouvoir etre persuadé, il me semblait l'avoir supprimé de la configuration d'Apache. Dans le fichier proxy.load, j'ai une etrange ligne: LoadFile /usr/lib/libxml2.so.2
qui est responsable du plantage d'Apache. Lors de mon update, j'ai pu voir que cette lib avait été mise a jour. Cela ne m'explique pas pourquoi j'ai cette ligne dans le fichier de configuration et comment le fichier a pu obtenir cette ligne, ni comment Apache a pu avoir un signal de restart ou de reload.
Je consulte mes logs. Rien d'anormal a premiere vu. L'authentification sur ma machine se fait uniquement via cle, pas par mot de passe, pas d'acces root. Quelques services tournent dessus, accessible depuis le net, mais consultant les exploits, apparemment rien de nouveau...
Malheureusement mon ulog ne fonctionnait pas :( je ne peux donc voir les acces etrangers :( Avez vous connaissance d'un exploit similaire? Savez vous comment je peux decompiler une librairie pour analyser le contenu de cette lib? Bien cordialement,
Matthieu
Pour ce qui est du restart d'apache ce doit être pour la rotation des logs, vers 6h25 par défaut sous debian si mes souvenirs sont bons.
Ce qui n'explique en rien l'ajout de la ligne de le fichier de configuration, peut-être l'installation d'un paquet.
Cordialement.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact