Re: md5sum на packages.debian.org
C S ll75...@yandex.ru writes: $ md5sum -c md5sums /usr/sbin/exim4: ПОВРЕЖДЁН /usr/share/bug/exim4-daemon-heavy/script: ЦЕЛ /usr/share/doc/exim4-daemon-heavy/EDITME.exim4-heavy.gz: ЦЕЛ /usr/share/doc/exim4-daemon-heavy/NEWS.Debian.gz: ЦЕЛ /usr/share/doc/exim4-daemon-heavy/changelog.Debian.gz: ЦЕЛ /usr/share/doc/exim4-daemon-heavy/changelog.gz: ЦЕЛ /usr/share/doc/exim4-daemon-heavy/copyright: ЦЕЛ /usr/share/lintian/overrides/exim4-daemon-heavy: ЦЕЛ md5sum: ПРЕДУПРЕЖДЕНИЕ: НЕ совпала 1 вычисленная контрольная сумма теперь непонятно почему после переустановки пакета exim4-daemon-heavy та же чушь происходит-в /etc/apt/sources.list ничего лишнего не добавлено, странно... Сударь, я от нечего делать кое-что для Вас проверил: ~/tmp/exim% l exim4_4.82.1-1_all.deb exim4-config_4.82.1-1_all.deb exim4-daemon-light_4.82.1-1+b1_amd64.deb unpacked exim4-base_4.82.1-1+b1_amd64.deb exim4-daemon-heavy_4.82.1-1+b1_amd64.deb ~/tmp/exim% dpkg -x exim4-daemon-heavy_4.82.1-1+b1_amd64.deb unpacked ~/tmp/exim% ar -x exim4-daemon-heavy_4.82.1-1+b1_amd64.deb control.tar.gz ~/tmp/exim% tar xzf control.tar.gz ./md5sums ~/tmp/exim% rm control.tar.gz ~/tmp/exim% l exim4_4.82.1-1_all.deb exim4-config_4.82.1-1_all.deb exim4-daemon-light_4.82.1-1+b1_amd64.deb unpacked exim4-base_4.82.1-1+b1_amd64.deb exim4-daemon-heavy_4.82.1-1+b1_amd64.deb md5sums ~/tmp/exim% cd unpacked ~/tmp/exim/unpacked% md5sum -c ../md5sums usr/sbin/exim4: ЦЕЛ usr/share/bug/exim4-daemon-heavy/script: ЦЕЛ usr/share/doc/exim4-daemon-heavy/EDITME.exim4-heavy.gz: ЦЕЛ usr/share/doc/exim4-daemon-heavy/NEWS.Debian.gz: ЦЕЛ usr/share/doc/exim4-daemon-heavy/changelog.Debian.amd64.gz: ЦЕЛ usr/share/doc/exim4-daemon-heavy/changelog.Debian.gz: ЦЕЛ usr/share/doc/exim4-daemon-heavy/changelog.gz: ЦЕЛ usr/share/doc/exim4-daemon-heavy/copyright: ЦЕЛ usr/share/lintian/overrides/exim4-daemon-heavy: ЦЕЛ Как видите, файл в пакете имеет правильную сумму. Следовательно, существует два варианта, почему у Вас в системе сумма этого файла не сходится. Либо кто-то (умышленно или случайно) попортил бинарник exim4, либо у Вас с диском начались проблемы, как правильно заметил Артём Чуприна. Я думаю, что лучшее, что Вам можно порекомендовать, это: % apt-get install --reinstall exim4-daemon-heavy После чего проверить контрольные суммы ещё раз. pgpiM1C15nLEh.pgp Description: PGP signature
Re: md5sum на packages.debian.org
$ ldd /usr/sbin/exim4 linux-vdso.so.1 = (0x7fff785ff000) libresolv.so.2 = /lib/x86_64-linux-gnu/libresolv.so.2 (0x7f696791f000) libnsl.so.1 = /lib/x86_64-linux-gnu/libnsl.so.1 (0x7f6967707000) libcrypt.so.1 = /lib/x86_64-linux-gnu/libcrypt.so.1 (0x7f69674cf000) libm.so.6 = /lib/x86_64-linux-gnu/libm.so.6 (0x7f696724d000) libpam.so.0 = /lib/x86_64-linux-gnu/libpam.so.0 (0x7f696703f000) libdb-5.1.so = /usr/lib/x86_64-linux-gnu/libdb-5.1.so (0x7f6966cbb000) libldap_r-2.4.so.2 = /usr/lib/x86_64-linux-gnu/libldap_r-2.4.so.2 (0x7f6966a6a000) liblber-2.4.so.2 = /usr/lib/x86_64-linux-gnu/liblber-2.4.so.2 (0x7f696685b000) libmysqlclient.so.18 = /usr/lib/x86_64-linux-gnu/libmysqlclient.so.18 (0x7f6966312000) libpq.so.5 = /usr/lib/libpq.so.5 (0x7f69660e5000) libsqlite3.so.0 = /usr/lib/x86_64-linux-gnu/libsqlite3.so.0 (0x7f6965e3a000) libsasl2.so.2 = /usr/lib/x86_64-linux-gnu/libsasl2.so.2 (0x7f6965c1e000) libperl.so.5.14 = /usr/lib/libperl.so.5.14 (0x7f696589d000) libdl.so.2 = /lib/x86_64-linux-gnu/libdl.so.2 (0x7f6965699000) libpthread.so.0 = /lib/x86_64-linux-gnu/libpthread.so.0 (0x7f696547c000) libc.so.6 = /lib/x86_64-linux-gnu/libc.so.6 (0x7f69650f1000) libgnutls.so.26 = /usr/lib/x86_64-linux-gnu/libgnutls.so.26 (0x7f6964e31000) libpcre.so.3 = /lib/x86_64-linux-gnu/libpcre.so.3 (0x7f6964bf3000) libgcrypt.so.11 = /lib/x86_64-linux-gnu/libgcrypt.so.11 (0x7f6964975000) libz.so.1 = /lib/x86_64-linux-gnu/libz.so.1 (0x7f696475d000) librt.so.1 = /lib/x86_64-linux-gnu/librt.so.1 (0x7f6964555000) libstdc++.so.6 = /usr/lib/x86_64-linux-gnu/libstdc++.so.6 (0x7f696424e000) libgcc_s.so.1 = /lib/x86_64-linux-gnu/libgcc_s.so.1 (0x7f6964037000) libssl.so.1.0.0 = /usr/lib/x86_64-linux-gnu/libssl.so.1.0.0 (0x7f6963dd7000) libcrypto.so.1.0.0 = /usr/lib/x86_64-linux-gnu/libcrypto.so.1.0.0 (0x7f69639df000) libkrb5.so.3 = /usr/lib/x86_64-linux-gnu/libkrb5.so.3 (0x7f696370a000) libcom_err.so.2 = /lib/x86_64-linux-gnu/libcom_err.so.2 (0x7f6963506000) libgssapi_krb5.so.2 = /usr/lib/x86_64-linux-gnu/libgssapi_krb5.so.2 (0x7f69632c7000) /lib64/ld-linux-x86-64.so.2 (0x7f6967e58000) libtasn1.so.3 = /usr/lib/x86_64-linux-gnu/libtasn1.so.3 (0x7f69630b5000) libp11-kit.so.0 = /usr/lib/x86_64-linux-gnu/libp11-kit.so.0 (0x7f6962ea3000) libgpg-error.so.0 = /lib/x86_64-linux-gnu/libgpg-error.so.0 (0x7f6962c9f000) libk5crypto.so.3 = /usr/lib/x86_64-linux-gnu/libk5crypto.so.3 (0x7f6962a76000) libkrb5support.so.0 = /usr/lib/x86_64-linux-gnu/libkrb5support.so.0 (0x7f696286c000) libkeyutils.so.1 = /lib/x86_64-linux-gnu/libkeyutils.so.1 (0x7f6962668000) а эта команда ничего не выдаёт: $ objdump -x /usr/sbin/exim4 | fgrep SONAME -- BW C S 19.07.2014, 23:41, Eugene Berdnikov b...@protva.ru: On Sat, Jul 19, 2014 at 11:02:14PM +0400, C S wrote: а это сразу файл, а не симлинк: $ ls -l /usr/sbin/exim4 -rwsr-xr-x 1 root root 1103424 Янв 2 2013 /usr/sbin/exim4 $ file /usr/sbin/exim4 /usr/sbin/exim4: setuid ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked (uses shared libs), for GNU/Linux 2.6.26, BuildID[sha1]=0x22f499e24e52ccf2354eeb0d8eddc79e3a488fa3, stripped Утверждает, что файл -- разделяемая библиотека? Забавно. :) Покажите, что выдают эти командочки: ldd /usr/sbin/exim4 objdump -x /usr/sbin/exim4 | fgrep SONAME -- Eugene Berdnikov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140719194100.gz3...@sie.protva.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/6678401405847...@web8h.yandex.ru
Re: md5sum на packages.debian.org
выполнил $ sudo apt-get install --reinstall exim4-daemon-heavy затем проверил снова контрольные суммы-та же негатива: $ md5sum -c md5sums /usr/sbin/exim4: ПОВРЕЖДЁН /usr/share/bug/exim4-daemon-heavy/script: ЦЕЛ /usr/share/doc/exim4-daemon-heavy/EDITME.exim4-heavy.gz: ЦЕЛ /usr/share/doc/exim4-daemon-heavy/NEWS.Debian.gz: ЦЕЛ /usr/share/doc/exim4-daemon-heavy/changelog.Debian.gz: ЦЕЛ /usr/share/doc/exim4-daemon-heavy/changelog.gz: ЦЕЛ /usr/share/doc/exim4-daemon-heavy/copyright: ЦЕЛ /usr/share/lintian/overrides/exim4-daemon-heavy: ЦЕЛ md5sum: ПРЕДУПРЕЖДЕНИЕ: НЕ совпала 1 вычисленная контрольная сумма получается хакнули(( [странно, ведь авторизация по ключу-может проделки хостинг-провайдера?] что там сейчас актуально кстати а-ля tripware? кажется проходят иллюзии у ещё 1 непуганого идиота -- BW C S 20.07.2014, 10:45, Dmitrii Kashin free...@freehck.ru: C S ll75...@yandex.ru writes: $ md5sum -c md5sums /usr/sbin/exim4: ПОВРЕЖДЁН /usr/share/bug/exim4-daemon-heavy/script: ЦЕЛ /usr/share/doc/exim4-daemon-heavy/EDITME.exim4-heavy.gz: ЦЕЛ /usr/share/doc/exim4-daemon-heavy/NEWS.Debian.gz: ЦЕЛ /usr/share/doc/exim4-daemon-heavy/changelog.Debian.gz: ЦЕЛ /usr/share/doc/exim4-daemon-heavy/changelog.gz: ЦЕЛ /usr/share/doc/exim4-daemon-heavy/copyright: ЦЕЛ /usr/share/lintian/overrides/exim4-daemon-heavy: ЦЕЛ md5sum: ПРЕДУПРЕЖДЕНИЕ: НЕ совпала 1 вычисленная контрольная сумма теперь непонятно почему после переустановки пакета exim4-daemon-heavy та же чушь происходит-в /etc/apt/sources.list ничего лишнего не добавлено, странно... Сударь, я от нечего делать кое-что для Вас проверил: ~/tmp/exim% l exim4_4.82.1-1_all.deb exim4-config_4.82.1-1_all.deb exim4-daemon-light_4.82.1-1+b1_amd64.deb unpacked exim4-base_4.82.1-1+b1_amd64.deb exim4-daemon-heavy_4.82.1-1+b1_amd64.deb ~/tmp/exim% dpkg -x exim4-daemon-heavy_4.82.1-1+b1_amd64.deb unpacked ~/tmp/exim% ar -x exim4-daemon-heavy_4.82.1-1+b1_amd64.deb control.tar.gz ~/tmp/exim% tar xzf control.tar.gz ./md5sums ~/tmp/exim% rm control.tar.gz ~/tmp/exim% l exim4_4.82.1-1_all.deb exim4-config_4.82.1-1_all.deb exim4-daemon-light_4.82.1-1+b1_amd64.deb unpacked exim4-base_4.82.1-1+b1_amd64.deb exim4-daemon-heavy_4.82.1-1+b1_amd64.deb md5sums ~/tmp/exim% cd unpacked ~/tmp/exim/unpacked% md5sum -c ../md5sums usr/sbin/exim4: ЦЕЛ usr/share/bug/exim4-daemon-heavy/script: ЦЕЛ usr/share/doc/exim4-daemon-heavy/EDITME.exim4-heavy.gz: ЦЕЛ usr/share/doc/exim4-daemon-heavy/NEWS.Debian.gz: ЦЕЛ usr/share/doc/exim4-daemon-heavy/changelog.Debian.amd64.gz: ЦЕЛ usr/share/doc/exim4-daemon-heavy/changelog.Debian.gz: ЦЕЛ usr/share/doc/exim4-daemon-heavy/changelog.gz: ЦЕЛ usr/share/doc/exim4-daemon-heavy/copyright: ЦЕЛ usr/share/lintian/overrides/exim4-daemon-heavy: ЦЕЛ Как видите, файл в пакете имеет правильную сумму. Следовательно, существует два варианта, почему у Вас в системе сумма этого файла не сходится. Либо кто-то (умышленно или случайно) попортил бинарник exim4, либо у Вас с диском начались проблемы, как правильно заметил Артём Чуприна. Я думаю, что лучшее, что Вам можно порекомендовать, это: % apt-get install --reinstall exim4-daemon-heavy После чего проверить контрольные суммы ещё раз. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/192031405848...@web5j.yandex.ru
Re: md5sum на packages.debian.org
On 20.07.2014 12:23, C S wrote: выполнил $ sudo apt-get install --reinstall exim4-daemon-heavy затем проверил снова контрольные суммы-та же негатива: $ md5sum -c md5sums /usr/sbin/exim4: ПОВРЕЖДЁН /usr/share/bug/exim4-daemon-heavy/script: ЦЕЛ /usr/share/doc/exim4-daemon-heavy/EDITME.exim4-heavy.gz: ЦЕЛ /usr/share/doc/exim4-daemon-heavy/NEWS.Debian.gz: ЦЕЛ /usr/share/doc/exim4-daemon-heavy/changelog.Debian.gz: ЦЕЛ /usr/share/doc/exim4-daemon-heavy/changelog.gz: ЦЕЛ /usr/share/doc/exim4-daemon-heavy/copyright: ЦЕЛ /usr/share/lintian/overrides/exim4-daemon-heavy: ЦЕЛ md5sum: ПРЕДУПРЕЖДЕНИЕ: НЕ совпала 1 вычисленная контрольная сумма получается хакнули(( [странно, ведь авторизация по ключу-может проделки хостинг-провайдера?] что там сейчас актуально кстати а-ля tripware? кажется проходят иллюзии у ещё 1 непуганого идиота Не может ли быть проблема в каком-нибудь prelink? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/53cb94e8.5020...@gmail.com
Re: md5sum на packages.debian.org
C S ll75...@yandex.ru writes: выполнил $ sudo apt-get install --reinstall exim4-daemon-heavy затем проверил снова контрольные суммы-та же негатива: $ md5sum -c md5sums /usr/sbin/exim4: ПОВРЕЖДЁН /usr/share/bug/exim4-daemon-heavy/script: ЦЕЛ /usr/share/doc/exim4-daemon-heavy/EDITME.exim4-heavy.gz: ЦЕЛ /usr/share/doc/exim4-daemon-heavy/NEWS.Debian.gz: ЦЕЛ /usr/share/doc/exim4-daemon-heavy/changelog.Debian.gz: ЦЕЛ /usr/share/doc/exim4-daemon-heavy/changelog.gz: ЦЕЛ /usr/share/doc/exim4-daemon-heavy/copyright: ЦЕЛ /usr/share/lintian/overrides/exim4-daemon-heavy: ЦЕЛ md5sum: ПРЕДУПРЕЖДЕНИЕ: НЕ совпала 1 вычисленная контрольная сумма получается хакнули(( Получается, что у Вас бинарник с exim4 битый. Я очень сомневаюсь, что у Вас пакет повреждённый в кэше засел, хотя вдруг... Закралось также подозрение, что --reinstall - это не то же самое, что и remove с последующим install. Так что дабы развеять и то, и другое подозрения, опробуйте следующее: % apt-get remove pkg % apt-get clean % apt-get install pkg Думал ещё apt-get update посоветовать, но пожалуй, не буду. А то вдруг и правда диск сыплется - тогда лучше будет свести обновления системы к минимуму. А то глядишь, не поднимется ещё. pgpfJoUVWYzkx.pgp Description: PGP signature
Re: md5sum на packages.debian.org
dpkg-deb в помощь. в частности dpkg-deb -R filename.deb path/ 2014-201 10:44 Dmitrii Kashin free...@freehck.ru wrote: ~/tmp/exim% dpkg -x exim4-daemon-heavy_4.82.1-1+b1_amd64.deb unpacked ~/tmp/exim% ar -x exim4-daemon-heavy_4.82.1-1+b1_amd64.deb control.tar.gz ~/tmp/exim% tar xzf control.tar.gz ./md5sums ~/tmp/exim% rm control.tar.gz -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140720192449.11ad7...@ulf.tvoe.tv
Re: md5sum на packages.debian.org
выполнил все эти команды без update- результат тот же - бинарник exim4-битый... -- BW C S 20.07.2014, 18:14, Dmitrii Kashin free...@freehck.ru: C S ll75...@yandex.ru writes: выполнил $ sudo apt-get install --reinstall exim4-daemon-heavy затем проверил снова контрольные суммы-та же негатива: $ md5sum -c md5sums /usr/sbin/exim4: ПОВРЕЖДЁН /usr/share/bug/exim4-daemon-heavy/script: ЦЕЛ /usr/share/doc/exim4-daemon-heavy/EDITME.exim4-heavy.gz: ЦЕЛ /usr/share/doc/exim4-daemon-heavy/NEWS.Debian.gz: ЦЕЛ /usr/share/doc/exim4-daemon-heavy/changelog.Debian.gz: ЦЕЛ /usr/share/doc/exim4-daemon-heavy/changelog.gz: ЦЕЛ /usr/share/doc/exim4-daemon-heavy/copyright: ЦЕЛ /usr/share/lintian/overrides/exim4-daemon-heavy: ЦЕЛ md5sum: ПРЕДУПРЕЖДЕНИЕ: НЕ совпала 1 вычисленная контрольная сумма получается хакнули(( Получается, что у Вас бинарник с exim4 битый. Я очень сомневаюсь, что у Вас пакет повреждённый в кэше засел, хотя вдруг... Закралось также подозрение, что --reinstall - это не то же самое, что и remove с последующим install. Так что дабы развеять и то, и другое подозрения, опробуйте следующее: % apt-get remove pkg % apt-get clean % apt-get install pkg Думал ещё apt-get update посоветовать, но пожалуй, не буду. А то вдруг и правда диск сыплется - тогда лучше будет свести обновления системы к минимуму. А то глядишь, не поднимется ещё. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/7007501405871...@web3m.yandex.ru
Re: md5sum на packages.debian.org
спс, попробовал-при этом контрольная всех файлов, включая бинарник exim4 в path/ верная, а по сравнению с установленным в системе у них даже размер в байтах разный, хотя дата создания файла - одинаковая - 2 Января 2013 года... -- BW C S 20.07.2014, 19:25, dimas dimas...@ya.ru: dpkg-deb в помощь. в частности dpkg-deb -R filename.deb path/ 2014-201 10:44 Dmitrii Kashin free...@freehck.ru wrote: ~/tmp/exim% dpkg -x exim4-daemon-heavy_4.82.1-1+b1_amd64.deb unpacked ~/tmp/exim% ar -x exim4-daemon-heavy_4.82.1-1+b1_amd64.deb control.tar.gz ~/tmp/exim% tar xzf control.tar.gz ./md5sums ~/tmp/exim% rm control.tar.gz -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140720192449.11ad7...@ulf.tvoe.tv -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/5410011405871...@web20g.yandex.ru
Re: md5sum на packages.debian.org
а что скажет dpkg -S /usr/sbin/exim4 ? 2014-201 19:57 C S ll75...@yandex.ru wrote: спс, попробовал-при этом контрольная всех файлов, включая бинарник exim4 в path/ верная, а по сравнению с установленным в системе у них даже размер в байтах разный, хотя дата создания файла - одинаковая - 2 Января 2013 года... -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140720202527.3a132...@ulf.tvoe.tv
Re: md5sum на packages.debian.org
$ dpkg -S /usr/sbin/exim4 exim4-daemon-heavy: /usr/sbin/exim4 -- BW C S 20.07.2014, 20:25, dimas dimas...@ya.ru: а что скажет dpkg -S /usr/sbin/exim4 ? 2014-201 19:57 C S ll75...@yandex.ru wrote: спс, попробовал-при этом контрольная всех файлов, включая бинарник exim4 в path/ верная, а по сравнению с установленным в системе у них даже размер в байтах разный, хотя дата создания файла - одинаковая - 2 Января 2013 года... -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140720202527.3a132...@ulf.tvoe.tv -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/737171405878...@web10m.yandex.ru
Re: md5sum на packages.debian.org
On Sun, Jul 20, 2014 at 07:57:25PM +0400, C S wrote: спс, попробовал-при этом контрольная всех файлов, включая бинарник exim4 в path/ верная, а по сравнению с установленным в системе у них даже размер в байтах разный, хотя дата создания файла - одинаковая - 2 Января 2013 года... Похоже не троян. Особенно если файл с неправильной чексуммой больше правильного: вредоносный код обычно дописывается к существующему. Я бы скормил этот файл антивирусу и/или отправил на исследование в ДрВеб или Касперскому. Более того, желательно проверить всю машину каким-нибудь антируткитом и подумать о переустановке системы. -- Eugene Berdnikov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140720185037.gd3...@sie.protva.ru
Re: md5sum на packages.debian.org
Eugene Berdnikov b...@protva.ru writes: On Sun, Jul 20, 2014 at 07:57:25PM +0400, C S wrote: спс, попробовал-при этом контрольная всех файлов, включая бинарник exim4 в path/ верная, а по сравнению с установленным в системе у них даже размер в байтах разный, хотя дата создания файла - одинаковая - 2 Января 2013 года... Похоже не троян. Особенно если файл с неправильной чексуммой больше правильного: вредоносный код обычно дописывается к существующему. Я бы скормил этот файл антивирусу и/или отправил на исследование в ДрВеб или Касперскому. Более того, желательно проверить всю машину каким-нибудь антируткитом и подумать о переустановке системы. Допустим, что это руткит. Раз переустановка пакета не возымела эффекта - значит зловред не (только) там. Вопрос - где именно? Допустим, что он (где бы там ни был) отслеживает изменение файла /usr/sbin/exim4 и модифицирует его. Раз файл в пакете - правильный, то давайте его возьмём и тупо подменим тот, который сейчас лежит в системе, при этом в то же время натравим на него, к примеру, `watch ls -l'. Если зловред попытается изменить файл - то тем самым себя скомпрометирует, и можно будет отловить, где же он там сидит. pgpE6Gc28xIrJ.pgp Description: PGP signature
Re: md5sum на packages.debian.org
On Sun, Jul 20, 2014 at 11:20:26PM +0400, Dmitrii Kashin wrote: Eugene Berdnikov b...@protva.ru writes: ... Я бы скормил этот файл антивирусу и/или отправил на исследование в ДрВеб или Касперскому. Более того, желательно проверить всю машину каким-нибудь антируткитом и подумать о переустановке системы. Допустим, что это руткит. Раз переустановка пакета не возымела эффекта - значит зловред не (только) там. Вопрос - где именно? Скорее всего, руткитовский код сидит в нескольких системных демонах, которые обязательно запущены в любой системе. В этом смысле exim4 очень хорош как кандидат на подселение, вместе с init, udevd, inetd, sshd... Допустим, что он (где бы там ни был) отслеживает изменение файла /usr/sbin/exim4 и модифицирует его. Раз файл в пакете - правильный, то давайте его возьмём и тупо подменим тот, который сейчас лежит в системе, при этом в то же время натравим на него, к примеру, `watch ls -l'. Если зловред попытается изменить файл - то тем самым себя скомпрометирует, и можно будет отловить, где же он там сидит. Лучше чем watch является решение с inotify, потому что можно повесить триггер прямо на событие модификации файла (IN_MODIFY). К сожалению, API inotify не даёт pid процесса, который производит обращение к файлу, но зато реакция настолько быстрая, что можно успеть просканировать дескрипторы в /proc и найти вредителя. Только нужно понимать, что руткиты имеют обыкновение подменять системный утиль, чтобы прятаться, так что нужно сканировать надёжными средствами, лучше своим кодом. Для организации триггеров inotify можно взять пакет incron. Более правильным решением был бы ядерный аудит, но я не знаю, как нынче обстоят дела с ним в дебиане... вижу что auditd в репах имеется. -- Eugene Berdnikov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140720201122.ge3...@sie.protva.ru
Re: md5sum на packages.debian.org
Eugene Berdnikov b...@protva.ru writes: On Sun, Jul 20, 2014 at 11:20:26PM +0400, Dmitrii Kashin wrote: Eugene Berdnikov b...@protva.ru writes: ... Я бы скормил этот файл антивирусу и/или отправил на исследование в ДрВеб или Касперскому. Более того, желательно проверить всю машину каким-нибудь антируткитом и подумать о переустановке системы. Допустим, что это руткит. Раз переустановка пакета не возымела эффекта - значит зловред не (только) там. Вопрос - где именно? Скорее всего, руткитовский код сидит в нескольких системных демонах, которые обязательно запущены в любой системе. В этом смысле exim4 очень хорош как кандидат на подселение, вместе с init, udevd, inetd, sshd... Ну да, старая тема. Надо их усыплять, и искать вредителя дальше. Но опять же, если это действительно зловред. А то мы от тредстартера как-то мало информации получили. Меня настораживает неполнота картины. Допустим, что он (где бы там ни был) отслеживает изменение файла /usr/sbin/exim4 и модифицирует его. Раз файл в пакете - правильный, то давайте его возьмём и тупо подменим тот, который сейчас лежит в системе, при этом в то же время натравим на него, к примеру, `watch ls -l'. Если зловред попытается изменить файл - то тем самым себя скомпрометирует, и можно будет отловить, где же он там сидит. Лучше чем watch является решение с inotify, потому что можно повесить триггер прямо на событие модификации файла (IN_MODIFY). К сожалению, API inotify не даёт pid процесса, который производит обращение к файлу, но зато реакция настолько быстрая, что можно успеть просканировать дескрипторы в /proc и найти вредителя. Хм... Я, вообще говоря, надеялся, что strace поможет. А сканировать дескрипторы /proc - это как-то... Неправильно. Только нужно понимать, что руткиты имеют обыкновение подменять системный утиль, чтобы прятаться, так что нужно сканировать надёжными средствами, лучше своим кодом. Для организации триггеров inotify можно взять пакет incron. Да чем хотите. Я про watch писал исключительно, чтобы выяснить факт подмены. Как искать - это уже отдельный вопрос, который требует отдельного обсуждения. И прежде, чем им заниматься, давайте-ка всё же докажем, что зловред действительно существует. Более правильным решением был бы ядерный аудит, но я не знаю, как нынче обстоят дела с ним в дебиане... вижу что auditd в репах имеется. Боюсь, я просто не знаю, что такое ядерный аудит. pgpQCFL6PZCVj.pgp Description: PGP signature