Vous n'êtes pas identifié(e).
Bonjours ,
Un de mes copain a subit une defaillance hardware sur un de ces serveurs de prod.
Lors du reboot, fsck a effacer/modifier automatiquement plusieurs fichiers sur sont systeme de fichier ext2fs. (pas taper ). Apres ce reboot, le serveur avait un comportement extrement bizar : iptables qui filtre mal les packets, le serveur de mail qui n'arrive pas a envoyer des messages etc ...
Vous avons donc deduit que le fsck avez effacer/modifier des fichier sensibles : glibc, libnss ou iptables.
Je cherche donc a verifier l'integrite de ces programmes/fichier. Existe t'il un systeme specifique a debian?
Comme par exemple un apt-get md5-checksum
Ou bien il faut utiliser un programme exterieur (trop tard dans son cas)
Merci pour votre aide.
X-GPG-Fingerprint: C0F2 AF4F 98ED 08FC 7930 193E DE3B 44D2 5467 94DA
--
http://csquad.org
Hors ligne
Je ne suis pas sûr de ce que tu recherches mais si c'est un outils pour vérifier les l'intégrité des paquets installés tu as l'utilitaire debsums pour ça.
ATTENTION : il faut rediriger la sortie vers un fichier pour regarder tranquillement les paquets qu'il faut réinstaller.
Hors ligne
Je ne suis pas sûr de ce que tu recherches mais si c'est un outils pour vérifier les l'intégrité des paquets installés tu as l'utilitaire debsums pour ça.
Exactement ce que je chercher Merci ptitlouis
On as retouver les fichier abimer par le fsck.
C'est plus fort que la poudre rouge d'IBM qui repare les serveurs automatiquement.
Mais je me pose quelques question encore sur ce prog :
- visiblement tout les fichiers ne sont pas pris en compte :
debsums: no md5sums for bsdutils
...
debsums: no md5sums for bzip2
...
etc
Le gros pbl c'est k'il ne trouve pas les md5sum pour
des fichiers tres important. Ceux qui sont principalement utiliser dans les rootkits.
Ca viens du fait ke je suis en unstable ou bien c'est normal?
Merci
X-GPG-Fingerprint: C0F2 AF4F 98ED 08FC 7930 193E DE3B 44D2 5467 94DA
--
http://csquad.org
Hors ligne
Ce que tu recherche est probablement Tripwire ou Aide, ce dernier est généralement conseillé.
Tu installes ton systeme, tu fais une empreinte sur tout ou partie du systeme. Tu mets ton empreinte propre a l'abri.
En cas de doute tu compares l'empreinte propre a l'empreinte actuelle du systeme et tu vois les changements.
Lien :
http://www.cs.tut.fi/~rammer/aide.html
(fais partie des packages debian)
++
Hors ligne
pour detecter les rootkit y'a différent programme :
- http://www.chkrootkit.org/
- http://tsd.student.utwente.nl/skdetect/
et aussi http://www.rootkit.nl/projects/rootkit_hunter.html que j'ai pas encore tester.
sinon j'ai aussi des fichiers sans les md5sums
mais aparament pas de rootkit instalé
Debian stable avec le grsecurity patch.
-- stable, stable... sauf quand ça plante --
Hors ligne
rootkit_hunter est très bien aussi
Debian stable avec le grsecurity patch.
-- stable, stable... sauf quand ça plante --
Hors ligne
Je viens de lancer rootkit_hunter et j'avais au préalable essayé je dis bien "essayé" de compiler un 2.6.1 sur ma woody sans succès.Heureusement qqn m'a aidé eninstallant la bonne version de module-init-tools. et en enlevant des extensions de binaires "corrompus" lors de la désinstallation ( neuneu ) de modutils
Bref maintenant en lançant rootkit_hunter évidemment il ne trouve pas les bonnes MD5 sur ces fameux binaires.. :
/sbin/insmod [ BAD ]
/sbin/lsmod [ BAD ]
/sbin/modinfo [ BAD ]
/sbin/modprobe [ BAD ]
/sbin/rmmod [ BAD ]
sauriez vous svp comment les récupérer et donc éviter ce message ?
Merci
Hors ligne