Re: compromission de machine?
Matthieu wrote: bonjour a tous, je me permets de vous ecrire car j'ai un doute sur l'integrité d'une machine. Ce matin, je tente d'acceder au serveur https. il ne fonctionne pas. Il etait arreté. hors hier au soir il fonctionnait encore parfaitement. le probleme vient d'un module chargé: mod_proxy Je l'avais utilisé il y a quelques temps. Sans en pouvoir etre persuadé, il me semblait l'avoir supprimé de la configuration d'Apache. Dans le fichier proxy.load, j'ai une etrange ligne: LoadFile /usr/lib/libxml2.so.2 qui est responsable du plantage d'Apache. Lors de mon update, j'ai pu voir que cette lib avait été mise a jour. Cela ne m'explique pas pourquoi j'ai cette ligne dans le fichier de configuration et comment le fichier a pu obtenir cette ligne, ni comment Apache a pu avoir un signal de restart ou de reload. Je consulte mes logs. Rien d'anormal a premiere vu. L'authentification sur ma machine se fait uniquement via cle, pas par mot de passe, pas d'acces root. Quelques services tournent dessus, accessible depuis le net, mais consultant les exploits, apparemment rien de nouveau... Malheureusement mon ulog ne fonctionnait pas :( je ne peux donc voir les acces etrangers :( Avez vous connaissance d'un exploit similaire? Savez vous comment je peux decompiler une librairie pour analyser le contenu de cette lib? Bien cordialement, Matthieu Pour ce qui est du restart d'apache ce doit être pour la rotation des logs, vers 6h25 par défaut sous debian si mes souvenirs sont bons. Ce qui n'explique en rien l'ajout de la ligne de le fichier de configuration, peut-être l'installation d'un paquet. Cordialement. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
compromission de machine?
bonjour a tous, je me permets de vous ecrire car j'ai un doute sur l'integrité d'une machine. Ce matin, je tente d'acceder au serveur https. il ne fonctionne pas. Il etait arreté. hors hier au soir il fonctionnait encore parfaitement. le probleme vient d'un module chargé: mod_proxy Je l'avais utilisé il y a quelques temps. Sans en pouvoir etre persuadé, il me semblait l'avoir supprimé de la configuration d'Apache. Dans le fichier proxy.load, j'ai une etrange ligne: LoadFile /usr/lib/libxml2.so.2 qui est responsable du plantage d'Apache. Lors de mon update, j'ai pu voir que cette lib avait été mise a jour. Cela ne m'explique pas pourquoi j'ai cette ligne dans le fichier de configuration et comment le fichier a pu obtenir cette ligne, ni comment Apache a pu avoir un signal de restart ou de reload. Je consulte mes logs. Rien d'anormal a premiere vu. L'authentification sur ma machine se fait uniquement via cle, pas par mot de passe, pas d'acces root. Quelques services tournent dessus, accessible depuis le net, mais consultant les exploits, apparemment rien de nouveau... Malheureusement mon ulog ne fonctionnait pas :( je ne peux donc voir les acces etrangers :( Avez vous connaissance d'un exploit similaire? Savez vous comment je peux decompiler une librairie pour analyser le contenu de cette lib? Bien cordialement, Matthieu
Re: compromission de machine?
Le Vendredi 03 Novembre 2006 19:08, Matthieu a écrit : bonjour a tous, Bonjour, Savez vous comment je peux decompiler une librairie pour analyser le contenu de cette lib? Peut-être faire une comparaison avec une version saine? http://packages.debian.org/stable/libs/libxml2 Souhaitant que ça aide. -- Serge
Re: compromission de machine?
Le Fri, 3 Nov 2006 19:08:42 +0100 Matthieu [EMAIL PROTECTED] a écrit: bonjour a tous, je me permets de vous ecrire car j'ai un doute sur l'integrité d'une machine. Ce matin, je tente d'acceder au serveur https. il ne fonctionne pas. Il etait arreté. hors hier au soir il fonctionnait encore parfaitement. le probleme vient d'un module chargé: mod_proxy Je l'avais utilisé il y a quelques temps. Sans en pouvoir etre persuadé, il me semblait l'avoir supprimé de la configuration d'Apache. Dans le fichier proxy.load, j'ai une etrange ligne: LoadFile /usr/lib/libxml2.so.2 [EMAIL PROTECTED]:~$ apt-file search /usr/lib/libxml2.so.2 libxml2: usr/lib/libxml2.so.2 libxml2: usr/lib/libxml2.so.2.6.16 [EMAIL PROTECTED]:~$ locate /usr/lib/libxml2.so.2 /usr/lib/libxml2.so.2 /usr/lib/libxml2.so.2.6.16 [EMAIL PROTECTED]:~$ su Password: totoche:/home/francois# apt-get install libxml2 Lecture des listes de paquets... Fait Construction de l'arbre des dépendances... Fait libxml2 est déjà la plus récente version disponible. 0 mis à jour, 0 nouvellement installés, 0 à enlever et 485 non mis à jour. totoche:/home/francois# exit [EMAIL PROTECTED]:~$ md5sum /usr/lib/libxml2.so.2 e535b28c3747d8ea5de8e1cdf9322a43 /usr/lib/libxml2.so.2 [EMAIL PROTECTED]:~$ md5sum /usr/lib/libxml2.so.2.6.16 e535b28c3747d8ea5de8e1cdf9322a43 /usr/lib/libxml2.so.2.6.16 [EMAIL PROTECTED]:~$ cat /var/lib/dpkg/info/libxml2.md5sums e535b28c3747d8ea5de8e1cdf9322a43 usr/lib/libxml2.so.2.6.16 [EMAIL PROTECTED]:~$ Voilà qui peut te dire si le fichier est Debian ou pas. François Boisson -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]