depuis qque temps j'ai un message d'alerte au boot relatif à l'absence de
libproc.3.1.6 , ce que j'ai verifié dans /lib/
-rwxr-xr-x 1 root root 33848 Sep 9 2000 libproc.a
-rwxr-xr-x 1 root root 37984 Sep 9 2000 libproc.so.2.0.6
j'ai une mdk 9.1 (noyau 2.4.19 pour des raisons de drivers modem pci)
j'ai essayé de reinstaller le paquetage procps de ma distribution (cd de
linux CD) sans resultat. j'ai pensé à une rayure du CD, l'installation se
bloque.
j'ai chargé procps-3.1.6-2mdk.i586.rpm et tenté :
[root@hermione bertrand]# urpmi /home/bertrand/RPM/procps-3.1.6-2mdk.i586.rpm
error: read failed: Is a directory (21)
installation de /home/bertrand/RPM/procps-3.1.6-2mdk.i586.rpm
Préparation... ##################################################
1:procps ############error: unpacking of archive failed on file /bin/ps: cpio: rename failed - Operation not permitted
[root@hermione bertrand]# rm /bin/ps
rm: détruire un fichier protégé en écriture fichier régulier `/bin/ps'? o
rm: ne peut enlever `/bin/ps': Operation not permitted
[root@hermione bertrand]# chmod a+w /bin/ps
chmod: modification des permissions de `/bin/ps': Operation not permitted
[root@hermione bertrand]# chown root /bin/ps
chown: changement de propriétaire pour `/bin/ps': Operation not permitted
c'est qui 500:500
[root@hermione bertrand]# su 500
su: L'usager 500 n'existe pas.
Le Wed, 22 Oct 2003 22:10:44 +0200, bertrand a ecrit: | |> rootkit ? | j'y pense aussi, je cours tout de suite dans ma pile de misc... | deja, tu peux verifier si ta carte se met bien en promiscuous. tapes tcpdump en root, puis ifconfig. Si on ne voit pas que c'est PROMISCUOUS, ni dans les logs, c'est que ton binaire ifconfig est verole; cela peut aussi vouloir dire que la carte sniffe tout le reseau depuis pas mal de temps. Recuperes un binaire find fiable (depuis le rpm du CD, quoi) et fais une recherche sur les fichiers qui appartiennent a l'user 500. Il y a des risques que le binaire find soit verole pour cacher les fichiers d'uid 500 depuis une autre machine, lance un gros nmap pour voir les serveurs en ecoute, etc..
| j'ai un peu de menage à faire... | bah, ls, ps, find, ifconfig, netstat etc... fr.comp.securite ?
-- Kevin MerdMerdMerdMerdMEEEEERD! [appuis frenetiques sur ^C] -+- Les 100 choses que vous n'aimez pas entendre de la part du sysadmin -+-
Le Wed, 22 Oct 2003 22:10:44 +0200, bertrand a ecrit:
|
|> rootkit ?
| j'y pense aussi, je cours tout de suite dans ma pile de misc...
|
deja, tu peux verifier si ta carte se met bien en promiscuous.
tapes tcpdump en root, puis ifconfig. Si on ne voit pas que c'est
PROMISCUOUS, ni dans les logs, c'est que ton binaire ifconfig est
verole; cela peut aussi vouloir dire que la carte sniffe tout le
reseau depuis pas mal de temps.
Recuperes un binaire find fiable (depuis le rpm du CD, quoi) et
fais une recherche sur les fichiers qui appartiennent a l'user 500.
Il y a des risques que le binaire find soit verole pour cacher les
fichiers d'uid 500
depuis une autre machine, lance un gros nmap pour voir les serveurs
en ecoute, etc..
| j'ai un peu de menage à faire...
|
bah, ls, ps, find, ifconfig, netstat etc...
fr.comp.securite ?
--
Kevin
MerdMerdMerdMerdMEEEEERD! [appuis frenetiques sur ^C]
-+- Les 100 choses que vous n'aimez pas entendre de la part du sysadmin -+-
Le Wed, 22 Oct 2003 22:10:44 +0200, bertrand a ecrit: | |> rootkit ? | j'y pense aussi, je cours tout de suite dans ma pile de misc... | deja, tu peux verifier si ta carte se met bien en promiscuous. tapes tcpdump en root, puis ifconfig. Si on ne voit pas que c'est PROMISCUOUS, ni dans les logs, c'est que ton binaire ifconfig est verole; cela peut aussi vouloir dire que la carte sniffe tout le reseau depuis pas mal de temps. Recuperes un binaire find fiable (depuis le rpm du CD, quoi) et fais une recherche sur les fichiers qui appartiennent a l'user 500. Il y a des risques que le binaire find soit verole pour cacher les fichiers d'uid 500 depuis une autre machine, lance un gros nmap pour voir les serveurs en ecoute, etc..
| j'ai un peu de menage à faire... | bah, ls, ps, find, ifconfig, netstat etc... fr.comp.securite ?
-- Kevin MerdMerdMerdMerdMEEEEERD! [appuis frenetiques sur ^C] -+- Les 100 choses que vous n'aimez pas entendre de la part du sysadmin -+-
bertrand
Le Wed, 22 Oct 2003 21:10:17 +0000, Kevin DENIS disait :
deja, tu peux verifier si ta carte se met bien en promiscuous. tapes tcpdump en root, puis ifconfig. Si on ne voit pas que c'est PROMISCUOUS, ni dans les logs, c'est que ton binaire ifconfig est verole; cela peut aussi vouloir dire que la carte sniffe tout le reseau depuis pas mal de temps.
je ne sais pas ce qu'est promiscuous, dois-je faire un grep sur la sortie de tcpdump pour marquer ces ligne?
bah, ls, ps, find, ifconfig, netstat etc... fr.comp.securite ? je vais lire aussi 'halte aux hackers' ...
merci, bertrand
Le Wed, 22 Oct 2003 21:10:17 +0000, Kevin DENIS disait :
deja, tu peux verifier si ta carte se met bien en promiscuous.
tapes tcpdump en root, puis ifconfig. Si on ne voit pas que c'est
PROMISCUOUS, ni dans les logs, c'est que ton binaire ifconfig est
verole; cela peut aussi vouloir dire que la carte sniffe tout le
reseau depuis pas mal de temps.
je ne sais pas ce qu'est promiscuous, dois-je faire un grep sur la sortie
de tcpdump pour marquer ces ligne?
bah, ls, ps, find, ifconfig, netstat etc...
fr.comp.securite ?
je vais lire aussi 'halte aux hackers' ...
Le Wed, 22 Oct 2003 21:10:17 +0000, Kevin DENIS disait :
deja, tu peux verifier si ta carte se met bien en promiscuous. tapes tcpdump en root, puis ifconfig. Si on ne voit pas que c'est PROMISCUOUS, ni dans les logs, c'est que ton binaire ifconfig est verole; cela peut aussi vouloir dire que la carte sniffe tout le reseau depuis pas mal de temps.
je ne sais pas ce qu'est promiscuous, dois-je faire un grep sur la sortie de tcpdump pour marquer ces ligne?
bah, ls, ps, find, ifconfig, netstat etc... fr.comp.securite ? je vais lire aussi 'halte aux hackers' ...
merci, bertrand
Kevin
Le Thu, 23 Oct 2003 15:49:37 +0200, bertrand a ecrit: | |> deja, tu peux verifier si ta carte se met bien en promiscuous. |> tapes tcpdump en root, puis ifconfig. Si on ne voit pas que c'est |> PROMISCUOUS, ni dans les logs, c'est que ton binaire ifconfig est |> verole; cela peut aussi vouloir dire que la carte sniffe tout le |> reseau depuis pas mal de temps. | | je ne sais pas ce qu'est promiscuous, dois-je faire un grep sur la sortie | de tcpdump pour marquer ces ligne? | Si je lance tcpdump, l'interface est placee dans un mode promiscuous: cf les logs: Oct 23 10:38:16 slackware kernel: device eth0 entered promiscuous mode Et si ca n'apparait, il y a vraisemblablement un probleme.:
-- Kevin Je ne pensais que plus personne ne travaillait a 2h du mat, alors j'ai tue tes processus. -+- Les 100 choses que vous n'aimez pas entendre de la part du sysadmin -+-
Le Thu, 23 Oct 2003 15:49:37 +0200, bertrand a ecrit:
|
|> deja, tu peux verifier si ta carte se met bien en promiscuous.
|> tapes tcpdump en root, puis ifconfig. Si on ne voit pas que c'est
|> PROMISCUOUS, ni dans les logs, c'est que ton binaire ifconfig est
|> verole; cela peut aussi vouloir dire que la carte sniffe tout le
|> reseau depuis pas mal de temps.
|
| je ne sais pas ce qu'est promiscuous, dois-je faire un grep sur la sortie
| de tcpdump pour marquer ces ligne?
|
Si je lance tcpdump, l'interface est placee dans un mode promiscuous:
cf les logs:
Oct 23 10:38:16 slackware kernel: device eth0 entered promiscuous mode
Et si ca n'apparait, il y a vraisemblablement un probleme.:
--
Kevin
Je ne pensais que plus personne ne travaillait a 2h du mat, alors j'ai tue
tes processus.
-+- Les 100 choses que vous n'aimez pas entendre de la part du sysadmin -+-
Le Thu, 23 Oct 2003 15:49:37 +0200, bertrand a ecrit: | |> deja, tu peux verifier si ta carte se met bien en promiscuous. |> tapes tcpdump en root, puis ifconfig. Si on ne voit pas que c'est |> PROMISCUOUS, ni dans les logs, c'est que ton binaire ifconfig est |> verole; cela peut aussi vouloir dire que la carte sniffe tout le |> reseau depuis pas mal de temps. | | je ne sais pas ce qu'est promiscuous, dois-je faire un grep sur la sortie | de tcpdump pour marquer ces ligne? | Si je lance tcpdump, l'interface est placee dans un mode promiscuous: cf les logs: Oct 23 10:38:16 slackware kernel: device eth0 entered promiscuous mode Et si ca n'apparait, il y a vraisemblablement un probleme.:
-- Kevin Je ne pensais que plus personne ne travaillait a 2h du mat, alors j'ai tue tes processus. -+- Les 100 choses que vous n'aimez pas entendre de la part du sysadmin -+-
