Sioux: repérer l'exécution d'une commande à une heure donnée
12 réponses
meta
Bonjour,
Je cherche à jouer les inspecteurs Colombo afin de retrouver qui peut bien
détruire un fichier tous les jours à heure fixe.
Le crontab et les scripts associés ont déjà été explorés à fond sans
permettre de résoudre le mystère, ainsi que le journal système.
Ma question est donc: comment faire pour capturer la liste de toute commande
rm qui serait déclenchée par exemple entre h - 1 seconde et h + 1 seconde,
ou même tout process tournant dans cet intervalle ? (Sans être root).
"Alain Ketterlin" a écrit dans le message de groupe de discussion :
"meta" writes:
Je cherche à jouer les inspecteurs Colombo afin de retrouver qui peut bien détruire un fichier tous les jours à heure fixe.
Le crontab et les scripts associés ont déjà été explorés à fond sans permettre de résoudre le mystère, ainsi que le journal système.
Ma question est donc: comment faire pour capturer la liste de toute commande rm qui serait déclenchée par exemple entre h - 1 seconde et h + 1 seconde, ou même tout process tournant dans cet intervalle ? (Sans être root).
Si c'est linux, tu peux essayer inotify (man 7 inotify). Il semble qu'il y ait des inotify-tools, sinon il te faudra écrire un petit programme, mais au moins tu auras le coupable même s'il n'utilise pas rm. Cela dit, sans être root... je ne sais pas.
Non ce n'est pas du Linux, à mon grand regret d'ailleurs.
"Alain Ketterlin" a écrit dans le message de groupe de discussion :
87ty2h5k04.fsf@dpt-info.u-strasbg.fr...
"meta" <xyz@abc.fr> writes:
Je cherche à jouer les inspecteurs Colombo afin de retrouver qui peut
bien détruire un fichier tous les jours à heure fixe.
Le crontab et les scripts associés ont déjà été explorés à fond sans
permettre de résoudre le mystère, ainsi que le journal système.
Ma question est donc: comment faire pour capturer la liste de toute
commande rm qui serait déclenchée par exemple entre h - 1 seconde et h
+ 1 seconde, ou même tout process tournant dans cet intervalle ? (Sans
être root).
Si c'est linux, tu peux essayer inotify (man 7 inotify). Il semble qu'il
y ait des inotify-tools, sinon il te faudra écrire un petit programme,
mais au moins tu auras le coupable même s'il n'utilise pas rm. Cela dit,
sans être root... je ne sais pas.
Non ce n'est pas du Linux, à mon grand regret d'ailleurs.
"Alain Ketterlin" a écrit dans le message de groupe de discussion :
"meta" writes:
Je cherche à jouer les inspecteurs Colombo afin de retrouver qui peut bien détruire un fichier tous les jours à heure fixe.
Le crontab et les scripts associés ont déjà été explorés à fond sans permettre de résoudre le mystère, ainsi que le journal système.
Ma question est donc: comment faire pour capturer la liste de toute commande rm qui serait déclenchée par exemple entre h - 1 seconde et h + 1 seconde, ou même tout process tournant dans cet intervalle ? (Sans être root).
Si c'est linux, tu peux essayer inotify (man 7 inotify). Il semble qu'il y ait des inotify-tools, sinon il te faudra écrire un petit programme, mais au moins tu auras le coupable même s'il n'utilise pas rm. Cela dit, sans être root... je ne sais pas.
Non ce n'est pas du Linux, à mon grand regret d'ailleurs.
Marc
Bonsoir,
Le 24/02/2012 07:50, meta a écrit :
"Alain Ketterlin" a écrit dans le message de groupe de discussion :
Si c'est linux, tu peux essayer inotify (man 7 inotify). Il semble qu'il y ait des inotify-tools, sinon il te faudra écrire un petit programme, mais au moins tu auras le coupable même s'il n'utilise pas rm. Cela dit, sans être root... je ne sais pas.
Non ce n'est pas du Linux, à mon grand regret d'ailleurs.
Si, sous Fedora en tout cas : yum install inotify-tools
Mais cela ne répond pas au problème posé car ces outils n'identifient pas la commande responsable de l'action à ma connaissance.
Toujours sous Fedora, regarder plutot auditctl et ausearch en faisant yum install audit si ces commandes ne sont pas disponibles.
Marc
Bonsoir,
Le 24/02/2012 07:50, meta a écrit :
"Alain Ketterlin" a écrit dans le message de groupe de discussion :
Si c'est linux, tu peux essayer inotify (man 7 inotify). Il semble qu'il
y ait des inotify-tools, sinon il te faudra écrire un petit programme,
mais au moins tu auras le coupable même s'il n'utilise pas rm. Cela dit,
sans être root... je ne sais pas.
Non ce n'est pas du Linux, à mon grand regret d'ailleurs.
Si, sous Fedora en tout cas :
yum install inotify-tools
Mais cela ne répond pas au problème posé car ces outils n'identifient
pas la commande responsable de l'action à ma connaissance.
Toujours sous Fedora, regarder plutot auditctl et ausearch en faisant
yum install audit si ces commandes ne sont pas disponibles.
"Alain Ketterlin" a écrit dans le message de groupe de discussion :
Si c'est linux, tu peux essayer inotify (man 7 inotify). Il semble qu'il y ait des inotify-tools, sinon il te faudra écrire un petit programme, mais au moins tu auras le coupable même s'il n'utilise pas rm. Cela dit, sans être root... je ne sais pas.
Non ce n'est pas du Linux, à mon grand regret d'ailleurs.
Si, sous Fedora en tout cas : yum install inotify-tools
Mais cela ne répond pas au problème posé car ces outils n'identifient pas la commande responsable de l'action à ma connaissance.
Toujours sous Fedora, regarder plutot auditctl et ausearch en faisant yum install audit si ces commandes ne sont pas disponibles.
Marc
Olivier Miakinen
Bonjour,
Le 24/02/2012 18:41, Marc a écrit :
Si c'est linux, tu peux essayer inotify [...]
Non ce n'est pas du Linux, à mon grand regret d'ailleurs.
Si, sous Fedora en tout cas : yum install inotify-tools
Je crois que tu as dû lire et comprendre « ce (inotify) n'est pas *sur* Linux » alors que meta disait « ce (mon Unix) n'est pas *du* Linux ».
Cordialement, -- Olivier Miakinen
Bonjour,
Le 24/02/2012 18:41, Marc a écrit :
Si c'est linux, tu peux essayer inotify [...]
Non ce n'est pas du Linux, à mon grand regret d'ailleurs.
Si, sous Fedora en tout cas :
yum install inotify-tools
Je crois que tu as dû lire et comprendre « ce (inotify) n'est pas *sur*
Linux » alors que meta disait « ce (mon Unix) n'est pas *du* Linux ».
Je crois que tu as dû lire et comprendre « ce (inotify) n'est pas *sur* Linux » alors que meta disait « ce (mon Unix) n'est pas *du* Linux ».
Yep. C'est du Hache-Pé.
Paul Gaborit
À (at) Fri, 24 Feb 2012 07:50:14 +0100, "meta" écrivait (wrote):
"Alain Ketterlin" a écrit dans le message de groupe de discussion :
"meta" writes:
Je cherche à jouer les inspecteurs Colombo afin de retrouver qui peut bien détruire un fichier tous les jours à heure fixe.
Le crontab et les scripts associés ont déjà été explorés à fond sans permettre de résoudre le mystère, ainsi que le journal système.
Ma question est donc: comment faire pour capturer la liste de toute commande rm qui serait déclenchée par exemple entre h - 1 seconde et h + 1 seconde, ou même tout process tournant dans cet intervalle ? (Sans être root).
Si c'est linux, tu peux essayer inotify (man 7 inotify). Il semble qu'il y ait des inotify-tools, sinon il te faudra écrire un petit programme, mais au moins tu auras le coupable même s'il n'utilise pas rm. Cela dit, sans être root... je ne sais pas.
Non ce n'est pas du Linux, à mon grand regret d'ailleurs.
Autre possibilité : remplacer (momentanément) le fichier par un répertoire. Le programme qui efface le fichier échouera... Mais aurez-vous une trace d'erreur accessible ? Sans être 'root', rien n'est moins sûr.
À (at) Fri, 24 Feb 2012 07:50:14 +0100,
"meta" <xyz@abc.fr> écrivait (wrote):
"Alain Ketterlin" a écrit dans le message de groupe de discussion :
87ty2h5k04.fsf@dpt-info.u-strasbg.fr...
"meta" <xyz@abc.fr> writes:
Je cherche à jouer les inspecteurs Colombo afin de retrouver qui peut
bien détruire un fichier tous les jours à heure fixe.
Le crontab et les scripts associés ont déjà été explorés à fond sans
permettre de résoudre le mystère, ainsi que le journal système.
Ma question est donc: comment faire pour capturer la liste de toute
commande rm qui serait déclenchée par exemple entre h - 1 seconde et h
+ 1 seconde, ou même tout process tournant dans cet intervalle ? (Sans
être root).
Si c'est linux, tu peux essayer inotify (man 7 inotify). Il semble qu'il
y ait des inotify-tools, sinon il te faudra écrire un petit programme,
mais au moins tu auras le coupable même s'il n'utilise pas rm. Cela dit,
sans être root... je ne sais pas.
Non ce n'est pas du Linux, à mon grand regret d'ailleurs.
Autre possibilité : remplacer (momentanément) le fichier par un
répertoire. Le programme qui efface le fichier échouera... Mais
aurez-vous une trace d'erreur accessible ? Sans être 'root', rien n'est
moins sûr.
--
Paul Gaborit - <http://perso.mines-albi.fr/~gaborit/>
À (at) Fri, 24 Feb 2012 07:50:14 +0100, "meta" écrivait (wrote):
"Alain Ketterlin" a écrit dans le message de groupe de discussion :
"meta" writes:
Je cherche à jouer les inspecteurs Colombo afin de retrouver qui peut bien détruire un fichier tous les jours à heure fixe.
Le crontab et les scripts associés ont déjà été explorés à fond sans permettre de résoudre le mystère, ainsi que le journal système.
Ma question est donc: comment faire pour capturer la liste de toute commande rm qui serait déclenchée par exemple entre h - 1 seconde et h + 1 seconde, ou même tout process tournant dans cet intervalle ? (Sans être root).
Si c'est linux, tu peux essayer inotify (man 7 inotify). Il semble qu'il y ait des inotify-tools, sinon il te faudra écrire un petit programme, mais au moins tu auras le coupable même s'il n'utilise pas rm. Cela dit, sans être root... je ne sais pas.
Non ce n'est pas du Linux, à mon grand regret d'ailleurs.
Autre possibilité : remplacer (momentanément) le fichier par un répertoire. Le programme qui efface le fichier échouera... Mais aurez-vous une trace d'erreur accessible ? Sans être 'root', rien n'est moins sûr.
Je crois que tu as dû lire et comprendre « ce (inotify) n'est pas *sur*
Linux » alors que meta disait « ce (mon Unix) n'est pas *du* Linux ».
Yep. C'est du Hache-Pé.
Dans ce cas, il existe au moins sous HP UX l'équivalent du système
d'audit Linux :
http://docstore.mik.ua/manuals/hp-ux/en/B2355-60130/audit.5.html
http://docstore.mik.ua/manuals/hp-ux/en/B2355-60130/audevent.1M.html
