Sioux: repérer l'exécution d'une commande à une heure donnée

12 réponses
Avatar
meta
Bonjour,

Je cherche à jouer les inspecteurs Colombo afin de retrouver qui peut bien
détruire un fichier tous les jours à heure fixe.

Le crontab et les scripts associés ont déjà été explorés à fond sans
permettre de résoudre le mystère, ainsi que le journal système.

Ma question est donc: comment faire pour capturer la liste de toute commande
rm qui serait déclenchée par exemple entre h - 1 seconde et h + 1 seconde,
ou même tout process tournant dans cet intervalle ? (Sans être root).

Merci pour toute aide.

10 réponses

1 2
Avatar
Marc
Bonsoir,

Le 23/02/2012 20:15, meta a écrit :
Bonjour,

Je cherche à jouer les inspecteurs Colombo afin de retrouver qui peut
bien détruire un fichier tous les jours à heure fixe.



strace -e trace=unlink /path_to_file/file_name

Pour contrôler tous les accès a ce fichier, pas seulement unlink :

strace -e trace=file /path_to_file/file_name

Marc
Avatar
Alain Ketterlin
"meta" writes:

Je cherche à jouer les inspecteurs Colombo afin de retrouver qui peut
bien détruire un fichier tous les jours à heure fixe.

Le crontab et les scripts associés ont déjà été explorés à fond sans
permettre de résoudre le mystère, ainsi que le journal systà ¨me.

Ma question est donc: comment faire pour capturer la liste de toute
commande rm qui serait déclenchée par exemple entre h - 1 secon de et h
+ 1 seconde, ou même tout process tournant dans cet intervalle ? (Sa ns
être root).



Si c'est linux, tu peux essayer inotify (man 7 inotify). Il semble qu'il
y ait des inotify-tools, sinon il te faudra écrire un petit programme,
mais au moins tu auras le coupable même s'il n'utilise pas rm. Cela di t,
sans être root... je ne sais pas.

-- Alain.
Avatar
meta
"Alain Ketterlin" a écrit dans le message de groupe de discussion :


"meta" writes:

Je cherche à jouer les inspecteurs Colombo afin de retrouver qui peut
bien détruire un fichier tous les jours à heure fixe.

Le crontab et les scripts associés ont déjà été explorés à fond sans
permettre de résoudre le mystère, ainsi que le journal système.

Ma question est donc: comment faire pour capturer la liste de toute
commande rm qui serait déclenchée par exemple entre h - 1 seconde et h
+ 1 seconde, ou même tout process tournant dans cet intervalle ? (Sans
être root).

Si c'est linux, tu peux essayer inotify (man 7 inotify). Il semble qu'il
y ait des inotify-tools, sinon il te faudra écrire un petit programme,
mais au moins tu auras le coupable même s'il n'utilise pas rm. Cela dit,
sans être root... je ne sais pas.



Non ce n'est pas du Linux, à mon grand regret d'ailleurs.
Avatar
Marc
Bonsoir,

Le 24/02/2012 07:50, meta a écrit :
"Alain Ketterlin" a écrit dans le message de groupe de discussion :
Si c'est linux, tu peux essayer inotify (man 7 inotify). Il semble qu'il
y ait des inotify-tools, sinon il te faudra écrire un petit programme,
mais au moins tu auras le coupable même s'il n'utilise pas rm. Cela dit,
sans être root... je ne sais pas.



Non ce n'est pas du Linux, à mon grand regret d'ailleurs.



Si, sous Fedora en tout cas :
yum install inotify-tools

Mais cela ne répond pas au problème posé car ces outils n'identifient
pas la commande responsable de l'action à ma connaissance.

Toujours sous Fedora, regarder plutot auditctl et ausearch en faisant
yum install audit si ces commandes ne sont pas disponibles.

Marc
Avatar
Olivier Miakinen
Bonjour,

Le 24/02/2012 18:41, Marc a écrit :

Si c'est linux, tu peux essayer inotify [...]



Non ce n'est pas du Linux, à mon grand regret d'ailleurs.



Si, sous Fedora en tout cas :
yum install inotify-tools



Je crois que tu as dû lire et comprendre « ce (inotify) n'est pas *sur*
Linux » alors que meta disait « ce (mon Unix) n'est pas *du* Linux ».

Cordialement,
--
Olivier Miakinen
Avatar
meta
Je crois que tu as dû lire et comprendre « ce (inotify) n'est pas *sur*
Linux » alors que meta disait « ce (mon Unix) n'est pas *du* Linux ».



Yep. C'est du Hache-Pé.
Avatar
Paul Gaborit
À (at) Fri, 24 Feb 2012 07:50:14 +0100,
"meta" écrivait (wrote):

"Alain Ketterlin" a écrit dans le message de groupe de discussion :


"meta" writes:

Je cherche à jouer les inspecteurs Colombo afin de retrouver qui peut
bien détruire un fichier tous les jours à heure fixe.

Le crontab et les scripts associés ont déjà été explorés à fond sans
permettre de résoudre le mystère, ainsi que le journal système.

Ma question est donc: comment faire pour capturer la liste de toute
commande rm qui serait déclenchée par exemple entre h - 1 seconde et h
+ 1 seconde, ou même tout process tournant dans cet intervalle ? (Sans
être root).



Si c'est linux, tu peux essayer inotify (man 7 inotify). Il semble qu'il
y ait des inotify-tools, sinon il te faudra écrire un petit programme,
mais au moins tu auras le coupable même s'il n'utilise pas rm. Cela dit,
sans être root... je ne sais pas.



Non ce n'est pas du Linux, à mon grand regret d'ailleurs.




Autre possibilité : remplacer (momentanément) le fichier par un
répertoire. Le programme qui efface le fichier échouera... Mais
aurez-vous une trace d'erreur accessible ? Sans être 'root', rien n'est
moins sûr.

--
Paul Gaborit - <http://perso.mines-albi.fr/~gaborit/>
Avatar
Erwan David
"meta" écrivait :

Je crois que tu as dû lire et comprendre « ce (inotify) n'est pas *sur*
Linux » alors que meta disait « ce (mon Unix) n'est pas *du* Linux ».



Yep. C'est du Hache-Pé.



Quel Unix de HP ? J'en vois 3, suite à rachats successifs :
Ultrix
HP-UX
Tru64


--
Le travail n'est pas une bonne chose. Si ça l'était,
les riches l'auraient accaparé
Avatar
Marc
Bonsoir,

Le 24/02/2012 18:54, Olivier Miakinen a écrit :

Je crois que tu as dû lire et comprendre « ce (inotify) n'est pas *sur*
Linux » alors que meta disait « ce (mon Unix) n'est pas *du* Linux ».



Effectivement, désolé.

Marc
Avatar
Marc
Bonsoir,

Le 25/02/2012 00:14, meta a écrit :
Je crois que tu as dû lire et comprendre « ce (inotify) n'est pas *sur*
Linux » alors que meta disait « ce (mon Unix) n'est pas *du* Linux ».



Yep. C'est du Hache-Pé.



Dans ce cas, il existe au moins sous HP UX l'équivalent du système
d'audit Linux :
http://docstore.mik.ua/manuals/hp-ux/en/B2355-60130/audit.5.html
http://docstore.mik.ua/manuals/hp-ux/en/B2355-60130/audevent.1M.html

Marc
1 2