Sioux: repérer l'exécution d'une commande à une heure donnée
12 réponses
meta
Bonjour,
Je cherche à jouer les inspecteurs Colombo afin de retrouver qui peut bien
détruire un fichier tous les jours à heure fixe.
Le crontab et les scripts associés ont déjà été explorés à fond sans
permettre de résoudre le mystère, ainsi que le journal système.
Ma question est donc: comment faire pour capturer la liste de toute commande
rm qui serait déclenchée par exemple entre h - 1 seconde et h + 1 seconde,
ou même tout process tournant dans cet intervalle ? (Sans être root).
Je cherche à jouer les inspecteurs Colombo afin de retrouver qui peut bien détruire un fichier tous les jours à heure fixe.
Le crontab et les scripts associés ont déjà été explorés à fond sans permettre de résoudre le mystère, ainsi que le journal système.
Ma question est donc: comment faire pour capturer la liste de toute commande rm qui serait déclenchée par exemple entre h - 1 seconde et h + 1 seconde, ou même tout process tournant dans cet intervalle ? (Sans être root).
Merci pour toute aide.
Chercher le (ou les) programmes susceptibles d'effacer ce fichier: par exemple, /bin/rm est un bon candidat. A h -1s, remplacer /bin/rm par un autre qui n'efface rien, mais qui donne juste le nom de celui qui l'appelle. A h+1s, remettre le /bin/rm original. Puis lire les traces qui auront été remontées -- Kevin
Le 23-02-2012, meta <xyz@abc.fr> a écrit :
Je cherche à jouer les inspecteurs Colombo afin de retrouver qui peut bien
détruire un fichier tous les jours à heure fixe.
Le crontab et les scripts associés ont déjà été explorés à fond sans
permettre de résoudre le mystère, ainsi que le journal système.
Ma question est donc: comment faire pour capturer la liste de toute commande
rm qui serait déclenchée par exemple entre h - 1 seconde et h + 1 seconde,
ou même tout process tournant dans cet intervalle ? (Sans être root).
Merci pour toute aide.
Chercher le (ou les) programmes susceptibles d'effacer ce fichier:
par exemple, /bin/rm est un bon candidat.
A h -1s, remplacer /bin/rm par un autre qui n'efface rien, mais
qui donne juste le nom de celui qui l'appelle.
A h+1s, remettre le /bin/rm original. Puis lire les traces qui auront
été remontées
--
Kevin
Je cherche à jouer les inspecteurs Colombo afin de retrouver qui peut bien détruire un fichier tous les jours à heure fixe.
Le crontab et les scripts associés ont déjà été explorés à fond sans permettre de résoudre le mystère, ainsi que le journal système.
Ma question est donc: comment faire pour capturer la liste de toute commande rm qui serait déclenchée par exemple entre h - 1 seconde et h + 1 seconde, ou même tout process tournant dans cet intervalle ? (Sans être root).
Merci pour toute aide.
Chercher le (ou les) programmes susceptibles d'effacer ce fichier: par exemple, /bin/rm est un bon candidat. A h -1s, remplacer /bin/rm par un autre qui n'efface rien, mais qui donne juste le nom de celui qui l'appelle. A h+1s, remettre le /bin/rm original. Puis lire les traces qui auront été remontées -- Kevin
Arnaud Gomes-do-Vale
"meta" writes:
Je cherche à jouer les inspecteurs Colombo afin de retrouver qui peut bien détruire un fichier tous les jours à heure fixe.
Le crontab et les scripts associés ont déjà été explorés à fond sans permettre de résoudre le mystère, ainsi que le journal système.
As-tu vérifié les logs de ssh ou autres moyens de connexion à distance ? Et sur la même piste, est-ce que le fichier en question est exporté en NFS ou assimilé ? Bref, bien penser à regarder toutes les machines qui pourraient y avoir accès, et pas seulement la machine locale.
Sinon, si c'est vraiment sur cette machine que ça se passe et si ce n'est pas la faute à cron, reste à regarder les autres démons qui tournent à ce moment.
-- Arnaud http://blogs.glou.org/arnaud/
"meta" <xyz@abc.fr> writes:
Je cherche à jouer les inspecteurs Colombo afin de retrouver qui peut
bien détruire un fichier tous les jours à heure fixe.
Le crontab et les scripts associés ont déjà été explorés à fond sans
permettre de résoudre le mystère, ainsi que le journal système.
As-tu vérifié les logs de ssh ou autres moyens de connexion à distance ?
Et sur la même piste, est-ce que le fichier en question est exporté en
NFS ou assimilé ? Bref, bien penser à regarder toutes les machines qui
pourraient y avoir accès, et pas seulement la machine locale.
Sinon, si c'est vraiment sur cette machine que ça se passe et si ce
n'est pas la faute à cron, reste à regarder les autres démons qui
tournent à ce moment.
Je cherche à jouer les inspecteurs Colombo afin de retrouver qui peut bien détruire un fichier tous les jours à heure fixe.
Le crontab et les scripts associés ont déjà été explorés à fond sans permettre de résoudre le mystère, ainsi que le journal système.
As-tu vérifié les logs de ssh ou autres moyens de connexion à distance ? Et sur la même piste, est-ce que le fichier en question est exporté en NFS ou assimilé ? Bref, bien penser à regarder toutes les machines qui pourraient y avoir accès, et pas seulement la machine locale.
Sinon, si c'est vraiment sur cette machine que ça se passe et si ce n'est pas la faute à cron, reste à regarder les autres démons qui tournent à ce moment.