Re: errors d'execució
On Monday 11 January 2010 20:10:35 JManel Grifoll wrote: El 11 de gener de 2010 17:27, Jordi Funollet jord...@ati.es ha escrit: Hola la sortida de netstat -lt es : Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp0 0 *:5901 *:* LISTEN tcp0 0 *:5902 *:* LISTEN tcp0 0 *:sunrpc*:* LISTEN tcp0 0 *:x11-1 *:* LISTEN tcp0 0 *:x11-2 *:* LISTEN tcp0 0 *:ftp *:* LISTEN tcp0 0 *:ssh *:* LISTEN tcp0 0 localhost:smtp *:* LISTEN tcp0 0 *:afs3-volser *:* LISTEN tcp0 0 *:33373 *:* LISTEN tcp6 0 0 [::]:ssh[::]:* LISTEN tcp6 0 0 [::]:afs3-volser[::]:* LISTEN Els dos primers assumeixo que són el 'tightvnc'. El que no entenc és que n'hi hagi dos. De totes maneres, és un muntatge que (personalment) no m'agrada: si faig servir un client SSH dins d'una sessió 'tightvnc', el meu password viatga en clar des del meu teclat fins al servidor remot! Com és que hi han DOS 'tightvnc'??? 'sunrpc' és un servei que acostuma a instal·lar-se per al NFS. No sé si algun dels altres serveis en depèn, ho dubto. Tu prova. :-) Els ports 'x11-1' i 'x11-2' corresponen a 6001 i 6002 (pots mirar-ho a '/etc/services'). No és bona cosa tenir-los escoltant a la xarxa. Pots accedir remotament a les X amb un túnel 'ssh', és trivial: ssh -X. Si algun dels altres serveis (tightvnc, NX) requereixen que les X estiguin escoltant, configura-les per a que sols escoltin a la interfície 127.0.0.1. Així no hauràs de patir pels accessos des de la xarxa. Just així és com tens configurat el 'smtp' (veus que diu localhost en lloc de *?). Ideal, pots enviar mail però no hi ha perill de que et facin servir per re-enviar-ne. Segur que et cal el 'vsftp'? Qui té compte a la màquina pot fer servir el 'sftp', no has de configurar rés extra, també t'ho dona el mateix 'ssh'. El protocol FTP és un perill, els passwords van en clar. No tinc ni idea de què són els ports restants (33373, 7005). Llença un 'sudo netstat -ltp' i tindrem una mica més d'informació. -- ## ### Jordi Funollet ### http://www.terraquis.net -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: errors d'execució
Hola: pirat:/home/xarx# netstat -ltp Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp0 0 *:5901 *:* LISTEN 19777/Xtightvnc tcp0 0 *:5902 *:* LISTEN 1893/Xtightvnc tcp0 0 *:sunrpc*:* LISTEN 2122/portmap tcp0 0 *:x11-1 *:* LISTEN 19777/Xtightvnc tcp0 0 *:5906 *:* LISTEN 6880/Xtightvnc tcp0 0 *:x11-2 *:* LISTEN 1893/Xtightvnc tcp0 0 *:x11-6 *:* LISTEN 6880/Xtightvnc tcp0 0 *:ssh *:* LISTEN 2472/sshd tcp0 0 localhost:smtp *:* LISTEN 2774/exim4 tcp0 0 localhost:6010 *:* LISTEN 6508/sshd: n...@notty tcp0 0 *:33373 *:* LISTEN 2133/rpc.statd tcp0 0 *:afs3-bos *:* LISTEN 6570/nxagent tcp6 0 0 [::]:ssh[::]:* LISTEN 2472/sshd tcp6 0 0 localhost:6010 [::]:* LISTEN 6508/sshd: n...@notty tcp6 0 0 [::]:afs3-bos [::]:* LISTEN 6570/nxagent Ara hi ha això: Estic probant NX que va tot encriptat, però de moment va el tight. En aquest moment he comprovat que hi havien dues sesions obertes, una sessio estava amb dos usuaris connectats , i una altre amb un usuari. Aixi que pugui trauré les tight i deixere les nx ( hi ha una sessió oberta), així es tancaran aquests ports X11. El portmap i el rpc.stat els pararé a la nit a veure si funciona tot. . El vstp, el vaig posar per a l'intercanvi d'arxius, pensava que era necesari. L'he tret i funciona. Vaig a veure si el client nx va bé amb linux i windows. Sembla que ja funciona quasi tot. Moltes Gràcies. JManel Grifoll El 12 de gener de 2010 13:11, Jordi Funollet jord...@ati.es ha escrit: On Monday 11 January 2010 20:10:35 JManel Grifoll wrote: El 11 de gener de 2010 17:27, Jordi Funollet jord...@ati.es ha escrit: Hola la sortida de netstat -lt es : Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp0 0 *:5901 *:* LISTEN tcp0 0 *:5902 *:* LISTEN tcp0 0 *:sunrpc*:* LISTEN tcp0 0 *:x11-1 *:* LISTEN tcp0 0 *:x11-2 *:* LISTEN tcp0 0 *:ftp *:* LISTEN tcp0 0 *:ssh *:* LISTEN tcp0 0 localhost:smtp *:* LISTEN tcp0 0 *:afs3-volser *:* LISTEN tcp0 0 *:33373 *:* LISTEN tcp6 0 0 [::]:ssh[::]:* LISTEN tcp6 0 0 [::]:afs3-volser[::]:* LISTEN Els dos primers assumeixo que són el 'tightvnc'. El que no entenc és que n'hi hagi dos. De totes maneres, és un muntatge que (personalment) no m'agrada: si faig servir un client SSH dins d'una sessió 'tightvnc', el meu password viatga en clar des del meu teclat fins al servidor remot! Com és que hi han DOS 'tightvnc'??? 'sunrpc' és un servei que acostuma a instal·lar-se per al NFS. No sé si algun dels altres serveis en depèn, ho dubto. Tu prova. :-) Els ports 'x11-1' i 'x11-2' corresponen a 6001 i 6002 (pots mirar-ho a '/etc/services'). No és bona cosa tenir-los escoltant a la xarxa. Pots accedir remotament a les X amb un túnel 'ssh', és trivial: ssh -X. Si algun dels altres serveis (tightvnc, NX) requereixen que les X estiguin escoltant, configura-les per a que sols escoltin a la interfície 127.0.0.1. Així no hauràs de patir pels accessos des de la xarxa. Just així és com tens configurat el 'smtp' (veus que diu localhost en lloc de *?). Ideal, pots enviar mail però no hi ha perill de que et facin servir per re-enviar-ne. Segur que et cal el 'vsftp'? Qui té compte a la màquina pot fer servir el 'sftp', no has de configurar rés extra, també t'ho dona el mateix 'ssh'. El protocol FTP és un perill, els passwords van en clar. No tinc ni idea de què són els ports restants (33373, 7005). Llença un 'sudo netstat -ltp' i tindrem una mica més d'informació. -- ## ### Jordi Funollet ### http://www.terraquis.net -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: errors d'execució
A mi em sona bé. Em xoca que el 'tightvnc' obri les X cap a la xarxa, però un cop el treguis de circul·lació et quedarà la màquina força endreçada. -- ## ### Jordi Funollet ### http://www.terraquis.net -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: errors d'execució
Hola a tots: Moltes gràcies per totes les indicacions. No vaig poder instal·lar el chkrootkit, tampoc anava la connexió a xarxa, al final vaig passar de tot, he formatar i no he esbrinat que va passar. He instal·lat el fail2safe i estic provant el nx. Moltes gràcies. Salut! JM Grifoll El 8 de gener de 2010 21:05, Orestes Mas ores...@tsc.upc.edu ha escrit: A Dijous, 7 de gener de 2010, JManel Grifoll va escriure: Hola moltes gràcies: Soc un recent jubilat feliç, autodidacta en linux i ni idea de oceonagrafia, i pel que es veu en linux tampoc! Cuidava aquesta màquina instal·lant els programes i utilitats que em demanaven, (espero fer-ho encara,...). No m'havia preocupat mai per la seguretat, els paswd eren del tipus 0; 123456; no hi havia ni llistes d'adreçes, ni noms., res que podés interessar ningú, almenys és el que jo creia. Potser si que li varen buscar altres activitats. Fins que es varen cansar i varen canviar el paswd per posar-me a prova: si era capaç de notar alguna coseta rara. Instal·larè tot el sistema. Als /homes hi ha: dades, programes dels usuaris, aixo no cal oi? el directori /opt hi ha compiladors, llibreries i programes que no depenen de la debian, tampoc cal no? Reinstal·la-ho tot. Un compilador és un executable i pot estar compromès. Les libreries tres quarts del mateix. Jo faria una còpia de seguretat de les dades, ho reformatejaria TOT, tornaria a fer una instal·lació neta i per acabar bolcaria les dades altre cop. Ho repeteixo: esborra-ho TOT, o sempre et quedarà el dubte de si has passat per alt alguna cosa. I, si pots, usa preferentment NX en lloc de tightvncserver. Guanyaràs espectacularment en velocitat i seguretat. També és aconsellable desactivar els passwords i autenticar-te només amb claus SSH (RSA, DSA...). És força senzill de fer i molt més segur. Si no pots fer això darrer, com a protecció addicional pots instal·lar-te el programa fail2ban, que serveix per deixar de respondre a les peticions de xarxa de màquines que presentin un nombre excessiu d'errades d'autenticació (típic quan algú intenta rebentar passwords pel mètode de la força bruta. Així, si t'intenten endevinar la contrasenya a base d'anar provant, es trobaràn que al cap de N intents el servidor SSH deixa de respondre les peticions d'aquest individu durant un període de temps configurable (30 minuts...). Això ho fa creant sobre la marxa unes regles especials al tallafocs de la màquina (iptables). -- Orestes Mas Casals - UPC -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: errors d'execució
On Monday 11 January 2010 16:59:33 JManel Grifoll wrote: Hola a tots: Moltes gràcies per totes les indicacions. No vaig poder instal·lar el chkrootkit, tampoc anava la connexió a xarxa, al final vaig passar de tot, he formatar i no he esbrinat que va passar. He instal·lat el fail2safe i estic provant el nx. Ben fet: reinstal·lar de zero és la única sortida segura quan no saps fins on han arribat. Pots fer una ullada a quins programes tens escoltant a la xarxa amb 'netstat -lt'. Assegura't de que la instal·lació no t'ha deixat engegat res que no necessitis. El programa 'bastille' és una bona manera de revisar la seguretat de la màquina i és molt didàctic: t'explica què recomana i perquè ho recomana. També et pot anar bé aquesta documentació de can Debian, per començar: http://www.debian.org/doc/manuals/securing-debian-howto/ -- ## ### Jordi Funollet ### http://www.terraquis.net -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: errors d'execució
El 11 de gener de 2010 17:27, Jordi Funollet jord...@ati.es ha escrit: Hola la sortida de netstat -lt es : Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp0 0 *:5901 *:* LISTEN tcp0 0 *:5902 *:* LISTEN tcp0 0 *:sunrpc*:* LISTEN tcp0 0 *:x11-1 *:* LISTEN tcp0 0 *:x11-2 *:* LISTEN tcp0 0 *:ftp *:* LISTEN tcp0 0 *:ssh *:* LISTEN tcp0 0 localhost:smtp *:* LISTEN tcp0 0 *:afs3-volser *:* LISTEN tcp0 0 *:33373 *:* LISTEN tcp6 0 0 [::]:ssh[::]:* LISTEN tcp6 0 0 [::]:afs3-volser[::]:* LISTEN Hi ha alguna cosa fora de lloc? Hi ha instal·lat el fail2ban; un servidor Nx, dos tightvnc, el ftp es el vsftpd, El smtp hauria de ser-hi? per treure avisos i logs ho faig amb un script amb mutt i msmtp. Els afs3 i i sunrpc ? Gràcies. JM Grifoll Ben fet: reinstal·lar de zero és la única sortida segura quan no saps fins on han arribat. Pots fer una ullada a quins programes tens escoltant a la xarxa amb 'netstat -lt'. Assegura't de que la instal·lació no t'ha deixat engegat res que no necessitis. El programa 'bastille' és una bona manera de revisar la seguretat de la màquina i és molt didàctic: t'explica què recomana i perquè ho recomana. També et pot anar bé aquesta documentació de can Debian, per començar: http://www.debian.org/doc/manuals/securing-debian-howto/ -- ## ### Jordi Funollet ### http://www.terraquis.net -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: errors d'execució
A Dijous, 7 de gener de 2010, JManel Grifoll va escriure: Hola moltes gràcies: Soc un recent jubilat feliç, autodidacta en linux i ni idea de oceonagrafia, i pel que es veu en linux tampoc! Cuidava aquesta màquina instal·lant els programes i utilitats que em demanaven, (espero fer-ho encara,...). No m'havia preocupat mai per la seguretat, els paswd eren del tipus 0; 123456; no hi havia ni llistes d'adreçes, ni noms., res que podés interessar ningú, almenys és el que jo creia. Potser si que li varen buscar altres activitats. Fins que es varen cansar i varen canviar el paswd per posar-me a prova: si era capaç de notar alguna coseta rara. Instal·larè tot el sistema. Als /homes hi ha: dades, programes dels usuaris, aixo no cal oi? el directori /opt hi ha compiladors, llibreries i programes que no depenen de la debian, tampoc cal no? Reinstal·la-ho tot. Un compilador és un executable i pot estar compromès. Les libreries tres quarts del mateix. Jo faria una còpia de seguretat de les dades, ho reformatejaria TOT, tornaria a fer una instal·lació neta i per acabar bolcaria les dades altre cop. Ho repeteixo: esborra-ho TOT, o sempre et quedarà el dubte de si has passat per alt alguna cosa. I, si pots, usa preferentment NX en lloc de tightvncserver. Guanyaràs espectacularment en velocitat i seguretat. També és aconsellable desactivar els passwords i autenticar-te només amb claus SSH (RSA, DSA...). És força senzill de fer i molt més segur. Si no pots fer això darrer, com a protecció addicional pots instal·lar-te el programa fail2ban, que serveix per deixar de respondre a les peticions de xarxa de màquines que presentin un nombre excessiu d'errades d'autenticació (típic quan algú intenta rebentar passwords pel mètode de la força bruta. Així, si t'intenten endevinar la contrasenya a base d'anar provant, es trobaràn que al cap de N intents el servidor SSH deixa de respondre les peticions d'aquest individu durant un període de temps configurable (30 minuts...). Això ho fa creant sobre la marxa unes regles especials al tallafocs de la màquina (iptables). -- Orestes Mas Casals - UPC -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: errors d'execució
Hola bones, No es tracta només que hi hagin o no dades interessants als ordenadors, sinó el que poden fer controlant màquines d'altra gent: que si spam, que si anar provant contrasenyes per intentar entrar en altres ordenadors, que si atacs coordinats contra servidors concrets, que si falsficar webs i fer fishing, etc, etc. A part dels serveis que dius que posaràs, tampoc estaria malament que hi poséssis programes per detectar intrusions en un futur, mira com funciona el chkrootkit que t'han anomenat, a més del tripwire, l'snort i altres. Els pots configurar per què inspeccionin el sistema periòdicament i enviïn correu si troben alguna anomalia. Salut, El Thursday 07 January 2010 00:44:38 JManel Grifoll va escriure: Hola moltes gràcies: Soc un recent jubilat feliç, autodidacta en linux i ni idea de oceonagrafia, i pel que es veu en linux tampoc! Cuidava aquesta màquina instal·lant els programes i utilitats que em demanaven, (espero fer-ho encara,...). No m'havia preocupat mai per la seguretat, els paswd eren del tipus 0; 123456; no hi havia ni llistes d'adreçes, ni noms., res que podés interessar ningú, almenys és el que jo creia. Potser si que li varen buscar altres activitats. Fins que es varen cansar i varen canviar el paswd per posar-me a prova: si era capaç de notar alguna coseta rara. Instal·larè tot el sistema. Als /homes hi ha: dades, programes dels usuaris, aixo no cal oi? el directori /opt hi ha compiladors, llibreries i programes que no depenen de la debian, tampoc cal no? Nomes posaré: sshd sftpd tightvncserver (diu que la contrasenya va encriptada pero les dades no) El servidor apache l'apagaré. La configuració d'això es molt elemental no? Tinc ganes de veure que diu el chkrootkit, i que hi als logs,. Moltes gràcies. JMGrifoll -- Marc Olivé Plaça d'en Canós, 9-11 2º 1ª 43440 l'Espluga de Francolí Tarragona Tel. 977 870 702 http://www.blauconsultors.com -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: errors d'execució
Perdona la meva gosadia, pero avui m'he trobat que no podia accedir a root, i he provat d'escriure la paraula de pas a terminal i per sorpresa meva hi havia una tecla que entrava un caracter que no era, he pogut escriure la cla a terminal i copiant i enganxant he pogut validar la contrassenya de root. **** Xavier De Yzaguirre xdeyzaguirre(a)ono.com
Re: errors d'execució
Bon dia: Aquest el el contingut de /etc/passwd root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/bin/sh bin:x:2:2:bin:/bin:/bin/sh sys:x:3:3:sys:/dev:/bin/sh sync:x:4:65534:sync:/bin:/bin/sync games:x:5:60:games:/usr/games:/bin/sh man:x:6:12:man:/var/cache/man:/bin/sh lp:x:7:7:lp:/var/spool/lpd:/bin/sh mail:x:8:8:mail:/var/mail:/bin/sh news:x:9:9:news:/var/spool/news:/bin/sh uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh proxy:x:13:13:proxy:/bin:/bin/sh www-data:x:33:33:www-data:/var/www:/bin/sh backup:x:34:34:backup:/var/backups:/bin/sh list:x:38:38:Mailing List Manager:/var/list:/bin/sh irc:x:39:39:ircd:/var/run/ircd:/bin/sh gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh nobody:x:65534:65534:nobody:/nonexistent:/bin/sh libuuid:x:100:101::/var/lib/libuuid:/bin/sh Debian-exim:x:101:103::/var/spool/exim4:/bin/false statd:x:102:65534::/var/lib/nfs:/bin/false messagebus:x:103:108::/var/run/dbus:/bin/false gdm:x:104:109:Gnome Display Manager:/var/lib/gdm:/bin/false haldaemon:x:105:110:Hardware abstraction layer,,,:/var/run/hal:/bin/false sshd:x:106:65534::/var/run/sshd:/usr/sbin/nologin xarx:x:1000:1000:,,,:/home/xarx:/bin/bash porc:x:1002:1002:,,,:/home/porc:/bin/bash manel:x:1001:1001:,,,:/home/manel:/bin/bash ftp:x:107:65534::/home/ftp:/bin/false debian-xfs:x:108:112::/nonexistant:/bin/false stella:x:1003:1004:,,,:/home/stella:/bin/bash avahi:x:109:113:Avahi mDNS daemon,,,:/var/run/avahi-daemon:/bin/false ghost:x:0:0::/home/ghost:/bin/sh Els usuaris del pc son manel,xarx,stella i porc L'ultims es ben estrany , el directori ghost diu que no hi es. Salut! El 6 de gener de 2010 3:18, JManel Grifoll drap...@gmail.com ha escrit: Hola: Dons potser fa un mes mes i mig que es va actualitzar, es una màquina que calcula, fa simulacions de roms (Regional oceanografic Model,) dia i nit. Si para es per accident,el corrent, un disk dur,.. No hi ha ni emule, ni skype, gaim, xchat, ...no la toca ningú. Els pswd són tirats, ara mateix tenia una sessio xtightvncviewer oberta i s'ha tancat. Un dia vaig veure uns logs que provaven d'obrir una sessio ssh amb noms anglesos corrents, no en vaig fer cas. No puc fer res. Adeu i gràcies.! 2010/1/6 Orestes Mas ores...@tsc.upc.edu A Dimecres, 6 de gener de 2010, JManel Grifoll va escriure: Vaja! han canviat algunes coses, fixeu-vos amb les dates d'aquests arxius, i no s'actualitzat en un mes com a mínim!: -rwxr-xr-x 1 root root11712 Dec 27 2007 /bin/dnsdomainname -rwxr-xr-x 1 root root40328 Jan 3 01:41 /bin/cat -rwxr-xr-x 1 root root57752 Jan 3 01:41 /bin/chmod -rwxr-xr-x 1 root root86376 Jan 3 01:41 /bin/cp -rwxr-xr-x 1 root root 110184 Jan 3 01:41 /bin/dir -rwxr-xr-x 1 root root14856 Jan 3 01:41 /bin/dmesg -rwxr-xr-x 1 root root57824 Jan 3 01:41 /bin/ed -rwxr-xr-x 1 root root69008 Jan 3 01:41 /bin/fgrep -rwxr-xr-x 1 root root24160 Jan 3 01:41 /bin/kill -rwxr-xr-x 1 root root41544 Jan 3 01:41 /bin/mknod -rwxr-xr-x 1 root root40792 Jan 3 01:41 /bin/more -rwxr-xr-x 1 root root93512 Jan 3 01:41 /bin/mv -rwxr-xr-x 1 root root32184 Jan 3 01:41 /bin/nc.traditional -rwxr-xr-x 1 122 netdev 62920 Jan 11 2009 /bin/ps -rwxr-xr-x 1 root root48072 Jan 3 01:41 /bin/readlink -rwxr-xr-x 1 root root61768 Jan 3 01:41 /bin/rm -rwxr-xr-x 1 root root37096 Jan 3 01:41 /bin/rmdir -rwxr-xr-x 1 root root23704 Jan 3 01:41 /bin/run-parts -rwxr-xr-x 1 root root38152 Jan 3 01:41 /bin/sleep -rwxr-xr-x 1 root root14920 Jan 3 01:41 /bin/tailf -rwxr-xr-x 1 root root16040 Jan 3 01:41 /bin/tempfile Alguns funcionen i alguns no! M'agradaria saber qui es aquest usuari 122 del ps Ganes de tocar els pebrots no? O volien fer spam? Sembla que informació no n'han esborrat! Bona nit de reis! Si no han esborrat info potser es tracta de quelcom automatitzat, un cuc per exemple, que ha aprofitat alguna fallada coneguda en un sistema poc actualitzat. A mi fa molts anys em va passar un cas semblant: em va entrar un cuc anomenat adore que em va canviar el ps i va compilar un mòdul del kernel per tal d'ocultar-se a si mateix. També es dedicava a propagar-se a altres sistemes fent servir el meu com a base. Em va entrar per un servidor ftp (wu-ftp) amb un bug conegut i no corregit per part meva. Però aleshores jo era un jovencell inexpert i no en sabia gens... Aplicaves regularment els pegats de seguretat? Orestes. -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: errors d'execució
bona dia, El Wed, Jan 06, 2010 at 11:49:11AM +0100 JManel Grifoll ha dit: Aquest el el contingut de /etc/passwd root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/bin/sh bin:x:2:2:bin:/bin:/bin/sh sys:x:3:3:sys:/dev:/bin/sh sync:x:4:65534:sync:/bin:/bin/sync games:x:5:60:games:/usr/games:/bin/sh man:x:6:12:man:/var/cache/man:/bin/sh lp:x:7:7:lp:/var/spool/lpd:/bin/sh mail:x:8:8:mail:/var/mail:/bin/sh news:x:9:9:news:/var/spool/news:/bin/sh uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh proxy:x:13:13:proxy:/bin:/bin/sh www-data:x:33:33:www-data:/var/www:/bin/sh backup:x:34:34:backup:/var/backups:/bin/sh list:x:38:38:Mailing List Manager:/var/list:/bin/sh irc:x:39:39:ircd:/var/run/ircd:/bin/sh gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh nobody:x:65534:65534:nobody:/nonexistent:/bin/sh libuuid:x:100:101::/var/lib/libuuid:/bin/sh Debian-exim:x:101:103::/var/spool/exim4:/bin/false statd:x:102:65534::/var/lib/nfs:/bin/false messagebus:x:103:108::/var/run/dbus:/bin/false gdm:x:104:109:Gnome Display Manager:/var/lib/gdm:/bin/false haldaemon:x:105:110:Hardware abstraction layer,,,:/var/run/hal:/bin/false sshd:x:106:65534::/var/run/sshd:/usr/sbin/nologin xarx:x:1000:1000:,,,:/home/xarx:/bin/bash porc:x:1002:1002:,,,:/home/porc:/bin/bash manel:x:1001:1001:,,,:/home/manel:/bin/bash ftp:x:107:65534::/home/ftp:/bin/false debian-xfs:x:108:112::/nonexistant:/bin/false stella:x:1003:1004:,,,:/home/stella:/bin/bash avahi:x:109:113:Avahi mDNS daemon,,,:/var/run/avahi-daemon:/bin/false ghost:x:0:0::/home/ghost:/bin/sh Els usuaris del pc son manel,xarx,stella i porc L'ultims es ben estrany , el directori ghost diu que no hi es. lo més 'estrany' del usuari ghost es que té l'uid 0, vol dir que es un usuari amb permisos de root. lluny d ser un expert en aquests temes et recomanaría fer una copia de les dades de la máquina i tornar a instalar-la. esta clar que la máquina ha sigut compromesa, l'intrus ha aconseguit permisos de superusuari, es difficil saber quines portes traseres s'ha deixat obert. salutacions -- Matthias Kaehlcke Embedded Linux Developer Barcelona An ounce of practice is worth more than tons of preaching (Mahatma Gandhi) .''`. using free software / Debian GNU/Linux | http://debian.org : :' : `. `'` gpg --keyserver pgp.mit.edu --recv-keys 47D8E5D4 `- -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: errors d'execució
chkrootkit comprova varis fitxers del sistema per veure si algú ha instal·lat algun rootkit, que són uns programes per agafar el control del sistema i amagar-ho a l'usuari. Canvien executables com ps, kill, etc.. per d'altres modificats i que acostumen a fallar, si te n'han instal·lat un, el millor que pots fer és reinstal·lar el sistema per deixar-ho ben net A Dimecres, 6 de gener de 2010, Matthias Kaehlcke va escriure: bona dia, El Wed, Jan 06, 2010 at 11:49:11AM +0100 JManel Grifoll ha dit: Aquest el el contingut de /etc/passwd root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/bin/sh bin:x:2:2:bin:/bin:/bin/sh sys:x:3:3:sys:/dev:/bin/sh sync:x:4:65534:sync:/bin:/bin/sync games:x:5:60:games:/usr/games:/bin/sh man:x:6:12:man:/var/cache/man:/bin/sh lp:x:7:7:lp:/var/spool/lpd:/bin/sh mail:x:8:8:mail:/var/mail:/bin/sh news:x:9:9:news:/var/spool/news:/bin/sh uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh proxy:x:13:13:proxy:/bin:/bin/sh www-data:x:33:33:www-data:/var/www:/bin/sh backup:x:34:34:backup:/var/backups:/bin/sh list:x:38:38:Mailing List Manager:/var/list:/bin/sh irc:x:39:39:ircd:/var/run/ircd:/bin/sh gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh nobody:x:65534:65534:nobody:/nonexistent:/bin/sh libuuid:x:100:101::/var/lib/libuuid:/bin/sh Debian-exim:x:101:103::/var/spool/exim4:/bin/false statd:x:102:65534::/var/lib/nfs:/bin/false messagebus:x:103:108::/var/run/dbus:/bin/false gdm:x:104:109:Gnome Display Manager:/var/lib/gdm:/bin/false haldaemon:x:105:110:Hardware abstraction layer,,,:/var/run/hal:/bin/false sshd:x:106:65534::/var/run/sshd:/usr/sbin/nologin xarx:x:1000:1000:,,,:/home/xarx:/bin/bash porc:x:1002:1002:,,,:/home/porc:/bin/bash manel:x:1001:1001:,,,:/home/manel:/bin/bash ftp:x:107:65534::/home/ftp:/bin/false debian-xfs:x:108:112::/nonexistant:/bin/false stella:x:1003:1004:,,,:/home/stella:/bin/bash avahi:x:109:113:Avahi mDNS daemon,,,:/var/run/avahi-daemon:/bin/false ghost:x:0:0::/home/ghost:/bin/sh Els usuaris del pc son manel,xarx,stella i porc L'ultims es ben estrany , el directori ghost diu que no hi es. lo més 'estrany' del usuari ghost es que té l'uid 0, vol dir que es un usuari amb permisos de root. lluny d ser un expert en aquests temes et recomanaría fer una copia de les dades de la máquina i tornar a instalar-la. esta clar que la máquina ha sigut compromesa, l'intrus ha aconseguit permisos de superusuari, es difficil saber quines portes traseres s'ha deixat obert. salutacions -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: errors d'execució
JManel, amb el que has vist fins ara no cal que passis el 'chkrootkit' ni el 'rkhunter'. Està molt clar que t'han colonitzat la màquina. Potser han entrat endevinant un d'aquests passwords tirats o potser per alguna aplicació no actualizada o mal configurada, però ara no cal que t'hi trenquis molt el cap. Com que han remplaçat alguns dels teus binaris (i no hi ha manera de saber quins) no queda altre sol·lució que reinstal·lar tot el servidor. Quan tinc una d'aquestes alegries i no puc reinstal·lar immediatament acostumo a deixar la màquina desendollada. Així evitem que el mal s'estengui; qui s'ha pres la feina de colonitzar la teva màquina l'estarà fent servir per alguna cosa: atacar altres màquines, enviar spam... Tot un sector industrial en que probablement no vols participar. ;-) A més de reinstal·lar no t'oblidis de canviar tots els passwords. A hores d'ara el teu okupa els deu tenir tots ben guardats. Avisa els teus usuaris de que deixin de fer servir aquest password, en cas de que féssin servir el mateix en altres llocs. Al marge d'això, em sembla que en un altre mail has dit que fas servir 'xtightvnc'. Em confonc o els passwords no van encriptats? Això sol ja seria un forat d'entrada, hauràs de buscar una alternativa si no vols tornar a tenir visites. I, per xafarderia: com és que feu servir ROMS? Ets oceanògraf? -- ## ### Jordi Funollet ### http://www.terraquis.net -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: errors d'execució
Hola moltes gràcies: Soc un recent jubilat feliç, autodidacta en linux i ni idea de oceonagrafia, i pel que es veu en linux tampoc! Cuidava aquesta màquina instal·lant els programes i utilitats que em demanaven, (espero fer-ho encara,...). No m'havia preocupat mai per la seguretat, els paswd eren del tipus 0; 123456; no hi havia ni llistes d'adreçes, ni noms., res que podés interessar ningú, almenys és el que jo creia. Potser si que li varen buscar altres activitats. Fins que es varen cansar i varen canviar el paswd per posar-me a prova: si era capaç de notar alguna coseta rara. Instal·larè tot el sistema. Als /homes hi ha: dades, programes dels usuaris, aixo no cal oi? el directori /opt hi ha compiladors, llibreries i programes que no depenen de la debian, tampoc cal no? Nomes posaré: sshd sftpd tightvncserver (diu que la contrasenya va encriptada pero les dades no) El servidor apache l'apagaré. La configuració d'això es molt elemental no? Tinc ganes de veure que diu el chkrootkit, i que hi als logs,. Moltes gràcies. JMGrifoll El 6 de gener de 2010 22:37, Jordi Funollet jord...@ati.es ha escrit: JManel, amb el que has vist fins ara no cal que passis el 'chkrootkit' ni el 'rkhunter'. Està molt clar que t'han colonitzat la màquina. Potser han entrat endevinant un d'aquests passwords tirats o potser per alguna aplicació no actualizada o mal configurada, però ara no cal que t'hi trenquis molt el cap. Com que han remplaçat alguns dels teus binaris (i no hi ha manera de saber quins) no queda altre sol·lució que reinstal·lar tot el servidor. Quan tinc una d'aquestes alegries i no puc reinstal·lar immediatament acostumo a deixar la màquina desendollada. Així evitem que el mal s'estengui; qui s'ha pres la feina de colonitzar la teva màquina l'estarà fent servir per alguna cosa: atacar altres màquines, enviar spam... Tot un sector industrial en que probablement no vols participar. ;-) A més de reinstal·lar no t'oblidis de canviar tots els passwords. A hores d'ara el teu okupa els deu tenir tots ben guardats. Avisa els teus usuaris de que deixin de fer servir aquest password, en cas de que féssin servir el mateix en altres llocs. Al marge d'això, em sembla que en un altre mail has dit que fas servir 'xtightvnc'. Em confonc o els passwords no van encriptats? Això sol ja seria un forat d'entrada, hauràs de buscar una alternativa si no vols tornar a tenir visites. I, per xafarderia: com és que feu servir ROMS? Ets oceanògraf? -- ## ### Jordi Funollet ### http://www.terraquis.net -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: errors d'execució
Jo aposto que és a causa del HD nou. Com vau fer el canvi? Ja funcionava correctament el nou HD? Nes festes, A Dimarts 05 Gener 2010, JManel Grifoll va escriure: Hola: Tenim un servidor que ara no es accessible físicament, te una Debian estable, que fa un mes que es va actualitzar aprofitant que se li havia de canviar un disc dur. El cas es que fa unes 48 hores li fallen algunes instruccions. Cada 1/4 hora corre un script comprobant la ip: envia un correu dient que (...) /bin/cat cannot execute binary file. també li falla: cp , rm, chmod,.. (mateix missatge) Funcionen bé.:ls, ps, mkdir,chown,mount ,. ssh (si pot entrar). Va quedar amb una sessió del tighvncserver oberta, on funciona el matlab, ifort,be El més greu es que si vull ser root tot i que su s'executa, no admet la contrassenya (error d'autenticació). O sigui que no puc veure els logs,. ni reinstalar,... Pinta molt malament,.. sense ser root no puc treure informació dels discs durs? Algú te alguna idea per provar , abans de fotre 200km? Gràcies a tots. Salut JM Grifoll -- Utopic Q: Why do people who live near Niagara Falls have flat foreheads? A: Because every morning they wake up thinking What *is* that noise? Oh, right, *of course*! -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: errors d'execució
jo vaig trobar-me en un cas semblant i va resultar que havien instal·lat un rootkit al sistema, prova d'instal·lar i executar chkrootkit... sense alarmar eh? A Dimarts, 5 de gener de 2010, Utopic va escriure: Jo aposto que és a causa del HD nou. Com vau fer el canvi? Ja funcionava correctament el nou HD? Nes festes, A Dimarts 05 Gener 2010, JManel Grifoll va escriure: Hola: Tenim un servidor que ara no es accessible físicament, te una Debian estable, que fa un mes que es va actualitzar aprofitant que se li havia de canviar un disc dur. El cas es que fa unes 48 hores li fallen algunes instruccions. Cada 1/4 hora corre un script comprobant la ip: envia un correu dient que (...) /bin/cat cannot execute binary file. també li falla: cp , rm, chmod,.. (mateix missatge) Funcionen bé.:ls, ps, mkdir,chown,mount ,. ssh (si pot entrar). Va quedar amb una sessió del tighvncserver oberta, on funciona el matlab, ifort,be El més greu es que si vull ser root tot i que su s'executa, no admet la contrassenya (error d'autenticació). O sigui que no puc veure els logs,. ni reinstalar,... Pinta molt malament,.. sense ser root no puc treure informació dels discs durs? Algú te alguna idea per provar , abans de fotre 200km? Gràcies a tots. Salut JM Grifoll -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: errors d'execució
Hola, Prova de veure l'únic log visible a nivell d'usuari, el dmesg. Allà veuràs si hi ha hagut errors de disc. Salut i sort El 5 de gener de 2010 16:23, tictac tictac...@gmail.com ha escrit: jo vaig trobar-me en un cas semblant i va resultar que havien instal·lat un rootkit al sistema, prova d'instal·lar i executar chkrootkit... sense alarmar eh? A Dimarts, 5 de gener de 2010, Utopic va escriure: Jo aposto que és a causa del HD nou. Com vau fer el canvi? Ja funcionava correctament el nou HD? Nes festes, A Dimarts 05 Gener 2010, JManel Grifoll va escriure: Hola: Tenim un servidor que ara no es accessible físicament, te una Debian estable, que fa un mes que es va actualitzar aprofitant que se li havia de canviar un disc dur. El cas es que fa unes 48 hores li fallen algunes instruccions. Cada 1/4 hora corre un script comprobant la ip: envia un correu dient que (...) /bin/cat cannot execute binary file. també li falla: cp , rm, chmod,.. (mateix missatge) Funcionen bé.:ls, ps, mkdir,chown,mount ,. ssh (si pot entrar). Va quedar amb una sessió del tighvncserver oberta, on funciona el matlab, ifort,be El més greu es que si vull ser root tot i que su s'executa, no admet la contrassenya (error d'autenticació). O sigui que no puc veure els logs,. ni reinstalar,... Pinta molt malament,.. sense ser root no puc treure informació dels discs durs? Algú te alguna idea per provar , abans de fotre 200km? Gràcies a tots. Salut JM Grifoll -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org -- Andreu Bassols i Alcón http://xarxa.eines.cat
Re: errors d'execució
Vaja! han canviat algunes coses, fixeu-vos amb les dates d'aquests arxius, i no s'actualitzat en un mes com a mínim!: -rwxr-xr-x 1 root root11712 Dec 27 2007 /bin/dnsdomainname -rwxr-xr-x 1 root root40328 Jan 3 01:41 /bin/cat -rwxr-xr-x 1 root root57752 Jan 3 01:41 /bin/chmod -rwxr-xr-x 1 root root86376 Jan 3 01:41 /bin/cp -rwxr-xr-x 1 root root 110184 Jan 3 01:41 /bin/dir -rwxr-xr-x 1 root root14856 Jan 3 01:41 /bin/dmesg -rwxr-xr-x 1 root root57824 Jan 3 01:41 /bin/ed -rwxr-xr-x 1 root root69008 Jan 3 01:41 /bin/fgrep -rwxr-xr-x 1 root root24160 Jan 3 01:41 /bin/kill -rwxr-xr-x 1 root root41544 Jan 3 01:41 /bin/mknod -rwxr-xr-x 1 root root40792 Jan 3 01:41 /bin/more -rwxr-xr-x 1 root root93512 Jan 3 01:41 /bin/mv -rwxr-xr-x 1 root root32184 Jan 3 01:41 /bin/nc.traditional -rwxr-xr-x 1 122 netdev 62920 Jan 11 2009 /bin/ps -rwxr-xr-x 1 root root48072 Jan 3 01:41 /bin/readlink -rwxr-xr-x 1 root root61768 Jan 3 01:41 /bin/rm -rwxr-xr-x 1 root root37096 Jan 3 01:41 /bin/rmdir -rwxr-xr-x 1 root root23704 Jan 3 01:41 /bin/run-parts -rwxr-xr-x 1 root root38152 Jan 3 01:41 /bin/sleep -rwxr-xr-x 1 root root14920 Jan 3 01:41 /bin/tailf -rwxr-xr-x 1 root root16040 Jan 3 01:41 /bin/tempfile Alguns funcionen i alguns no! M'agradaria saber qui es aquest usuari 122 del ps Ganes de tocar els pebrots no? O volien fer spam? Sembla que informació no n'han esborrat! Bona nit de reis! JMGrifoll El 5 de gener de 2010 16:23, tictac tictac...@gmail.com ha escrit: jo vaig trobar-me en un cas semblant i va resultar que havien instal·lat un rootkit al sistema, prova d'instal·lar i executar chkrootkit... sense alarmar eh? A Dimarts, 5 de gener de 2010, Utopic va escriure: Jo aposto que és a causa del HD nou. Com vau fer el canvi? Ja funcionava correctament el nou HD? Nes festes, A Dimarts 05 Gener 2010, JManel Grifoll va escriure: Hola: Tenim un servidor que ara no es accessible físicament, te una Debian estable, que fa un mes que es va actualitzar aprofitant que se li havia de canviar un disc dur. El cas es que fa unes 48 hores li fallen algunes instruccions. Cada 1/4 hora corre un script comprobant la ip: envia un correu dient que (...) /bin/cat cannot execute binary file. també li falla: cp , rm, chmod,.. (mateix missatge) Funcionen bé.:ls, ps, mkdir,chown,mount ,. ssh (si pot entrar). Va quedar amb una sessió del tighvncserver oberta, on funciona el matlab, ifort,be El més greu es que si vull ser root tot i que su s'executa, no admet la contrassenya (error d'autenticació). O sigui que no puc veure els logs,. ni reinstalar,... Pinta molt malament,.. sense ser root no puc treure informació dels discs durs? Algú te alguna idea per provar , abans de fotre 200km? Gràcies a tots. Salut JM Grifoll -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: errors d'execució
A Dimecres, 6 de gener de 2010, JManel Grifoll va escriure: Vaja! han canviat algunes coses, fixeu-vos amb les dates d'aquests arxius, i no s'actualitzat en un mes com a mínim!: -rwxr-xr-x 1 root root11712 Dec 27 2007 /bin/dnsdomainname -rwxr-xr-x 1 root root40328 Jan 3 01:41 /bin/cat -rwxr-xr-x 1 root root57752 Jan 3 01:41 /bin/chmod -rwxr-xr-x 1 root root86376 Jan 3 01:41 /bin/cp -rwxr-xr-x 1 root root 110184 Jan 3 01:41 /bin/dir -rwxr-xr-x 1 root root14856 Jan 3 01:41 /bin/dmesg -rwxr-xr-x 1 root root57824 Jan 3 01:41 /bin/ed -rwxr-xr-x 1 root root69008 Jan 3 01:41 /bin/fgrep -rwxr-xr-x 1 root root24160 Jan 3 01:41 /bin/kill -rwxr-xr-x 1 root root41544 Jan 3 01:41 /bin/mknod -rwxr-xr-x 1 root root40792 Jan 3 01:41 /bin/more -rwxr-xr-x 1 root root93512 Jan 3 01:41 /bin/mv -rwxr-xr-x 1 root root32184 Jan 3 01:41 /bin/nc.traditional -rwxr-xr-x 1 122 netdev 62920 Jan 11 2009 /bin/ps -rwxr-xr-x 1 root root48072 Jan 3 01:41 /bin/readlink -rwxr-xr-x 1 root root61768 Jan 3 01:41 /bin/rm -rwxr-xr-x 1 root root37096 Jan 3 01:41 /bin/rmdir -rwxr-xr-x 1 root root23704 Jan 3 01:41 /bin/run-parts -rwxr-xr-x 1 root root38152 Jan 3 01:41 /bin/sleep -rwxr-xr-x 1 root root14920 Jan 3 01:41 /bin/tailf -rwxr-xr-x 1 root root16040 Jan 3 01:41 /bin/tempfile Alguns funcionen i alguns no! M'agradaria saber qui es aquest usuari 122 del ps Ganes de tocar els pebrots no? O volien fer spam? Sembla que informació no n'han esborrat! Bona nit de reis! Si no han esborrat info potser es tracta de quelcom automatitzat, un cuc per exemple, que ha aprofitat alguna fallada coneguda en un sistema poc actualitzat. A mi fa molts anys em va passar un cas semblant: em va entrar un cuc anomenat adore que em va canviar el ps i va compilar un mòdul del kernel per tal d'ocultar-se a si mateix. També es dedicava a propagar-se a altres sistemes fent servir el meu com a base. Em va entrar per un servidor ftp (wu-ftp) amb un bug conegut i no corregit per part meva. Però aleshores jo era un jovencell inexpert i no en sabia gens... Aplicaves regularment els pegats de seguretat? Orestes. -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: errors d'execució
Hola: Dons potser fa un mes mes i mig que es va actualitzar, es una màquina que calcula, fa simulacions de roms (Regional oceanografic Model,) dia i nit. Si para es per accident,el corrent, un disk dur,.. No hi ha ni emule, ni skype, gaim, xchat, ...no la toca ningú. Els pswd són tirats, ara mateix tenia una sessio xtightvncviewer oberta i s'ha tancat. Un dia vaig veure uns logs que provaven d'obrir una sessio ssh amb noms anglesos corrents, no en vaig fer cas. No puc fer res. Adeu i gràcies.! 2010/1/6 Orestes Mas ores...@tsc.upc.edu A Dimecres, 6 de gener de 2010, JManel Grifoll va escriure: Vaja! han canviat algunes coses, fixeu-vos amb les dates d'aquests arxius, i no s'actualitzat en un mes com a mínim!: -rwxr-xr-x 1 root root11712 Dec 27 2007 /bin/dnsdomainname -rwxr-xr-x 1 root root40328 Jan 3 01:41 /bin/cat -rwxr-xr-x 1 root root57752 Jan 3 01:41 /bin/chmod -rwxr-xr-x 1 root root86376 Jan 3 01:41 /bin/cp -rwxr-xr-x 1 root root 110184 Jan 3 01:41 /bin/dir -rwxr-xr-x 1 root root14856 Jan 3 01:41 /bin/dmesg -rwxr-xr-x 1 root root57824 Jan 3 01:41 /bin/ed -rwxr-xr-x 1 root root69008 Jan 3 01:41 /bin/fgrep -rwxr-xr-x 1 root root24160 Jan 3 01:41 /bin/kill -rwxr-xr-x 1 root root41544 Jan 3 01:41 /bin/mknod -rwxr-xr-x 1 root root40792 Jan 3 01:41 /bin/more -rwxr-xr-x 1 root root93512 Jan 3 01:41 /bin/mv -rwxr-xr-x 1 root root32184 Jan 3 01:41 /bin/nc.traditional -rwxr-xr-x 1 122 netdev 62920 Jan 11 2009 /bin/ps -rwxr-xr-x 1 root root48072 Jan 3 01:41 /bin/readlink -rwxr-xr-x 1 root root61768 Jan 3 01:41 /bin/rm -rwxr-xr-x 1 root root37096 Jan 3 01:41 /bin/rmdir -rwxr-xr-x 1 root root23704 Jan 3 01:41 /bin/run-parts -rwxr-xr-x 1 root root38152 Jan 3 01:41 /bin/sleep -rwxr-xr-x 1 root root14920 Jan 3 01:41 /bin/tailf -rwxr-xr-x 1 root root16040 Jan 3 01:41 /bin/tempfile Alguns funcionen i alguns no! M'agradaria saber qui es aquest usuari 122 del ps Ganes de tocar els pebrots no? O volien fer spam? Sembla que informació no n'han esborrat! Bona nit de reis! Si no han esborrat info potser es tracta de quelcom automatitzat, un cuc per exemple, que ha aprofitat alguna fallada coneguda en un sistema poc actualitzat. A mi fa molts anys em va passar un cas semblant: em va entrar un cuc anomenat adore que em va canviar el ps i va compilar un mòdul del kernel per tal d'ocultar-se a si mateix. També es dedicava a propagar-se a altres sistemes fent servir el meu com a base. Em va entrar per un servidor ftp (wu-ftp) amb un bug conegut i no corregit per part meva. Però aleshores jo era un jovencell inexpert i no en sabia gens... Aplicaves regularment els pegats de seguretat? Orestes. -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
errors d'execució
Hola: Tenim un servidor que ara no es accessible físicament, te una Debian estable, que fa un mes que es va actualitzar aprofitant que se li havia de canviar un disc dur. El cas es que fa unes 48 hores li fallen algunes instruccions. Cada 1/4 hora corre un script comprobant la ip: envia un correu dient que : (...) /bin/cat cannot execute binary file. també li falla: cp , rm, chmod,.. (mateix missatge) Funcionen bé.:ls, ps, mkdir,chown,mount ,. ssh (si pot entrar). Va quedar amb una sessió del tighvncserver oberta, on funciona el matlab, ifort,be El més greu es que si vull ser root tot i que su s'executa, no admet la contrassenya (error d'autenticació). O sigui que no puc veure els logs,. ni reinstalar,... Pinta molt malament,.. sense ser root no puc treure informació dels discs durs? Algú te alguna idea per provar , abans de fotre 200km? Gràcies a tots. Salut JM Grifoll