depuis qque temps j'ai un message d'alerte au boot relatif à l'absence de
libproc.3.1.6 , ce que j'ai verifié dans /lib/
-rwxr-xr-x 1 root root 33848 Sep 9 2000 libproc.a
-rwxr-xr-x 1 root root 37984 Sep 9 2000 libproc.so.2.0.6
j'ai une mdk 9.1 (noyau 2.4.19 pour des raisons de drivers modem pci)
j'ai essayé de reinstaller le paquetage procps de ma distribution (cd de
linux CD) sans resultat. j'ai pensé à une rayure du CD, l'installation se
bloque.
j'ai chargé procps-3.1.6-2mdk.i586.rpm et tenté :
[root@hermione bertrand]# urpmi /home/bertrand/RPM/procps-3.1.6-2mdk.i586.rpm
error: read failed: Is a directory (21)
installation de /home/bertrand/RPM/procps-3.1.6-2mdk.i586.rpm
Préparation... ##################################################
1:procps ############error: unpacking of archive failed on file /bin/ps: cpio: rename failed - Operation not permitted
[root@hermione bertrand]# rm /bin/ps
rm: détruire un fichier protégé en écriture fichier régulier `/bin/ps'? o
rm: ne peut enlever `/bin/ps': Operation not permitted
[root@hermione bertrand]# chmod a+w /bin/ps
chmod: modification des permissions de `/bin/ps': Operation not permitted
[root@hermione bertrand]# chown root /bin/ps
chown: changement de propriétaire pour `/bin/ps': Operation not permitted
c'est qui 500:500
[root@hermione bertrand]# su 500
su: L'usager 500 n'existe pas.
c'est qui 500:500 [ bertrand]# su 500 su: L'usager 500 n'existe pas.
c'est grave docteur?
ca sent un peu le trojan, mais bon , c'est 1 peu trop subtil pour ca je pense.
En fait je crois ton filesystem & par conséquence ton install pas mal vérolé. Commence par couper le reseau (au cas ou ce serait un trojan). Verifie les badblocks de ton / tes disques, et tes logs à la recherche de messages de desespoir du disque.
$ md5sum /bin/ps /bin/ps $ dmesg
Note que la rayure du cd d'install est à exclure: tu n'arriverais pas à lire le fichier, mais surtout il ne passerait pas le test de signature, et donc rpm n'essaierait pas de l'installer.
Si c'est des badblocks... change de disque.
Dans tous les cas tu n'echappera pas à une reinstall je pense.
c'est qui 500:500
[root@hermione bertrand]# su 500
su: L'usager 500 n'existe pas.
c'est grave docteur?
ca sent un peu le trojan, mais bon , c'est 1 peu trop subtil pour ca je
pense.
En fait je crois ton filesystem & par conséquence ton install pas mal
vérolé. Commence par couper le reseau (au cas ou ce serait un trojan).
Verifie les badblocks de ton / tes disques, et tes logs à la recherche de
messages de desespoir du disque.
$ md5sum /bin/ps /bin/ps
$ dmesg
Note que la rayure du cd d'install est à exclure: tu n'arriverais pas à
lire le fichier, mais surtout il ne passerait pas le test de signature, et
donc rpm n'essaierait pas de l'installer.
Si c'est des badblocks... change de disque.
Dans tous les cas tu n'echappera pas à une reinstall je pense.
c'est qui 500:500 [ bertrand]# su 500 su: L'usager 500 n'existe pas.
c'est grave docteur?
ca sent un peu le trojan, mais bon , c'est 1 peu trop subtil pour ca je pense.
En fait je crois ton filesystem & par conséquence ton install pas mal vérolé. Commence par couper le reseau (au cas ou ce serait un trojan). Verifie les badblocks de ton / tes disques, et tes logs à la recherche de messages de desespoir du disque.
$ md5sum /bin/ps /bin/ps $ dmesg
Note que la rayure du cd d'install est à exclure: tu n'arriverais pas à lire le fichier, mais surtout il ne passerait pas le test de signature, et donc rpm n'essaierait pas de l'installer.
Si c'est des badblocks... change de disque.
Dans tous les cas tu n'echappera pas à une reinstall je pense.
Bertrand
Michel.
marmotte
On Wed, 22 Oct 2003 11:31:46 +0200 "bertrand" wrote:
[ snip ]
c'est qui 500:500 [ bertrand]# su 500 su: L'usager 500 n'existe pas.
Essayes de voir dans /etc/group si il y a un utilisateur 500. Si oui, vire le (je ne sais pas si ça peut destabiliser le système), re boote. Après ça, plus personne ne peut avoir les droits sur ce fichier (pas d'utilisateur 500 chargé en mémoire, le système ne peut se réf érencer à qqn). Essaye de le virer ensuite. Le coup du virus, je suis sceptique.
Tiens moi au courant.
A+
-- marmotte
On Wed, 22 Oct 2003 11:31:46 +0200
"bertrand" <sbbaril@wanadoo.fr> wrote:
[ snip ]
c'est qui 500:500
[root@hermione bertrand]# su 500
su: L'usager 500 n'existe pas.
Essayes de voir dans /etc/group si il y a un utilisateur 500.
Si oui, vire le (je ne sais pas si ça peut destabiliser le système), re boote. Après ça, plus personne ne peut avoir les droits sur ce fichier (pas d'utilisateur 500 chargé en mémoire, le système ne peut se réf érencer à qqn). Essaye de le virer ensuite.
Le coup du virus, je suis sceptique.
On Wed, 22 Oct 2003 11:31:46 +0200 "bertrand" wrote:
[ snip ]
c'est qui 500:500 [ bertrand]# su 500 su: L'usager 500 n'existe pas.
Essayes de voir dans /etc/group si il y a un utilisateur 500. Si oui, vire le (je ne sais pas si ça peut destabiliser le système), re boote. Après ça, plus personne ne peut avoir les droits sur ce fichier (pas d'utilisateur 500 chargé en mémoire, le système ne peut se réf érencer à qqn). Essaye de le virer ensuite. Le coup du virus, je suis sceptique.
Tiens moi au courant.
A+
-- marmotte
bertrand
Le Wed, 22 Oct 2003 12:11:58 +0200, marmotte disait :
Essayes de voir dans /etc/group si il y a un utilisateur 500. Si oui, vire le (je ne sais pas si ça peut destabiliser le système), reboote. Après ça, plus personne ne peut avoir les droits sur ce fichier (pas d'utilisateur 500 chargé en mémoire, le système ne peut se référencer à qqn). Essaye de le virer ensuite. Le coup du virus, je suis sceptique.
(attention, ton Sylpheed envoie des lignes > 80 carracteres)
Le Wed, 22 Oct 2003 12:11:58 +0200, marmotte disait :
Essayes de voir dans /etc/group si il y a un utilisateur 500.
Si oui, vire le (je ne sais pas si ça peut destabiliser le système),
reboote. Après ça, plus personne ne peut avoir les droits sur ce
fichier (pas d'utilisateur 500 chargé en mémoire, le système ne peut
se référencer à qqn). Essaye de le virer ensuite.
Le coup du virus, je suis sceptique.
Le Wed, 22 Oct 2003 12:11:58 +0200, marmotte disait :
Essayes de voir dans /etc/group si il y a un utilisateur 500. Si oui, vire le (je ne sais pas si ça peut destabiliser le système), reboote. Après ça, plus personne ne peut avoir les droits sur ce fichier (pas d'utilisateur 500 chargé en mémoire, le système ne peut se référencer à qqn). Essaye de le virer ensuite. Le coup du virus, je suis sceptique.
(attention, ton Sylpheed envoie des lignes > 80 carracteres)
bertrand
Le Wed, 22 Oct 2003 11:49:05 +0200, Michel Tatoute disait :
ca sent un peu le trojan, mais bon , c'est 1 peu trop subtil pour ca je pense.
En fait je crois ton filesystem & par conséquence ton install pas mal vérolé. Commence par couper le reseau (au cas ou ce serait un trojan). Verifie les badblocks de ton / tes disques, et tes logs à la recherche de messages de desespoir du disque.
$ md5sum /bin/ps /bin/ps $ dmesg
[ bertrand]# md5sum /bin/ps
ced323b51dc984f66c2695d8fd6a2368 /bin/ps
qui peu m'envoyer le sien que je compare ? [ bertrand]# ps -V procps version 2.0.6
Les rayures du cd, j'y crois pas non plus, c'était pour expliquer la démarche.
quant au dmesg, j'ai pas l'impression que sa couine :
hda: Maxtor 6Y080L0, ATA DISK drive hdb: FUJITSU MPG3409AH E, ATA DISK drive hdc: SAMSUNG CD-ROM SC-152C, ATAPI CD/DVD-ROM drive ide0 at 0x1f0-0x1f7,0x3f6 on irq 14 ide1 at 0x170-0x177,0x376 on irq 15 hda: 160086528 sectors (81964 MB) w/2048KiB Cache, CHS64/255/63, UDMA(33) hdb: 80063424 sectors (40992 MB) w/2048KiB Cache, CHSI83/255/63, UDMA(33) Partition check: /dev/ide/host0/bus0/target0/lun0: p1 p2 < p5 p6 > /dev/ide/host0/bus0/target1/lun0: p1 < p5 p6 p7 p8 > p2
sinon j'espere bien m'en sortir sans une réinstall, y tourne pas sous windows mon pc...
merci quand même,
-- bertrand, qui essaye d'eviter l'oxycoupeur pour arracher /bin/ps du HD.
Le Wed, 22 Oct 2003 11:49:05 +0200, Michel Tatoute disait :
ca sent un peu le trojan, mais bon , c'est 1 peu trop subtil pour ca je
pense.
En fait je crois ton filesystem & par conséquence ton install pas mal
vérolé. Commence par couper le reseau (au cas ou ce serait un trojan).
Verifie les badblocks de ton / tes disques, et tes logs à la recherche de
messages de desespoir du disque.
$ md5sum /bin/ps /bin/ps
$ dmesg
[root@hermione bertrand]# md5sum /bin/ps
ced323b51dc984f66c2695d8fd6a2368 /bin/ps
qui peu m'envoyer le sien que je compare ?
[root@hermione bertrand]# ps -V
procps version 2.0.6
Les rayures du cd, j'y crois pas non plus, c'était pour expliquer la
démarche.
quant au dmesg, j'ai pas l'impression que sa couine :
hda: Maxtor 6Y080L0, ATA DISK drive
hdb: FUJITSU MPG3409AH E, ATA DISK drive
hdc: SAMSUNG CD-ROM SC-152C, ATAPI CD/DVD-ROM drive
ide0 at 0x1f0-0x1f7,0x3f6 on irq 14
ide1 at 0x170-0x177,0x376 on irq 15
hda: 160086528 sectors (81964 MB) w/2048KiB Cache, CHS64/255/63, UDMA(33)
hdb: 80063424 sectors (40992 MB) w/2048KiB Cache, CHSI83/255/63, UDMA(33)
Partition check:
/dev/ide/host0/bus0/target0/lun0: p1 p2 < p5 p6 >
/dev/ide/host0/bus0/target1/lun0: p1 < p5 p6 p7 p8 > p2
sinon j'espere bien m'en sortir sans une réinstall, y tourne pas sous
windows mon pc...
merci quand même,
--
bertrand, qui essaye d'eviter l'oxycoupeur pour arracher /bin/ps du HD.
Le Wed, 22 Oct 2003 11:49:05 +0200, Michel Tatoute disait :
ca sent un peu le trojan, mais bon , c'est 1 peu trop subtil pour ca je pense.
En fait je crois ton filesystem & par conséquence ton install pas mal vérolé. Commence par couper le reseau (au cas ou ce serait un trojan). Verifie les badblocks de ton / tes disques, et tes logs à la recherche de messages de desespoir du disque.
$ md5sum /bin/ps /bin/ps $ dmesg
[ bertrand]# md5sum /bin/ps
ced323b51dc984f66c2695d8fd6a2368 /bin/ps
qui peu m'envoyer le sien que je compare ? [ bertrand]# ps -V procps version 2.0.6
Les rayures du cd, j'y crois pas non plus, c'était pour expliquer la démarche.
quant au dmesg, j'ai pas l'impression que sa couine :
hda: Maxtor 6Y080L0, ATA DISK drive hdb: FUJITSU MPG3409AH E, ATA DISK drive hdc: SAMSUNG CD-ROM SC-152C, ATAPI CD/DVD-ROM drive ide0 at 0x1f0-0x1f7,0x3f6 on irq 14 ide1 at 0x170-0x177,0x376 on irq 15 hda: 160086528 sectors (81964 MB) w/2048KiB Cache, CHS64/255/63, UDMA(33) hdb: 80063424 sectors (40992 MB) w/2048KiB Cache, CHSI83/255/63, UDMA(33) Partition check: /dev/ide/host0/bus0/target0/lun0: p1 p2 < p5 p6 > /dev/ide/host0/bus0/target1/lun0: p1 < p5 p6 p7 p8 > p2
sinon j'espere bien m'en sortir sans une réinstall, y tourne pas sous windows mon pc...
merci quand même,
-- bertrand, qui essaye d'eviter l'oxycoupeur pour arracher /bin/ps du HD.
Le Wed, 22 Oct 2003 11:49:05 +0200, Michel Tatoute disait :
ca sent un peu le trojan, mais bon , c'est 1 peu trop subtil pour ca je pense.
En fait je crois ton filesystem & par conséquence ton install pas mal vérolé. Commence par couper le reseau (au cas ou ce serait un trojan). Verifie les badblocks de ton / tes disques, et tes logs à la recherche de messages de desespoir du disque.
$ md5sum /bin/ps /bin/ps $ dmesg
[ bertrand]# md5sum /bin/ps
ced323b51dc984f66c2695d8fd6a2368 /bin/ps
qui peu m'envoyer le sien que je compare ?
$ ls -li /bin/ps 43553 -r-xr-xr-x 1 root root 61708 mar 4 2003 /bin/ps* $ /bin/ps -V procps version 3.1.6 $ rpm -qf /bin/ps procps-3.1.6-2mdk $ md5sum /bin/ps 67ac1bd441464dc9cbbaef5416ff3a24 /bin/ps $ ls /bin/ps* /bin/ps* $
ton disque semble bien aller à priori
J'aimerais que tu teste ces curieux fichiers ps..... en plus, en particulier:
$ md5sum '/bin/ps;3f964909' $ '/bin/ps;3f964909' -V $ ls -li /bin/ps* $ ls -lid /bin
il me semble bien que c'est les futurs ps que rpm s'apprétait à installer.
Bon, comme solution je te suggère simplement: # mv /bin/ps /bin/veroled_ps # urpmi procps-3.1.6-2mdk
ou encore si mv résiste:
lancer un linux de secours (install / rescue)
monter / dans /mnt # cd /mnt # mv ./bin ./old_bin # mkdir bin # mv ./old_bin/* ./bin/ # ln './bin/ps;3f964909' ./bin/ps # cd / # umount /mnt
Le Wed, 22 Oct 2003 11:49:05 +0200, Michel Tatoute disait :
ca sent un peu le trojan, mais bon , c'est 1 peu trop subtil pour ca je
pense.
En fait je crois ton filesystem & par conséquence ton install pas mal
vérolé. Commence par couper le reseau (au cas ou ce serait un trojan).
Verifie les badblocks de ton / tes disques, et tes logs à la recherche de
messages de desespoir du disque.
$ md5sum /bin/ps /bin/ps
$ dmesg
[root@hermione bertrand]# md5sum /bin/ps
ced323b51dc984f66c2695d8fd6a2368 /bin/ps
qui peu m'envoyer le sien que je compare ?
$ ls -li /bin/ps
43553 -r-xr-xr-x 1 root root 61708 mar 4 2003 /bin/ps*
$ /bin/ps -V
procps version 3.1.6
$ rpm -qf /bin/ps
procps-3.1.6-2mdk
$ md5sum /bin/ps
67ac1bd441464dc9cbbaef5416ff3a24 /bin/ps
$ ls /bin/ps*
/bin/ps*
$
ton disque semble bien aller à priori
J'aimerais que tu teste ces curieux fichiers ps..... en plus,
en particulier:
$ md5sum '/bin/ps;3f964909'
$ '/bin/ps;3f964909' -V
$ ls -li /bin/ps*
$ ls -lid /bin
il me semble bien que c'est les futurs ps que rpm s'apprétait à installer.
Bon, comme solution je te suggère simplement:
# mv /bin/ps /bin/veroled_ps
# urpmi procps-3.1.6-2mdk
ou encore si mv résiste:
lancer un linux de secours (install / rescue)
monter / dans /mnt
# cd /mnt
# mv ./bin ./old_bin
# mkdir bin
# mv ./old_bin/* ./bin/
# ln './bin/ps;3f964909' ./bin/ps
# cd /
# umount /mnt
Le Wed, 22 Oct 2003 11:49:05 +0200, Michel Tatoute disait :
ca sent un peu le trojan, mais bon , c'est 1 peu trop subtil pour ca je pense.
En fait je crois ton filesystem & par conséquence ton install pas mal vérolé. Commence par couper le reseau (au cas ou ce serait un trojan). Verifie les badblocks de ton / tes disques, et tes logs à la recherche de messages de desespoir du disque.
$ md5sum /bin/ps /bin/ps $ dmesg
[ bertrand]# md5sum /bin/ps
ced323b51dc984f66c2695d8fd6a2368 /bin/ps
qui peu m'envoyer le sien que je compare ?
$ ls -li /bin/ps 43553 -r-xr-xr-x 1 root root 61708 mar 4 2003 /bin/ps* $ /bin/ps -V procps version 3.1.6 $ rpm -qf /bin/ps procps-3.1.6-2mdk $ md5sum /bin/ps 67ac1bd441464dc9cbbaef5416ff3a24 /bin/ps $ ls /bin/ps* /bin/ps* $
ton disque semble bien aller à priori
J'aimerais que tu teste ces curieux fichiers ps..... en plus, en particulier:
$ md5sum '/bin/ps;3f964909' $ '/bin/ps;3f964909' -V $ ls -li /bin/ps* $ ls -lid /bin
il me semble bien que c'est les futurs ps que rpm s'apprétait à installer.
Bon, comme solution je te suggère simplement: # mv /bin/ps /bin/veroled_ps # urpmi procps-3.1.6-2mdk
ou encore si mv résiste:
lancer un linux de secours (install / rescue)
monter / dans /mnt # cd /mnt # mv ./bin ./old_bin # mkdir bin # mv ./old_bin/* ./bin/ # ln './bin/ps;3f964909' ./bin/ps # cd / # umount /mnt
ca devrait le faire....
Michel.
bertrand
Le Wed, 22 Oct 2003 15:37:44 +0200, Michel Tatoute disait :
$ ls -li /bin/ps 43553 -r-xr-xr-x 1 root root 61708 mar 4 2003 /bin/ps* $ /bin/ps -V procps version 3.1.6 $ rpm -qf /bin/ps procps-3.1.6-2mdk $ md5sum /bin/ps 67ac1bd441464dc9cbbaef5416ff3a24 /bin/ps $ ls /bin/ps* /bin/ps* $
merci, mais pour voir si il est verolé, il me faut un md5 sur le meme fichier, ie meme version (je n'en suis pas sur, car je pense que la version du compilateur influe, des bibliotheque aussi...) mon ps doit normalement venir d'une mdk 9.0 si mes souvenirs sont bons.
ton disque semble bien aller à priori
J'aimerais que tu teste ces curieux fichiers ps..... en plus, en particulier:
$ md5sum '/bin/ps;3f964909' $ '/bin/ps;3f964909' -V $ ls -li /bin/ps* $ ls -lid /bin
il me semble bien que c'est les futurs ps que rpm s'apprétait à installer.
sans doute...
Bon, comme solution je te suggère simplement: # mv /bin/ps /bin/veroled_ps # urpmi procps-3.1.6-2mdk
non : deja essayé ..
ou encore si mv résiste:
lancer un linux de secours (install / rescue)
monter / dans /mnt # cd /mnt # mv ./bin ./old_bin # mkdir bin # mv ./old_bin/* ./bin/ # ln './bin/ps;3f964909' ./bin/ps # cd / # umount /mnt
ca devrait le faire....
je vais essayer, mais j'ai peu d'espoir. il faut aussi que je prennent qques precautions, j'ai une centaine de Go dont la perte me chagrinerait un peu. Surtout que à par des messages au boot, je ne suis pas gene. (mais j'ai peur d'un rootkit....)
Une petite question : pourquoi les droits d'acces changent si je monte /bin dans /mnt?
-- bertrand, dubitatif...
Le Wed, 22 Oct 2003 15:37:44 +0200, Michel Tatoute disait :
$ ls -li /bin/ps
43553 -r-xr-xr-x 1 root root 61708 mar 4 2003 /bin/ps*
$ /bin/ps -V
procps version 3.1.6
$ rpm -qf /bin/ps
procps-3.1.6-2mdk
$ md5sum /bin/ps
67ac1bd441464dc9cbbaef5416ff3a24 /bin/ps
$ ls /bin/ps*
/bin/ps*
$
merci, mais pour voir si il est verolé, il me faut un md5 sur le meme
fichier, ie meme version (je n'en suis pas sur, car je pense que la
version du compilateur influe, des bibliotheque aussi...)
mon ps doit normalement venir d'une mdk 9.0 si mes souvenirs sont bons.
ton disque semble bien aller à priori
J'aimerais que tu teste ces curieux fichiers ps..... en plus,
en particulier:
$ md5sum '/bin/ps;3f964909'
$ '/bin/ps;3f964909' -V
$ ls -li /bin/ps*
$ ls -lid /bin
il me semble bien que c'est les futurs ps que rpm s'apprétait à installer.
sans doute...
Bon, comme solution je te suggère simplement:
# mv /bin/ps /bin/veroled_ps
# urpmi procps-3.1.6-2mdk
non : deja essayé ..
ou encore si mv résiste:
lancer un linux de secours (install / rescue)
monter / dans /mnt
# cd /mnt
# mv ./bin ./old_bin
# mkdir bin
# mv ./old_bin/* ./bin/
# ln './bin/ps;3f964909' ./bin/ps
# cd /
# umount /mnt
ca devrait le faire....
je vais essayer, mais j'ai peu d'espoir. il faut aussi que je prennent
qques precautions, j'ai une centaine de Go dont la perte me chagrinerait
un peu. Surtout que à par des messages au boot, je ne suis pas gene.
(mais j'ai peur d'un rootkit....)
Une petite question : pourquoi les droits d'acces changent si je monte
/bin dans /mnt?
$ ls -li /bin/ps 43553 -r-xr-xr-x 1 root root 61708 mar 4 2003 /bin/ps* $ /bin/ps -V procps version 3.1.6 $ rpm -qf /bin/ps procps-3.1.6-2mdk $ md5sum /bin/ps 67ac1bd441464dc9cbbaef5416ff3a24 /bin/ps $ ls /bin/ps* /bin/ps* $
merci, mais pour voir si il est verolé, il me faut un md5 sur le meme fichier, ie meme version (je n'en suis pas sur, car je pense que la version du compilateur influe, des bibliotheque aussi...) mon ps doit normalement venir d'une mdk 9.0 si mes souvenirs sont bons.
ton disque semble bien aller à priori
J'aimerais que tu teste ces curieux fichiers ps..... en plus, en particulier:
$ md5sum '/bin/ps;3f964909' $ '/bin/ps;3f964909' -V $ ls -li /bin/ps* $ ls -lid /bin
il me semble bien que c'est les futurs ps que rpm s'apprétait à installer.
sans doute...
Bon, comme solution je te suggère simplement: # mv /bin/ps /bin/veroled_ps # urpmi procps-3.1.6-2mdk
non : deja essayé ..
ou encore si mv résiste:
lancer un linux de secours (install / rescue)
monter / dans /mnt # cd /mnt # mv ./bin ./old_bin # mkdir bin # mv ./old_bin/* ./bin/ # ln './bin/ps;3f964909' ./bin/ps # cd / # umount /mnt
ca devrait le faire....
je vais essayer, mais j'ai peu d'espoir. il faut aussi que je prennent qques precautions, j'ai une centaine de Go dont la perte me chagrinerait un peu. Surtout que à par des messages au boot, je ne suis pas gene. (mais j'ai peur d'un rootkit....)
Une petite question : pourquoi les droits d'acces changent si je monte /bin dans /mnt?
-- bertrand, dubitatif...
Kevin
Le Wed, 22 Oct 2003 11:31:46 +0200, bertrand a ecrit: | | voici l'etat de mon ps | | -rwxr-xr-x 1 500 500 62920 Mar 4 2003 ps | -rw-r--r-- 1 root root 67468 Sep 13 17:19 ps;3f63357e | -rw-rw-r-- 1 root root 61708 Oct 22 11:02 ps;3f9647c0 | -rw-rw-r-- 1 root root 61708 Oct 22 11:03 ps;3f9647d1 | -rw-r--r-- 1 root root 61708 Oct 22 11:06 ps;3f964880 | -rw-r--r-- 1 root root 61708 Oct 22 11:08 ps;3f964909 | *tout* ces ps ?
| j'ai essayé ça : | | [ bertrand]# rm /bin/ps | rm: détruire un fichier protégé en écriture fichier régulier `/bin/ps'? o | rm: ne peut enlever `/bin/ps': Operation not permitted | [ bertrand]# chmod a+w /bin/ps | chmod: modification des permissions de `/bin/ps': Operation not permitted | [ bertrand]# chown root /bin/ps | chown: changement de propriétaire pour `/bin/ps': Operation not permitted | et lsattr /bin/ps dit quoi?
| c'est qui 500:500
grep 500 /etc/passwd
| [ bertrand]# su 500 | su: L'usager 500 n'existe pas. | | c'est grave docteur? | rootkit ?
-- Kevin Tu disais que quoi pouvais faire tomber le reseau? -+- Les 100 choses que vous n'aimez pas entendre de la part du sysadmin -+-
Le Wed, 22 Oct 2003 11:31:46 +0200, bertrand a ecrit:
|
| voici l'etat de mon ps
|
| -rwxr-xr-x 1 500 500 62920 Mar 4 2003 ps
| -rw-r--r-- 1 root root 67468 Sep 13 17:19 ps;3f63357e
| -rw-rw-r-- 1 root root 61708 Oct 22 11:02 ps;3f9647c0
| -rw-rw-r-- 1 root root 61708 Oct 22 11:03 ps;3f9647d1
| -rw-r--r-- 1 root root 61708 Oct 22 11:06 ps;3f964880
| -rw-r--r-- 1 root root 61708 Oct 22 11:08 ps;3f964909
|
*tout* ces ps ?
| j'ai essayé ça :
|
| [root@hermione bertrand]# rm /bin/ps
| rm: détruire un fichier protégé en écriture fichier régulier `/bin/ps'? o
| rm: ne peut enlever `/bin/ps': Operation not permitted
| [root@hermione bertrand]# chmod a+w /bin/ps
| chmod: modification des permissions de `/bin/ps': Operation not permitted
| [root@hermione bertrand]# chown root /bin/ps
| chown: changement de propriétaire pour `/bin/ps': Operation not permitted
|
et lsattr /bin/ps dit quoi?
| c'est qui 500:500
grep 500 /etc/passwd
| [root@hermione bertrand]# su 500
| su: L'usager 500 n'existe pas.
|
| c'est grave docteur?
|
rootkit ?
--
Kevin
Tu disais que quoi pouvais faire tomber le reseau?
-+- Les 100 choses que vous n'aimez pas entendre de la part du sysadmin -+-
Le Wed, 22 Oct 2003 11:31:46 +0200, bertrand a ecrit: | | voici l'etat de mon ps | | -rwxr-xr-x 1 500 500 62920 Mar 4 2003 ps | -rw-r--r-- 1 root root 67468 Sep 13 17:19 ps;3f63357e | -rw-rw-r-- 1 root root 61708 Oct 22 11:02 ps;3f9647c0 | -rw-rw-r-- 1 root root 61708 Oct 22 11:03 ps;3f9647d1 | -rw-r--r-- 1 root root 61708 Oct 22 11:06 ps;3f964880 | -rw-r--r-- 1 root root 61708 Oct 22 11:08 ps;3f964909 | *tout* ces ps ?
| j'ai essayé ça : | | [ bertrand]# rm /bin/ps | rm: détruire un fichier protégé en écriture fichier régulier `/bin/ps'? o | rm: ne peut enlever `/bin/ps': Operation not permitted | [ bertrand]# chmod a+w /bin/ps | chmod: modification des permissions de `/bin/ps': Operation not permitted | [ bertrand]# chown root /bin/ps | chown: changement de propriétaire pour `/bin/ps': Operation not permitted | et lsattr /bin/ps dit quoi?
| c'est qui 500:500
grep 500 /etc/passwd
| [ bertrand]# su 500 | su: L'usager 500 n'existe pas. | | c'est grave docteur? | rootkit ?
-- Kevin Tu disais que quoi pouvais faire tomber le reseau? -+- Les 100 choses que vous n'aimez pas entendre de la part du sysadmin -+-
marmotte
On Wed, 22 Oct 2003 14:27:06 +0200 "bertrand" wrote:
(attention, ton Sylpheed envoie des lignes > 80 carracteres)
Désolé, j'avais pas vu que l'option avait été désactivée. J'ai aussi eu des pb ces derniers temps, et j'ai du tout réinstaller...
Bon courage !
-- marmotte
On Wed, 22 Oct 2003 14:27:06 +0200
"bertrand" <sbbaril@wanadoo.fr> wrote:
(attention, ton Sylpheed envoie des lignes > 80 carracteres)
Désolé, j'avais pas vu que l'option avait été désactivée.
J'ai aussi eu des pb ces derniers temps, et j'ai du tout réinstaller...
On Wed, 22 Oct 2003 14:27:06 +0200 "bertrand" wrote:
(attention, ton Sylpheed envoie des lignes > 80 carracteres)
Désolé, j'avais pas vu que l'option avait été désactivée. J'ai aussi eu des pb ces derniers temps, et j'ai du tout réinstaller...
Bon courage !
-- marmotte
g.patel
On Wed, 22 Oct 2003 18:05:56 +0200, "bertrand" wrote:
merci, mais pour voir si il est verolé, il me faut un md5 sur le meme fichier, ie meme version (je n'en suis pas sur, car je pense que la version du compilateur influe, des bibliotheque aussi...) mon ps doit normalement venir d'une mdk 9.0 si mes souvenirs sont bons.
Je crois que ce ps est une Mandrake 9.0 d'origine (pas certain à 100%...). Dans la mesure ou on fait confiance à rpm, il est possible de l'utiliser pour controler la validité des fichiers installés (rpm -V)
Cela dit, le changement de propriétaire suggère un rootkit. Il serait amusant de récupérer un ps 'sur' depuis le cdrom ou un site miroir et de comparer avec le ps installé; si on voit des processus en plus avec le ps d'origine, la machine est capturée.
(...)
Une petite question : pourquoi les droits d'acces changent si je monte /bin dans /mnt?
parce que les droits sont basés sur le numéro d'utilisateur, et qu'un numéro d'utilisateur peut avoir des droits (groupes) différents d'une installation à l'autre ?
Gerard
On Wed, 22 Oct 2003 18:05:56 +0200, "bertrand" <sbbaril@wanadoo.fr>
wrote:
merci, mais pour voir si il est verolé, il me faut un md5 sur le meme
fichier, ie meme version (je n'en suis pas sur, car je pense que la
version du compilateur influe, des bibliotheque aussi...)
mon ps doit normalement venir d'une mdk 9.0 si mes souvenirs sont bons.
Je crois que ce ps est une Mandrake 9.0 d'origine (pas certain
à 100%...). Dans la mesure ou on fait confiance à rpm, il est
possible de l'utiliser pour controler la validité des fichiers
installés (rpm -V)
Cela dit, le changement de propriétaire suggère un rootkit.
Il serait amusant de récupérer un ps 'sur' depuis le cdrom
ou un site miroir et de comparer avec le ps installé; si on
voit des processus en plus avec le ps d'origine, la machine
est capturée.
(...)
Une petite question : pourquoi les droits d'acces changent si je monte
/bin dans /mnt?
parce que les droits sont basés sur le numéro d'utilisateur, et
qu'un numéro d'utilisateur peut avoir des droits (groupes)
différents d'une installation à l'autre ?
On Wed, 22 Oct 2003 18:05:56 +0200, "bertrand" wrote:
merci, mais pour voir si il est verolé, il me faut un md5 sur le meme fichier, ie meme version (je n'en suis pas sur, car je pense que la version du compilateur influe, des bibliotheque aussi...) mon ps doit normalement venir d'une mdk 9.0 si mes souvenirs sont bons.
Je crois que ce ps est une Mandrake 9.0 d'origine (pas certain à 100%...). Dans la mesure ou on fait confiance à rpm, il est possible de l'utiliser pour controler la validité des fichiers installés (rpm -V)
Cela dit, le changement de propriétaire suggère un rootkit. Il serait amusant de récupérer un ps 'sur' depuis le cdrom ou un site miroir et de comparer avec le ps installé; si on voit des processus en plus avec le ps d'origine, la machine est capturée.
(...)
Une petite question : pourquoi les droits d'acces changent si je monte /bin dans /mnt?
parce que les droits sont basés sur le numéro d'utilisateur, et qu'un numéro d'utilisateur peut avoir des droits (groupes) différents d'une installation à l'autre ?
Gerard
bertrand
Le Wed, 22 Oct 2003 17:07:14 +0000, Kevin DENIS disait :
*tout* ces ps ?
je pense que c'est des essais avortés de urpmi
et lsattr /bin/ps dit quoi?
[ bertrand]# lsattr /bin/ps suS-iadAc---- /bin/ps
bingo!
apres un chattr bien senti c'est revenu dans l'ordre [ bertrand]# urpmi /home/bertrand/RPM/procps-3.1.6-2mdk.i586.rpm error: read failed: Is a directory (21) installation de /home/bertrand/RPM/procps-3.1.6-2mdk.i586.rpm
Préparation... ################################################## 1:procps ################################################## /sbin/ldconfig: File /lib/libext-2.so.7 is too small, not checked.
rootkit ? j'y pense aussi, je cours tout de suite dans ma pile de misc...
j'ai un peu de menage à faire...
merci Kevin
-- bertrand,
Le Wed, 22 Oct 2003 17:07:14 +0000, Kevin DENIS disait :
apres un chattr bien senti c'est revenu dans l'ordre
[root@hermione bertrand]# urpmi /home/bertrand/RPM/procps-3.1.6-2mdk.i586.rpm
error: read failed: Is a directory (21)
installation de /home/bertrand/RPM/procps-3.1.6-2mdk.i586.rpm
Préparation... ##################################################
1:procps ##################################################
/sbin/ldconfig: File /lib/libext-2.so.7 is too small, not checked.
rootkit ?
j'y pense aussi, je cours tout de suite dans ma pile de misc...
Le Wed, 22 Oct 2003 17:07:14 +0000, Kevin DENIS disait :
*tout* ces ps ?
je pense que c'est des essais avortés de urpmi
et lsattr /bin/ps dit quoi?
[ bertrand]# lsattr /bin/ps suS-iadAc---- /bin/ps
bingo!
apres un chattr bien senti c'est revenu dans l'ordre [ bertrand]# urpmi /home/bertrand/RPM/procps-3.1.6-2mdk.i586.rpm error: read failed: Is a directory (21) installation de /home/bertrand/RPM/procps-3.1.6-2mdk.i586.rpm
Préparation... ################################################## 1:procps ################################################## /sbin/ldconfig: File /lib/libext-2.so.7 is too small, not checked.
rootkit ? j'y pense aussi, je cours tout de suite dans ma pile de misc...
