Bonsoir,
François Boisson a écrit :
Bonjour,
Une phénomène curieux aux conséquences peu drôles sur le serveur du
lycée ce matin. Le 19 janvier vers 17h50-17h53, le fichier passwd a été
réduit à néant (longueur 0). Résultats, plus aucun processus autorisés à
se lancer, les démons tournaient toujours mais évidemment pas de
ssh/telnet/ftp possible. Même un «Ctrl-Alt-Del» me répondait un
succulent:
Je crois avoir déjà vu ça. De mémoire, deux explications :
- Partition pleine (tu as dû vérifier)
- /proc/sys/fs/file-max atteint, mais à ma connaissance il laisse des
traces dans syslog, ou au moins dans kern.log|messages|...
"You don't exist, go away..." (textuel).
Un inittab modifié ?
[...]
Bref, je n'ai aucune idée sur la raison de la disparition du fichier
passwd. chkrootkit et mes programmes de surveillance n'indiquent rien
(pas de fichiers modifiés, pas de processus cachés). Personne d'autre
que moi ne s'est loggué sur le serveur ce jour là, bref je suis
perplexe. Si quelqu'un a une idée de ce qui pourrait s'être passé, je
suis preneur.
Je ne vois pas grand chose d'autre, mais la réponse à ta question peut
être effectivement intéressante.
François Boisson
Au fait, les sauvegardes c'est vital.
David Dumortier.
