Bonjour,
Une ph�nom�ne curieux aux cons�quences peu dr�les sur le serveur du lyc�e ce matin. Le 19 janvier vers 17h50-17h53, le fichier passwd a �t� r�duit � n�ant (longueur 0). R�sultats, plus aucun processus autoris�s � se lancer, les d�mons tournaient toujours mais �videmment pas de ssh/telnet/ftp possible. M�me un �Ctrl-Alt-Del� me r�pondait un succulent: "You don't exist, go away..." (textuel). Donc reboot sauvage sur CD, fsck de la racine, constatation (et unique satisfaction) que le diagnostic �tait bon, reprise d'un passwd d'un backup du 14 Janvier (ai je dit que les backups sont vraiment indispensables) et hop c'est reparti. Reste � comprendre pourquoi: La machine h�brege des comptes courriers, un serveur Web avec forum, un serveur Samba controleur de domaine, un serveur NFS et un serveur NIS. Il n'y a pas de shadow, les outils susceptibles de toucher passwd sont outre passwd sur le serveur (sur lequel personne ne va et n'est all� sauf moi): nis via yppasswd jamais utilis�, un script cgi perl �ditant un nouveau fichier passwd1 et se terminant par unlink ($RACINE.$PASS.".old"); rename $RACINE.$PASS , $RACINE.$PASS.".old"; rename $RACINE.$PASS_TMP , $RACINE.$PASS; chown 0,0,$RACINE.$PASS; # chmod 0600,$RACINE.$PASS; chmod 0644,$RACINE.$PASS; o� $RACINE = "/etc", $PASS="passwd" et $PASS_TMP="passwd1". Ce programme laisse un log d�s le d�but du processus (succ�s ou non). Or rien dans les logs et aucune trace du fichier passwd1 sur /etc. Vers ces heures l�, j'ai constat�: -> la pr�sence de nombreuses requ�tes sur le forum (ligne du type): 172.207.33.240 - - [19/Jan/2005:17:52:03 +0100] "GET /phpBB2/viewforum.php?f=9&sid=http://www.google.fr/search%3f<balise xss>%22%27 HTTP/1.1" 200 50599 et �galement des pages bigbrother indiquant l'�tat du r�seau et des machines (cf http://charlemagne.dyndns.org/bb/bb.html) mais ces requ�tes continuent largement apr�s que le probl�me soit effectivement arriv�. -> Une l�g�re augmentation de la charge du serveur (en gros elle est mont�e � 3) mis � part �a, aucune interruption du service. -> Le seul �v�nement marquant semble �tre d�crit dans le syslog par Jan 19 17:50:10 yoda ipop3d[31906]: Login user=boisson host=alf94-3-82-66-248-156.fbx.proxad.net [82.66.248.156] nmsgs=7/7 Jan 19 17:50:28 yoda ipop3d[31906]: Logout user=boisson host=alf94-3-82-66-248-156.fbx.proxad.net [82.66.248.156] nmsgs=7 ndele=0 (* �a c'est fetchmail (chez moi donc par Internet) qui r�cup�re mon courrier, passwd existe donc encore *) Jan 19 17:53:27 yoda mountd[294]: NFS mount of /home attempted from 192.168.1.20 Jan 19 17:53:27 yoda mountd[294]: /home has been mounted by 192.168.1.20 (* une machine est bout�e sur linux et monte plusieurs r�pertoires par NFS, il se trouve que cette machine a eu son �cran chang� et le nouvel �cran ne supporte pas la configuration XFree86, la machine va donc �tre sauvagement �teinte 3 minutes plus tard... *) Jan 19 17:53:29 yoda inetd[8776]: getpwnam: mail: No such user (* passwd n'existe plus *) Jan 19 17:53:29 yoda mountd[294]: NFS mount of /home attempted from 192.168.1.25 (* le gars essaye d'une autre machine, puis d'une troisi�me plus tard *) Jan 19 17:53:46 yoda inetd[8834]: getpwnam: root: No such user (* root n'existe plus, passwd est r�duit � n�ant *) Les logs de samba montrent que plus personne n'utilisait de machines sous windows � partir de 16h40. Bref, je n'ai aucune id�e sur la raison de la disparition du fichier passwd. chkrootkit et mes programmes de surveillance n'indiquent rien (pas de fichiers modifi�s, pas de processus cach�s). Personne d'autre que moi ne s'est loggu� sur le serveur ce jour l�, bref je suis perplexe. Si quelqu'un a une id�e de ce qui pourrait s'�tre pass�, je suis preneur. Fran�ois Boisson
