Securite
Bonnjour, Ce matin j'ai trouvé un drôle de cadeau de noël dans mes log. N'etant pas expert en securite j'aimerais avoir votre avis pour savoir si je dois m'inquiéter. Ci-dessous les fichiers interresant qui valent mieux qu'un long discours: **auth.log: Dec 25 06:25:01 homedebian PAM_unix[3729]: (cron) session opened for user root by (uid=0) Dec 25 06:25:02 homedebian su[3751]: + ??? root-nobody Dec 25 06:25:02 homedebian PAM_unix[3751]: (su) session opened for user nobody by (uid=0) Dec 25 06:27:05 homedebian PAM_unix[3729]: (cron) session closed for user root **apache/error.log: #Un asticot acharné, je ne vous est pas mis le debut ça aurait fait long [Wed Dec 24 19:32:16 2003] [error] [client 80.14.89.16] File does not exist: /var/www/d/winnt/system32/cmd.exe [Wed Dec 24 19:32:17 2003] [error] [client 80.14.89.16] File does not exist: /var/www/scripts/..%5c../winnt/system32/cmd.exe [Wed Dec 24 19:32:27 2003] [error] [client 80.14.89.16] File does not exist: /var/www/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe [Wed Dec 24 19:33:15 2003] [error] [client 80.14.89.16] File does not exist: /var/www/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe [Wed Dec 24 22:22:08 2003] [error] [client 80.14.89.16] File does not exist: /var/www/scripts/root.exe #La partie interessante [Thu Dec 25 06:25:53 2003] [notice] SIGUSR1 received. Doing graceful restart [Thu Dec 25 06:25:55 2003] [error] (2)No such file or directory: mod_mime_magic: can't read magic file /etc/apache/share/magic [Thu Dec 25 06:25:55 2003] [notice] Apache/1.3.26 (Unix) Debian GNU/Linux PHP/4.1.2 configured -- resuming normal operations [Thu Dec 25 06:25:55 2003] [notice] suEXEC mechanism enabled (wrapper: /usr/lib/apache/suexec) [Thu Dec 25 06:25:55 2003] [notice] Accept mutex: sysvsem (Default: sysvsem) **syslog: Là c'est interessant car il a redemarré à 6H27 en créant un nouveau fichier syslog. #La fin de l'ancien; syslog.0 Dec 25 06:25:01 homedebian /USR/SBIN/CRON[3730]: (root) CMD (test -e /usr/sbin/anacron || run-parts --report /etc/cron.daily) #Et le debut du nouveau Dec 25 06:27:05 homedebian syslogd 1.4.1#10: restart. Enfin j'ai trouver des fichiers (que je n'avais jamais vu auparavant mais c'est peut être une erreur de ma part) portant le nom setuid.* dont voici le contenu: #setuid.changes homedebian changes to setuid programs and devices: --- setuid.todayThu Dec 25 06:27:05 2003 +++ /var/log/setuid.new.tmp Thu Dec 25 06:27:05 2003 @@ -0,0 +1,5442 @@ + 15586 666 1 root root 0 Wed Dec 24 12:41:26 2003 /dev/dri/card0 + 15707 4755 1 root root 14508 Mon Jan 21 21:25:22 2002 /sbin/unix_chkpwd + 15769 660 1 root root 0 Thu Mar 14 22:54:42 2002 /dev/input/mice Environ 6000 lignes dans le même type suivent... Là c'à m'inquiète parce que mon système a été réinstallé en novembre 2003 et ce fichier crée ce matin à 6H27 contient des infos datant de 2002. Ce fichier est accompagné d'autres du même type: setuid.changes.0, setuid.changes.new, setuid.today, setuid.yesterday crées en même temps. Pour terminer au redemarrage de ma connexion ADSL j'ai trouvé quelque chose de bizarre: Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for funkytaz10.myftp.org /IN Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for funkytaz10.myftp.org /IN Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for funkytaz10.myftp.org A/IN Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for funkytaz10.myftp.org A/IN Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for funkytaz10.myftp.org.linuxlan /IN Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for funkytaz10.myftp.org.linuxlan /IN Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for funkytaz10.myftp.org /IN Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for funkytaz10.myftp.org /IN Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for funkytaz10.myftp.org.linuxlan A/IN Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for funkytaz10.myftp.org.linuxlan A/IN Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for funkytaz10.myftp.org A/IN Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for funkytaz10.myftp.org A/IN Voilà c'est tout. Si vous avez une idée... Je vous souhaite un joyeux noel à tous. Paul PS: Woody + Iptables avec apache. Noyau 2.4.22
configurer graveur dvd/cd
salut, et joyeux noel.. comment doit on configurer un graveur/lecteur de dvd et cdrom (ide). j'ai essayé de mettre 'auto' puis 'udf' dans fstab comme système de fichier pour le peripherique /dev/dvd (/dev/scd0), et on peut monter le dvd, mais mplayer refuse de l'ouvrir. quelqu'un peut il m'aider, merci et bonnes fetes...
Re: Securite
Bonjour, Bonjour, Ce matin j'ai trouvé un drôle de cadeau de noël dans mes log. N'etant pas expert en securite j'aimerais avoir votre avis pour savoir si je dois m'inquiéter. Ci-dessous les fichiers interresant qui valent mieux qu'un long discours: :) **auth.log: Dec 25 06:25:01 homedebian PAM_unix[3729]: (cron) session opened for user root by (uid=0) Dec 25 06:25:02 homedebian su[3751]: + ??? root-nobody Dec 25 06:25:02 homedebian PAM_unix[3751]: (su) session opened for user nobody by (uid=0) Dec 25 06:27:05 homedebian PAM_unix[3729]: (cron) session closed for user root regarde les scripts placés dans /etc/cron.daily, il doit y en avoir un qui cherche à faire un su **apache/error.log: #Un asticot acharné, je ne vous est pas mis le debut ça aurait fait long [Wed Dec 24 19:32:16 2003] [error] [client 80.14.89.16] File does not exist: /var/www/d/winnt/system32/cmd.exe [Wed Dec 24 19:32:17 2003] [error] [client 80.14.89.16] File does not exist: /var/www/scripts/..%5c../winnt/system32/cmd.exe [Wed Dec 24 19:32:27 2003] [error] [client 80.14.89.16] File does not exist: /var/www/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe [Wed Dec 24 19:33:15 2003] [error] [client 80.14.89.16] File does not exist: /var/www/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe [Wed Dec 24 22:22:08 2003] [error] [client 80.14.89.16] File does not exist: /var/www/scripts/root.exe tentative d'attaque connu sur un serveur IIS de M$, a part te faire pourrir tes log, tu ne craints rien de ce coté là #La partie interessante [Thu Dec 25 06:25:53 2003] [notice] SIGUSR1 received. Doing graceful restart [Thu Dec 25 06:25:55 2003] [error] (2)No such file or directory: mod_mime_magic: can't read magic file /etc/apache/share/magic [Thu Dec 25 06:25:55 2003] [notice] Apache/1.3.26 (Unix) Debian GNU/Linux PHP/4.1.2 configured -- resuming normal operations [Thu Dec 25 06:25:55 2003] [notice] suEXEC mechanism enabled (wrapper: /usr/lib/apache/suexec) [Thu Dec 25 06:25:55 2003] [notice] Accept mutex: sysvsem (Default: sysvsem) Rien de léchant ici, a 6h25 le matin il y a cron.daily ou cron.weekly qui se lance. - voir dans /etc/crontab et man cron. et dans ces scripts, il doit y avoir logrotate qui te permet de faire tourner tes logs, pour éviter d'avoir de trop gros fichier dans /var/log, et à la fin le script relance apache pour recréer les fichiers de log pour ce qui est du mod_mime_magic, simplement qu'au redémarrage, il charge les modules et en chargeant ce module, il a besoin de lire le fichier /etc/apache/share/magic et il n'y arrive pas. **syslog: Là c'est interessant car il a redemarré à 6H27 en créant un nouveau fichier syslog. #La fin de l'ancien; syslog.0 Dec 25 06:25:01 homedebian /USR/SBIN/CRON[3730]: (root) CMD (test -e /usr/sbin/anacron || run-parts --report /etc/cron.daily) #Et le debut du nouveau Dec 25 06:27:05 homedebian syslogd 1.4.1#10: restart. cf logrotate pour les log d'apache, il le fait également sur syslog Enfin j'ai trouver des fichiers (que je n'avais jamais vu auparavant mais c'est peut être une erreur de ma part) portant le nom setuid.* dont voici le contenu: #setuid.changes homedebian changes to setuid programs and devices: --- setuid.todayThu Dec 25 06:27:05 2003 +++ /var/log/setuid.new.tmp Thu Dec 25 06:27:05 2003 @@ -0,0 +1,5442 @@ + 15586 666 1 root root 0 Wed Dec 24 12:41:26 2003 /dev/dri/card0 + 15707 4755 1 root root 14508 Mon Jan 21 21:25:22 2002 /sbin/unix_chkpwd + 15769 660 1 root root 0 Thu Mar 14 22:54:42 2002 /dev/input/mice Environ 6000 lignes dans le même type suivent... Là c'à m'inquiète parce que mon système a été réinstallé en novembre 2003 et ce fichier crée ce matin à 6H27 contient des infos datant de 2002. je ne connais pas trop donc je ne dirais ne donnerai pas d'explication, mais a priori ce n'est pas inquiétant Ce fichier est accompagné d'autres du même type: setuid.changes.0, setuid.changes.new, setuid.today, setuid.yesterday crées en même temps. Pour terminer au redemarrage de ma connexion ADSL j'ai trouvé quelque chose de bizarre: Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for funkytaz10.myftp.org /IN Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for funkytaz10.myftp.org /IN Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for funkytaz10.myftp.org A/IN Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for funkytaz10.myftp.org A/IN Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for funkytaz10.myftp.org.linuxlan /IN Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for funkytaz10.myftp.org.linuxlan /IN Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for funkytaz10.myftp.org /IN Dec 25 12:38:23 homedebian named[292]: denied query from
Re: configurer graveur dvd/cd
dédé le homard wrote: salut, et joyeux noel.. A toi aussi comment doit on configurer un graveur/lecteur de dvd et cdrom (ide). j'ai essayé de mettre 'auto' puis 'udf' dans fstab comme système de fichier pour le peripherique /dev/dvd (/dev/scd0), et on peut monter le dvd, mais mplayer refuse de l'ouvrir. chez moi /dev/cdrom (pointe sur /dev/scd1) est mon lecteur/graveur CD (pas DVD) fs=iso9660 De meme, /dev/scd0 est mon lecteur DVD Dans lilo.conf j'ai append=hdb=ide-scsi hdc=ide-scsi quelqu'un peut il m'aider, merci et bonnes fetes... De meme. -- : __ __ __ __ __ __ [EMAIL PROTECTED] : /_// __ // __ //_// __ // / phone.: +48 32 285 5276 : / / / /_/ // /_/ / / / / /_/ // / fax: +48 32 285 5276 : /_/ /_//_/ /_/ /_/ /_//_/ mobile..: +48 602 284 546
Re: devfs Obsolete
On Wed, Dec 24, 2003 at 12:14:40PM +0100, Georges Roux wrote: Au vue de la news postée sur kerneltrap au sujet de devfs. Doit ton continuer a utiliser devfs? http://kerneltrap.org/node/view/1893 La plupart des développeurs importants étant contre devfs (et ça date pas d'hier), et maintenant qu'un remplacement correct commence à faire son apparition, y'a peu de chances pour que devfs soit developpé et survive très longtemps. De façon générale, quand il y a deux façons de faire qqch et qu'une est faite dans le noyau, et l'autre en espace utilisateur, la seconde est presque toujours mieux que la première. ou doit on commencer a migrer? Ne pas t'affole, A. Morton a dit clairement que devfs resterait dans 2.6, et dans 2.7 tant que udev n'est pas fini. Tu devrais donc avoir au moins un ou deux ans devant toi... Par contre, ceux qui pensent passer à devfs maintenant devrait revoir leur décision. Moi je venais de passer a devfs. Never touch a running system. :-) /Y - qui n'a jamais changé ce que la distribution décide de faire
Erreur avec Exim + Amavis-ng + spamc
Salut. Joyeux noël d'abord, même si le père noël n'est pas encore passé jusque chez moi. En fait, il est passé me mettre à jour quelques paquets sur ma debian, et depuis j'ai un souci avec Amavis-ng :( La log dit: Dec 25 18:16:37 cantor amavis[23926]: Starting AMaViS 0.1.6.1 Dec 25 18:16:39 cantor amavis[23926]: Unpacking message in /tmp/amavis-unpack-3feb1b77-5d76 Dec 25 18:16:39 cantor amavis[23926]: AMAVIS: Determined to be type message/rfc822 Dec 25 18:16:39 cantor amavis[23926]: AMAVIS: Determined 0001 to be type text/plain Dec 25 18:16:39 cantor amavis[23926]: Not attempting to unpack 0001 Dec 25 18:16:40 cantor amavis[23926]: AMAVIS::MTA::Exim: Accepting message Dec 25 18:16:40 cantor amavis[23926]: AMAVIS::MTA::Exim: /usr/sbin/exim exited with 10 Dec 25 18:16:40 cantor amavis[23926]: AMAVIS: Cleaning up. Dec 25 18:16:40 cantor amavis[23926]: AMAVIS: Done. Et du coup je ne reçoit pas les messages... Ils se volatilisent :( Quelques infos de versions: ii amavis-ng 0.1.6.2-1 AMaViS Next Generation ii exim 3.36-8 An MTA (Mail Transport Agent) ii spamassassin 2.60-2 Perl-based spam filter using text analysis ii spamc 2.60-2 Client for perl-based spam filtering daemon Et je suis en testing... Bien sûr j'ai rien trouvé dans Google et le BTS :( Si un gentil père noël pouvait m'envoyer un petit debug de ce truc là :) -- Life is a game of bridge -- and you've just been finessed.
Re: Securite
Le jeudi 25 décembre 2003, Paulo.debian a écrit... bonjour, + 15707 4755 1 root root 14508 Mon Jan 21 21:25:22 2002 /sbin/unix_chkpwd Regarde dans syslog si ce binaire est mentionné. Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for funkytaz10.myftp.org A/IN Vérifies si qqch tourne sur le port 32789 -- jean-michel
Re: devfs Obsolete
Never touch a running system. :-) Ah mais non,moi faut que le system tourne pour que je me decide a y toucher. Bref, par chance seul mon portable et passè sous devfs, bon ca vas me faire bosser un peu la migration surtout qu' udev connais pas encore. C'est les developpeurs qui vont etre joyeux de si retrouver dans tous ca... c?est qui en a, des perifs maintenant. Georges
Re: Securite
Bonnjour, Ce matin j'ai trouvé un drôle de cadeau de noël dans mes log. N'etant pas expert en securite j'aimerais avoir votre avis pour savoir si je dois m'inquiéter. Ci-dessous les fichiers interresant qui valent mieux qu'un long discours: **auth.log: Dec 25 06:25:01 homedebian PAM_unix[3729]: (cron) session opened for user root by (uid=0) Dec 25 06:25:02 homedebian su[3751]: + ??? root-nobody Dec 25 06:25:02 homedebian PAM_unix[3751]: (su) session opened for user nobody by (uid=0) Dec 25 06:27:05 homedebian PAM_unix[3729]: (cron) session closed for user root oh le beau rootkit ! **apache/error.log: #Un asticot acharné, je ne vous est pas mis le debut ça aurait fait long [Wed Dec 24 19:32:16 2003] [error] [client 80.14.89.16] File does not exist: /var/www/d/winnt/system32/cmd.exe [Wed Dec 24 19:32:17 2003] [error] [client 80.14.89.16] File does not exist: /var/www/scripts/..%5c../winnt/system32/cmd.exe [Wed Dec 24 19:32:27 2003] [error] [client 80.14.89.16] File does not exist: /var/www/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe [Wed Dec 24 19:33:15 2003] [error] [client 80.14.89.16] File does not exist: /var/www/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe [Wed Dec 24 22:22:08 2003] [error] [client 80.14.89.16] File does not exist: /var/www/scripts/root.exe un peu blaireau sur les bords, il a d'abord cru que t'étais sous win NT. il a donc testé l'exploit classique, garanti script-kiddie au moins, il t'a laissé une IP (la sienne ? vu ses méthodes, ça ne serait pas étonnant) : 80.14.89.16 (d'après ton log, il la possédait au moins de 19:32:16 à 22:22:08 le 24/12/2003 , garde ça au cas où, on sait jamais ... c'est le seul moyen de le retrouver s'il fait des conneries) #La partie interessante [Thu Dec 25 06:25:53 2003] [notice] SIGUSR1 received. Doing graceful restart [Thu Dec 25 06:25:55 2003] [error] (2)No such file or directory: mod_mime_magic: can't read magic file /etc/apache/share/magic [Thu Dec 25 06:25:55 2003] [notice] Apache/1.3.26 (Unix) Debian GNU/Linux PHP/4.1.2 configured -- resuming normal operations [Thu Dec 25 06:25:55 2003] [notice] suEXEC mechanism enabled (wrapper: /usr/lib/apache/suexec) [Thu Dec 25 06:25:55 2003] [notice] Accept mutex: sysvsem (Default: sysvsem) 8 h plus tard, il capte que t'es sous linux et t'envoie un exploit pour apache, que tu devrais d'ailleurs mettre à jour (1.3.26, c'est vraiment vieux comme version, maintenant ça s'appelle httpd et c'est en version 2.0.?, j'ai oublié). utilises aussi les mises à jour sécurité de debian (option à activer dans apt-setup ou par édition manuelle du /etc/apt/sources.list , décommente la ligne correspondante) **syslog: Là c'est interessant car il a redemarré à 6H27 en créant un nouveau fichier syslog. #La fin de l'ancien; syslog.0 Dec 25 06:25:01 homedebian /USR/SBIN/CRON[3730]: (root) CMD (test -e /usr/sbin/anacron || run-parts --report /etc/cron.daily) #Et le debut du nouveau Dec 25 06:27:05 homedebian syslogd 1.4.1#10: restart. il doit avoir l'habitude de cracker du windows, ce qui laisse à penser que son niveau est assez bas : il redémarre un linux, sans doute pour appliquer des modifications (!), d'autant plus ridicule qu'il est root Enfin j'ai trouver des fichiers (que je n'avais jamais vu auparavant mais c'est peut être une erreur de ma part) portant le nom setuid.* dont voici le contenu: #setuid.changes homedebian changes to setuid programs and devices: --- setuid.today Thu Dec 25 06:27:05 2003 +++ /var/log/setuid.new.tmp Thu Dec 25 06:27:05 2003 @@ -0,0 +1,5442 @@ + 15586 666 1 root root 0 Wed Dec 24 12:41:26 2003 /dev/dri/card0 + 15707 4755 1 root root 14508 Mon Jan 21 21:25:22 2002 /sbin/unix_chkpwd + 15769 660 1 root root 0 Thu Mar 14 22:54:42 2002 /dev/input/mice Environ 6000 lignes dans le même type suivent... Là c'à m'inquiète parce que mon système a été réinstallé en novembre 2003 et ce fichier crée ce matin à 6H27 contient des infos datant de 2002. Ce fichier est accompagné d'autres du même type: setuid.changes.0, setuid.changes.new, setuid.today, setuid.yesterday crées en même temps. ben ouais, il a fait joujou avec le rootkit (c'est le père noël qui lui a filé le manuel du parfait petit lamer ;-) ) Pour terminer au redemarrage de ma connexion ADSL j'ai trouvé quelque chose de bizarre: Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for funkytaz10.myftp.org /IN Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for funkytaz10.myftp.org /IN Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for funkytaz10.myftp.org A/IN Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for funkytaz10.myftp.org A/IN Dec 25 12:38:23 homedebian named[292]: denied query from [127.0.0.1].32789 for
Re: Securite
Le jeudi 25 décembre 2003, Charles Grellois a écrit... bonjour, il doit avoir l'habitude de cracker du windows, ce qui laisse à penser que son niveau est assez bas : il redémarre un linux, sans doute pour appliquer des modifications (!), d'autant plus ridicule qu'il est root non pas. cron redémarre syslogd et klogd. Ce qui ne veut pas dire qu'il ne s'est rien passé. PS: Woody + Iptables avec apache. Noyau 2.4.22 METS-MOI CA A JOUR ! Je veux que tu changes de version d'apache, que tu Le 2.4.22 est sujet à la faille brk() un `apt-cache search kernel` sur Woody ne donne _pas_ de version 2.4.22 (enfin, chez moi...) Si tu es en woody, donc en version stable, et que tu utilises des versions de noyau perso il te faudra les mettre à jour personnellemnt. PS: un `apt-cache show apache` sur mon fw en Woody me donne 1.3.26-0woody3 -- jean-michel
Re: Securite
OoO En cette matinée pluvieuse du jeudi 25 décembre 2003, vers 10:45, Charles Grellois [EMAIL PROTECTED] disait: **apache/error.log: #Un asticot acharné, je ne vous est pas mis le debut ça aurait fait long [Wed Dec 24 19:32:16 2003] [error] [client 80.14.89.16] File does not exist: /var/www/d/winnt/system32/cmd.exe [Wed Dec 24 19:32:17 2003] [error] [client 80.14.89.16] File does not exist: /var/www/scripts/..%5c../winnt/system32/cmd.exe [Wed Dec 24 19:32:27 2003] [error] [client 80.14.89.16] File does not exist: /var/www/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe [Wed Dec 24 19:33:15 2003] [error] [client 80.14.89.16] File does not exist: /var/www/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe [Wed Dec 24 22:22:08 2003] [error] [client 80.14.89.16] File does not exist: /var/www/scripts/root.exe un peu blaireau sur les bords, il a d'abord cru que t'étais sous win NT. il a donc testé l'exploit classique, garanti script-kiddie Ou alors un vers. C'est en tout cas très courant. 8 h plus tard, il capte que t'es sous linux et t'envoie un exploit pour apache, que tu devrais d'ailleurs mettre à jour (1.3.26, c'est vraiment vieux comme version, maintenant ça s'appelle httpd et c'est en version 2.0.?, j'ai oublié). utilisesaussi les mises à jour sécurité de debian (option à activer dans apt-setup ou par édition manuelle du /etc/apt/sources.list, décommente laligne correspondante) La 1.3.26 est la dernière stable pour Woody. Les correctifs pour les failles sont backportées vers cette version. **syslog: Là c'est interessant car il a redemarré à 6H27 en créant un nouveau fichier syslog. #La fin de l'ancien; syslog.0 Dec 25 06:25:01 homedebian /USR/SBIN/CRON[3730]: (root) CMD (test -e /usr/sbin/anacron || run-parts --report /etc/cron.daily) #Et le debut du nouveau Dec 25 06:27:05 homedebian syslogd 1.4.1#10: restart. il doit avoir l'habitude de cracker du windows, ce qui laisse à penser que son niveau est assez bas : il redémarre un linux, sans doute pour appliquer des modifications (!), d'autant plus ridicule qu'il est root C'est syslog qui fait un rotate de ses logs. Regarde tes logs, tu as exactement la même chose. -- BOFH excuse #285: Telecommunications is upgrading. pgpKU25Qz4hfa.pgp Description: PGP signature
Re: xmms freeze qq minutes et démarre...
Bon j'avais en effet le plugin oss sur xmms et depuis que j'ai mis le plugin arts ça va vraiment beaucoup mieux. Merci ! Charles Plessy wrote: Vérifie que tu utilises bien artsdriver, et pas la sortie osd... pour xmms j'ai choisi OSS plugin installe le paquet xmmsarts pour que le plugin arts soit disponible.
Re: Liste Debian
Le jeudi 25 décembre 2003, MORANDAIS Sylviane a écrit... bonjour, Pourriez-vous arreter d'envoyer des messages.C'est Noel, MERDE! Et puis ? -- jean-michel
Re: Securite
Charles Grellois wrote: Bonnjour, Ce matin j'ai trouvé un drôle de cadeau de noël dans mes log. N'etant pas expert en securite j'aimerais avoir votre avis pour savoir si je dois m'inquiéter. Ci-dessous les fichiers interresant qui valent mieux qu'un long discours: **auth.log: Dec 25 06:25:01 homedebian PAM_unix[3729]: (cron) session opened for user root by (uid=0) Dec 25 06:25:02 homedebian su[3751]: + ??? root-nobody Dec 25 06:25:02 homedebian PAM_unix[3751]: (su) session opened for user nobody by (uid=0) Dec 25 06:27:05 homedebian PAM_unix[3729]: (cron) session closed for user root bizarre j'ai les memes evenements a la meme heure et au meme jour sur mon serveur Dec 22 06:25:01 www su[19884]: + ??? root-nobody Dec 22 06:25:01 www PAM_unix[19884]: (su) session opened for user nobody by (uid=0) Dec 23 06:25:01 www su[22253]: + ??? root-nobody Dec 23 06:25:01 www PAM_unix[22253]: (su) session opened for user nobody by (uid=0) Dec 24 06:25:01 www su[24606]: + ??? root-nobody Dec 24 06:25:01 www PAM_unix[24606]: (su) session opened for user nobody by (uid=0) Dec 25 06:25:01 www su[26066]: + ??? root-nobody Dec 25 06:25:01 www PAM_unix[26066]: (su) session opened for user nobody by (uid=0)
Re: Securite
Moi, pas le meme jour mais a peu pres la meme heure, je pense a un cron sudo sudo fgrep -r root-nobody /var/log/* ... /var/log/auth.log:Dec 22 06:25:13 mimosa su[12294]: + ??? root-nobody /var/log/auth.log:Dec 23 06:25:14 mimosa su[24730]: + ??? root-nobody /var/log/auth.log:Dec 24 06:25:17 mimosa su[5057]: + ??? root-nobody /var/log/auth.log:Dec 25 06:25:13 mimosa su[16687]: + ??? root-nobody ... Georges baptiste Mille-Mathias wrote: Charles Grellois wrote: Bonnjour, Ce matin j'ai trouvé un drôle de cadeau de noël dans mes log. N'etant pas expert en securite j'aimerais avoir votre avis pour savoir si je dois m'inquiéter. Ci-dessous les fichiers interresant qui valent mieux qu'un long discours: **auth.log: Dec 25 06:25:01 homedebian PAM_unix[3729]: (cron) session opened for user root by (uid=0) Dec 25 06:25:02 homedebian su[3751]: + ??? root-nobody Dec 25 06:25:02 homedebian PAM_unix[3751]: (su) session opened for user nobody by (uid=0) Dec 25 06:27:05 homedebian PAM_unix[3729]: (cron) session closed for user root bizarre j'ai les memes evenements a la meme heure et au meme jour sur mon serveur Dec 22 06:25:01 www su[19884]: + ??? root-nobody Dec 22 06:25:01 www PAM_unix[19884]: (su) session opened for user nobody by (uid=0) Dec 23 06:25:01 www su[22253]: + ??? root-nobody Dec 23 06:25:01 www PAM_unix[22253]: (su) session opened for user nobody by (uid=0) Dec 24 06:25:01 www su[24606]: + ??? root-nobody Dec 24 06:25:01 www PAM_unix[24606]: (su) session opened for user nobody by (uid=0) Dec 25 06:25:01 www su[26066]: + ??? root-nobody Dec 25 06:25:01 www PAM_unix[26066]: (su) session opened for user nobody by (uid=0)
Re: Liste Debian
Jean-Michel OLTRA wrote: Le jeudi 25 décembre 2003, MORANDAIS Sylviane a écrit... bonjour, Pourriez-vous arreter d'envoyer des messages.C'est Noel, MERDE! Et puis ? Serait-ce la femme d'un des utilisateurs/geek qui trainent qui râle ? :-)
Re: Securite
Salut, j'ai pareil dans mes logs. Comme ma machine est rarement allumée à 6h25, je n'ai que 9 apparitions depuis le 17 mars 2003. (C'est l'occasion de me rendre compte que je n'ai pas installé anacron; entre parenthèses un peu étonnnant que ce ne soit qu'en optional.) Olivier -- Laboratoire de Mathématiques, Applications et Physique Mathématique d'Orléans UMR 6628 - Université d'Orléans - B.P. 6759 - 45067 Orléans Cedex 2 E-Mail: [EMAIL PROTECTED] http://www.univ-orleans.fr/SCIENCES/MAPMO/membres/garet/
Re: Machine infectée [était Quel kernel ?]
On Mon, 22 Dec 2003 13:10:55 +0100 daniel huhardeaux [EMAIL PROTECTED] wrote: François Boisson wrote: [...] PS: Un administrateur réseau peut il me donner des conseils, c'est apparemment un Kit0.42, qui install un bindshell sur le port 3049 dont le processus prend les différents noms nmbd, gzip, tar, script, etc. Quelqu'un a-t-il des détails sur ce nom Kit 0.42 (nom apparu au boot quand j'ai viré l'un des processus). J'ai fini par installer une règle iptables bloquant ce port en attendant et le sniffer est stoppé (j'ai retrouvé les fichiers de logs du sniffer, c'est impressionnant). Le plus simple est de refaire une install j'imagine :-(. J'ai conservé une image des disques à tout hasard... Tout depend du temps que tu as devant toi. Il y a 1 an 1/2 une de mes machines etait infecte par le worm bugtraq. Il m'a ete fortement conseille de la reinstaller. Etant pris par le temps, m'en etant rendu compte dans les 12h apres l'infection, et surtout que s'il fallait *absolument* repartir de zero _rapidement_ c'etait possible (par ex en un WE) j'ai decide de ne pas le faire. J'ai passe les 15 jours suivant l'epuration au chevet de la machine (~3h par jour les 2 premiers jours, moins apres) pour verifier. Tout etait rentre dans l'ordre. Ton cas a l'air *beaucoup* plus severe que celui que j'ai subi. A toi de voir ce que tu peux/dois consacrer comme temps car quelquesoit l'option il te _faudra_ du temps, ce que tu perds si la stabilitee de la machine devenait critique, ce que tu perds (donnees) si tu repars a zero. Bref, il n'y a que toi a avoir la reponse. Crois tu que tu pourras/auras les capacites de remettre la machine en etat? donne la reponse et tu auras la solution ;-) Depuis le jour ou cela m'est arrive, j'ai adopte deux regles sur mes machines de production, en dehors du check regulier des logs et tout le tsoin tsoin: 1) toutes les heures un chkrootkit est lance 24h/24h 7j/7j 2) s'il y a un probleme et qu'une solution existe on l'applique, a fortiori s'il s'agit de securite: patchs appliques des disponibilite Je ne reponds pas a ta question, ceci est uniquement le point de vue de quelqu'un a qui c'est deja arrive. Pour t'aider, tu peux peut etre te baser sur les articles de linux magazine qui traitent sur les infections de machines. En esperant t'avoir aider un peu. En fait, j'ai installé des rustines: J'ai remonté le circuit du boot jusqu'à éliminer le lancement du sniffer. Je n'arrive pas à supprimer le bindshell. Visiblement, le vers à l'air d'être assez profondément ancré. Bizarrement, certains fichiers sont grossièrement modifiés mais d'autres le sont plus subtilement. gzip, tar, iptables, etc... Finalement, j'ai procédé comme suit: Sur une autre machine (mon portable tout neuf), j'ai reproduis une sauvegarde saine de la machine, j'ai mis à jour et fait quelques améliorations notamment le nouveau noyau. Puis j'ai crée deux fichiers de la taille exacte de mes deux disques correspondant à / et /usr, je les ai monté en loop et fait une copie de ma nouvelle passerelle. J'ai mis à jour /var et autres histoire de ne pas perdre la base bayes de spamassassin. Puis à l'aide d'un petit utilitaire très pratique que j'ai fait il y a 6 mois (clientpartition et serveurpartition) j'ai transféré via réseau les images sur les disques correspondant, un coup de lilo et hop on reboote et ça a relativement marché, juste l'installation du courrier (spamassassin et la mise automatique au boot du réseau à mettre en place). Le service a été interrompu moins d'une heure cumulée, c'est ma seule petite consolation dans cette histoire. Pour prévenir ce genre de truc, j'ai envie de mettre les repertoires /bin /sbin et éventuellemnt /lib soit sur CD soit sur disque compressé cloop (j'ai compilé le module et les utilitaires) qui sont en écriture seule. Sinon, ayant conservé les images des disques, je vais essayé d'analyser comment le gus a réussi à entrer sur la machine mais j'ai des soupcons sur un compte ftp en écriture possible dont le mot de passe a été diffusé sur une liste (volontairement), peut être une faille de wu-ftpd. Merci des conseils en tout cas. François Boisson -- : __ __ __ __ __ __ [EMAIL PROTECTED] : /_// __ // __ //_// __ // / phone.: +48 32 285 5276 : / / / /_/ // /_/ / / / / /_/ // / fax: +48 32 285 5276 : /_/ /_//_/ /_/ /_/ /_//_/ mobile..: +48 602 284 546 -- Pensez à lire la FAQ de la liste avant de poser une question : http://savannah.nongnu.org/download/debfr-faq/html/ Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Menus
Je suis occupé à découvrir WindowMaker et sans pouvoir te donner une réponse complète, je te conseille de lire un peu la doc. J'imagine qu'il faut éditer le fichier de config. Existe-t'il des front-end pour cela? J'imagine que oui, mais je n'en connais pas encore. Cfr. p.ex. http://lea-linux.org/xwindow/wmaker.php3 Pierre Fab a écrit : Bonjour Je ne saisis vraiment pas le fonctionnement des menus Debian. J'ai les packages nécessaires installés et j'ai téléchargé Mozilla Firebird et Thunderbird sur frenchmozilla.org. Je les ai installés dans /usr/local/bin/mozilla et j'ai tenté en vain de faire un update-menus en éditant des fichiers de menu corrects pour que je puisse les lancer depuis fluxbox (ou n'importe quel autre WM mais c'est celui-ci que j'utilise). Seulement j'ai l'impression que si l'application n'est pas un package .deb installé via dpkg ou apt, le menu ne bouge pas d'un poil. J'ai beau redémarrer le WM, lancer la commande update-menus sous root ou sous user, placer les fichiers menu successivement dans /etc/menu ; ~/.menus ; /usr/lib/menu Rien ne se passe. Par contre, en éditant le fichier de menu de mozilla-browser et en changeant le contenu de l'argument command par le chemin complet vers Firebird, c'est bien ce dernier qui se lance si je fais un update-menus. C'est à n'y rien comprendre. Ne peut-on pas personnaliser son menu si le logiciel installé ne provient pas d'un package ? Cela m'étonnerait et je sollicite la réponse auprès de vous. Merci par avance.
Menus
Bonjour Je ne saisis vraiment pas le fonctionnement des menus Debian. J'ai les packages nécessaires installés et j'ai téléchargé Mozilla Firebird et Thunderbird sur frenchmozilla.org. Je les ai installés dans /usr/local/bin/mozilla et j'ai tenté en vain de faire un update-menus en éditant des fichiers de menu corrects pour que je puisse les lancer depuis fluxbox (ou n'importe quel autre WM mais c'est celui-ci que j'utilise). Seulement j'ai l'impression que si l'application n'est pas un package .deb installé via dpkg ou apt, le menu ne bouge pas d'un poil. J'ai beau redémarrer le WM, lancer la commande update-menus sous root ou sous user, placer les fichiers menu successivement dans /etc/menu ; ~/.menus ; /usr/lib/menu Rien ne se passe. Par contre, en éditant le fichier de menu de mozilla-browser et en changeant le contenu de l'argument command par le chemin complet vers Firebird, c'est bien ce dernier qui se lance si je fais un update-menus. C'est à n'y rien comprendre. Ne peut-on pas personnaliser son menu si le logiciel installé ne provient pas d'un package ? Cela m'étonnerait et je sollicite la réponse auprès de vous. Merci par avance.