Re: md5sum на packages.debian.org

2014-07-20 Пенетрантность Dmitrii Kashin 
C S ll75...@yandex.ru writes:

 $ md5sum -c md5sums 
 /usr/sbin/exim4: ПОВРЕЖДЁН
 /usr/share/bug/exim4-daemon-heavy/script: ЦЕЛ
 /usr/share/doc/exim4-daemon-heavy/EDITME.exim4-heavy.gz: ЦЕЛ
 /usr/share/doc/exim4-daemon-heavy/NEWS.Debian.gz: ЦЕЛ
 /usr/share/doc/exim4-daemon-heavy/changelog.Debian.gz: ЦЕЛ
 /usr/share/doc/exim4-daemon-heavy/changelog.gz: ЦЕЛ
 /usr/share/doc/exim4-daemon-heavy/copyright: ЦЕЛ
 /usr/share/lintian/overrides/exim4-daemon-heavy: ЦЕЛ
 md5sum: ПРЕДУПРЕЖДЕНИЕ: НЕ совпала 1 вычисленная контрольная сумма

 теперь непонятно почему после переустановки пакета exim4-daemon-heavy
 та же чушь происходит-в /etc/apt/sources.list ничего лишнего не
 добавлено, странно...

Сударь, я от нечего делать кое-что для Вас проверил:


~/tmp/exim% l
  exim4_4.82.1-1_all.deb
  exim4-config_4.82.1-1_all.deb
  exim4-daemon-light_4.82.1-1+b1_amd64.deb
  unpacked
  exim4-base_4.82.1-1+b1_amd64.deb
  exim4-daemon-heavy_4.82.1-1+b1_amd64.deb
~/tmp/exim% dpkg -x exim4-daemon-heavy_4.82.1-1+b1_amd64.deb unpacked
~/tmp/exim% ar -x exim4-daemon-heavy_4.82.1-1+b1_amd64.deb control.tar.gz
~/tmp/exim% tar xzf control.tar.gz ./md5sums 
~/tmp/exim% rm control.tar.gz 
~/tmp/exim% l
  exim4_4.82.1-1_all.deb
  exim4-config_4.82.1-1_all.deb
  exim4-daemon-light_4.82.1-1+b1_amd64.deb
  unpacked
  exim4-base_4.82.1-1+b1_amd64.deb
  exim4-daemon-heavy_4.82.1-1+b1_amd64.deb
  md5sums
~/tmp/exim% cd unpacked 
~/tmp/exim/unpacked% md5sum -c ../md5sums
  usr/sbin/exim4: ЦЕЛ 
  usr/share/bug/exim4-daemon-heavy/script: ЦЕЛ
  usr/share/doc/exim4-daemon-heavy/EDITME.exim4-heavy.gz: ЦЕЛ
  usr/share/doc/exim4-daemon-heavy/NEWS.Debian.gz: ЦЕЛ
  usr/share/doc/exim4-daemon-heavy/changelog.Debian.amd64.gz: ЦЕЛ
  usr/share/doc/exim4-daemon-heavy/changelog.Debian.gz: ЦЕЛ
  usr/share/doc/exim4-daemon-heavy/changelog.gz: ЦЕЛ
  usr/share/doc/exim4-daemon-heavy/copyright: ЦЕЛ
  usr/share/lintian/overrides/exim4-daemon-heavy: ЦЕЛ


Как видите, файл в пакете имеет правильную сумму.
Следовательно, существует два варианта, почему у Вас в системе сумма
этого файла не сходится. Либо кто-то (умышленно или случайно) попортил
бинарник exim4, либо у Вас с диском начались проблемы, как правильно
заметил Артём Чуприна.

Я думаю, что лучшее, что Вам можно порекомендовать, это:
% apt-get install --reinstall exim4-daemon-heavy

После чего проверить контрольные суммы ещё раз.


pgpiM1C15nLEh.pgp
Description: PGP signature

Re: md5sum на packages.debian.org

2014-07-20 Пенетрантность C S 
$  ldd /usr/sbin/exim4
linux-vdso.so.1 =  (0x7fff785ff000)
libresolv.so.2 = /lib/x86_64-linux-gnu/libresolv.so.2 
(0x7f696791f000)
libnsl.so.1 = /lib/x86_64-linux-gnu/libnsl.so.1 (0x7f6967707000)
libcrypt.so.1 = /lib/x86_64-linux-gnu/libcrypt.so.1 
(0x7f69674cf000)
libm.so.6 = /lib/x86_64-linux-gnu/libm.so.6 (0x7f696724d000)
libpam.so.0 = /lib/x86_64-linux-gnu/libpam.so.0 (0x7f696703f000)
libdb-5.1.so = /usr/lib/x86_64-linux-gnu/libdb-5.1.so 
(0x7f6966cbb000)
libldap_r-2.4.so.2 = /usr/lib/x86_64-linux-gnu/libldap_r-2.4.so.2 
(0x7f6966a6a000)
liblber-2.4.so.2 = /usr/lib/x86_64-linux-gnu/liblber-2.4.so.2 
(0x7f696685b000)
libmysqlclient.so.18 = /usr/lib/x86_64-linux-gnu/libmysqlclient.so.18 
(0x7f6966312000)
libpq.so.5 = /usr/lib/libpq.so.5 (0x7f69660e5000)
libsqlite3.so.0 = /usr/lib/x86_64-linux-gnu/libsqlite3.so.0 
(0x7f6965e3a000)
libsasl2.so.2 = /usr/lib/x86_64-linux-gnu/libsasl2.so.2 
(0x7f6965c1e000)
libperl.so.5.14 = /usr/lib/libperl.so.5.14 (0x7f696589d000)
libdl.so.2 = /lib/x86_64-linux-gnu/libdl.so.2 (0x7f6965699000)
libpthread.so.0 = /lib/x86_64-linux-gnu/libpthread.so.0 
(0x7f696547c000)
libc.so.6 = /lib/x86_64-linux-gnu/libc.so.6 (0x7f69650f1000)
libgnutls.so.26 = /usr/lib/x86_64-linux-gnu/libgnutls.so.26 
(0x7f6964e31000)
libpcre.so.3 = /lib/x86_64-linux-gnu/libpcre.so.3 (0x7f6964bf3000)
libgcrypt.so.11 = /lib/x86_64-linux-gnu/libgcrypt.so.11 
(0x7f6964975000)
libz.so.1 = /lib/x86_64-linux-gnu/libz.so.1 (0x7f696475d000)
librt.so.1 = /lib/x86_64-linux-gnu/librt.so.1 (0x7f6964555000)
libstdc++.so.6 = /usr/lib/x86_64-linux-gnu/libstdc++.so.6 
(0x7f696424e000)
libgcc_s.so.1 = /lib/x86_64-linux-gnu/libgcc_s.so.1 
(0x7f6964037000)
libssl.so.1.0.0 = /usr/lib/x86_64-linux-gnu/libssl.so.1.0.0 
(0x7f6963dd7000)
libcrypto.so.1.0.0 = /usr/lib/x86_64-linux-gnu/libcrypto.so.1.0.0 
(0x7f69639df000)
libkrb5.so.3 = /usr/lib/x86_64-linux-gnu/libkrb5.so.3 
(0x7f696370a000)
libcom_err.so.2 = /lib/x86_64-linux-gnu/libcom_err.so.2 
(0x7f6963506000)
libgssapi_krb5.so.2 = /usr/lib/x86_64-linux-gnu/libgssapi_krb5.so.2 
(0x7f69632c7000)
/lib64/ld-linux-x86-64.so.2 (0x7f6967e58000)
libtasn1.so.3 = /usr/lib/x86_64-linux-gnu/libtasn1.so.3 
(0x7f69630b5000)
libp11-kit.so.0 = /usr/lib/x86_64-linux-gnu/libp11-kit.so.0 
(0x7f6962ea3000)
libgpg-error.so.0 = /lib/x86_64-linux-gnu/libgpg-error.so.0 
(0x7f6962c9f000)
libk5crypto.so.3 = /usr/lib/x86_64-linux-gnu/libk5crypto.so.3 
(0x7f6962a76000)
libkrb5support.so.0 = /usr/lib/x86_64-linux-gnu/libkrb5support.so.0 
(0x7f696286c000)
libkeyutils.so.1 = /lib/x86_64-linux-gnu/libkeyutils.so.1 
(0x7f6962668000)

а эта команда ничего не выдаёт:
$ objdump -x /usr/sbin/exim4 | fgrep SONAME


--
BW

C S


19.07.2014, 23:41, Eugene Berdnikov b...@protva.ru:
 On Sat, Jul 19, 2014 at 11:02:14PM +0400, C S wrote:
  а это сразу файл, а не симлинк:

  $ ls -l /usr/sbin/exim4
  -rwsr-xr-x 1 root root 1103424 Янв  2  2013 /usr/sbin/exim4

  $ file /usr/sbin/exim4
  /usr/sbin/exim4: setuid ELF 64-bit LSB shared object, x86-64, version 1 
 (SYSV), dynamically linked (uses shared libs), for GNU/Linux 2.6.26, 
 BuildID[sha1]=0x22f499e24e52ccf2354eeb0d8eddc79e3a488fa3, stripped

  Утверждает, что файл -- разделяемая библиотека? Забавно. :)
  Покажите, что выдают эти командочки:

  ldd /usr/sbin/exim4
  objdump -x /usr/sbin/exim4 | fgrep SONAME
 --
  Eugene Berdnikov

 --
 To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
 with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
 Archive: https://lists.debian.org/20140719194100.gz3...@sie.protva.ru


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: https://lists.debian.org/6678401405847...@web8h.yandex.ru

Re: md5sum на packages.debian.org

2014-07-20 Пенетрантность C S 
выполнил 
$ sudo apt-get install --reinstall exim4-daemon-heavy

затем проверил снова контрольные суммы-та же негатива:
$ md5sum -c md5sums 
/usr/sbin/exim4: ПОВРЕЖДЁН
/usr/share/bug/exim4-daemon-heavy/script: ЦЕЛ
/usr/share/doc/exim4-daemon-heavy/EDITME.exim4-heavy.gz: ЦЕЛ
/usr/share/doc/exim4-daemon-heavy/NEWS.Debian.gz: ЦЕЛ
/usr/share/doc/exim4-daemon-heavy/changelog.Debian.gz: ЦЕЛ
/usr/share/doc/exim4-daemon-heavy/changelog.gz: ЦЕЛ
/usr/share/doc/exim4-daemon-heavy/copyright: ЦЕЛ
/usr/share/lintian/overrides/exim4-daemon-heavy: ЦЕЛ
md5sum: ПРЕДУПРЕЖДЕНИЕ: НЕ совпала 1 вычисленная контрольная сумма

получается хакнули(( [странно, ведь авторизация по ключу-может проделки 
хостинг-провайдера?] что там сейчас актуально кстати а-ля tripware? кажется 
проходят иллюзии у ещё 1 непуганого идиота


--
BW

C S



20.07.2014, 10:45, Dmitrii Kashin free...@freehck.ru:
 C S ll75...@yandex.ru writes:
  $ md5sum -c md5sums
  /usr/sbin/exim4: ПОВРЕЖДЁН
  /usr/share/bug/exim4-daemon-heavy/script: ЦЕЛ
  /usr/share/doc/exim4-daemon-heavy/EDITME.exim4-heavy.gz: ЦЕЛ
  /usr/share/doc/exim4-daemon-heavy/NEWS.Debian.gz: ЦЕЛ
  /usr/share/doc/exim4-daemon-heavy/changelog.Debian.gz: ЦЕЛ
  /usr/share/doc/exim4-daemon-heavy/changelog.gz: ЦЕЛ
  /usr/share/doc/exim4-daemon-heavy/copyright: ЦЕЛ
  /usr/share/lintian/overrides/exim4-daemon-heavy: ЦЕЛ
  md5sum: ПРЕДУПРЕЖДЕНИЕ: НЕ совпала 1 вычисленная контрольная сумма

  теперь непонятно почему после переустановки пакета exim4-daemon-heavy
  та же чушь происходит-в /etc/apt/sources.list ничего лишнего не
  добавлено, странно...

 Сударь, я от нечего делать кое-что для Вас проверил:

 
 ~/tmp/exim% l
   exim4_4.82.1-1_all.deb
   exim4-config_4.82.1-1_all.deb
   exim4-daemon-light_4.82.1-1+b1_amd64.deb
   unpacked
   exim4-base_4.82.1-1+b1_amd64.deb
   exim4-daemon-heavy_4.82.1-1+b1_amd64.deb
 ~/tmp/exim% dpkg -x exim4-daemon-heavy_4.82.1-1+b1_amd64.deb unpacked
 ~/tmp/exim% ar -x exim4-daemon-heavy_4.82.1-1+b1_amd64.deb control.tar.gz
 ~/tmp/exim% tar xzf control.tar.gz ./md5sums
 ~/tmp/exim% rm control.tar.gz
 ~/tmp/exim% l
   exim4_4.82.1-1_all.deb
   exim4-config_4.82.1-1_all.deb
   exim4-daemon-light_4.82.1-1+b1_amd64.deb
   unpacked
   exim4-base_4.82.1-1+b1_amd64.deb
   exim4-daemon-heavy_4.82.1-1+b1_amd64.deb
   md5sums
 ~/tmp/exim% cd unpacked
 ~/tmp/exim/unpacked% md5sum -c ../md5sums
   usr/sbin/exim4: ЦЕЛ
   usr/share/bug/exim4-daemon-heavy/script: ЦЕЛ
   usr/share/doc/exim4-daemon-heavy/EDITME.exim4-heavy.gz: ЦЕЛ
   usr/share/doc/exim4-daemon-heavy/NEWS.Debian.gz: ЦЕЛ
   usr/share/doc/exim4-daemon-heavy/changelog.Debian.amd64.gz: ЦЕЛ
   usr/share/doc/exim4-daemon-heavy/changelog.Debian.gz: ЦЕЛ
   usr/share/doc/exim4-daemon-heavy/changelog.gz: ЦЕЛ
   usr/share/doc/exim4-daemon-heavy/copyright: ЦЕЛ
   usr/share/lintian/overrides/exim4-daemon-heavy: ЦЕЛ
 

 Как видите, файл в пакете имеет правильную сумму.
 Следовательно, существует два варианта, почему у Вас в системе сумма
 этого файла не сходится. Либо кто-то (умышленно или случайно) попортил
 бинарник exim4, либо у Вас с диском начались проблемы, как правильно
 заметил Артём Чуприна.

 Я думаю, что лучшее, что Вам можно порекомендовать, это:
 % apt-get install --reinstall exim4-daemon-heavy

 После чего проверить контрольные суммы ещё раз.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: https://lists.debian.org/192031405848...@web5j.yandex.ru

Re: md5sum на packages.debian.org

2014-07-20 Пенетрантность Денис Мажар 

On 20.07.2014 12:23, C S wrote:

выполнил
$ sudo apt-get install --reinstall exim4-daemon-heavy

затем проверил снова контрольные суммы-та же негатива:
$ md5sum -c md5sums
/usr/sbin/exim4: ПОВРЕЖДЁН
/usr/share/bug/exim4-daemon-heavy/script: ЦЕЛ
/usr/share/doc/exim4-daemon-heavy/EDITME.exim4-heavy.gz: ЦЕЛ
/usr/share/doc/exim4-daemon-heavy/NEWS.Debian.gz: ЦЕЛ
/usr/share/doc/exim4-daemon-heavy/changelog.Debian.gz: ЦЕЛ
/usr/share/doc/exim4-daemon-heavy/changelog.gz: ЦЕЛ
/usr/share/doc/exim4-daemon-heavy/copyright: ЦЕЛ
/usr/share/lintian/overrides/exim4-daemon-heavy: ЦЕЛ
md5sum: ПРЕДУПРЕЖДЕНИЕ: НЕ совпала 1 вычисленная контрольная сумма

получается хакнули(( [странно, ведь авторизация по ключу-может проделки 
хостинг-провайдера?] что там сейчас актуально кстати а-ля tripware? кажется 
проходят иллюзии у ещё 1 непуганого идиота


Не может ли быть проблема в каком-нибудь prelink?


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: https://lists.debian.org/53cb94e8.5020...@gmail.com

Re: md5sum на packages.debian.org

2014-07-20 Пенетрантность Dmitrii Kashin 
C S ll75...@yandex.ru writes:

 выполнил 
 $ sudo apt-get install --reinstall exim4-daemon-heavy

 затем проверил снова контрольные суммы-та же негатива:
 $ md5sum -c md5sums 
 /usr/sbin/exim4: ПОВРЕЖДЁН
 /usr/share/bug/exim4-daemon-heavy/script: ЦЕЛ
 /usr/share/doc/exim4-daemon-heavy/EDITME.exim4-heavy.gz: ЦЕЛ
 /usr/share/doc/exim4-daemon-heavy/NEWS.Debian.gz: ЦЕЛ
 /usr/share/doc/exim4-daemon-heavy/changelog.Debian.gz: ЦЕЛ
 /usr/share/doc/exim4-daemon-heavy/changelog.gz: ЦЕЛ
 /usr/share/doc/exim4-daemon-heavy/copyright: ЦЕЛ
 /usr/share/lintian/overrides/exim4-daemon-heavy: ЦЕЛ
 md5sum: ПРЕДУПРЕЖДЕНИЕ: НЕ совпала 1 вычисленная контрольная сумма

 получается хакнули((

Получается, что у Вас бинарник с exim4 битый.

Я очень сомневаюсь, что у Вас пакет повреждённый в кэше засел, хотя
вдруг... Закралось также подозрение, что --reinstall - это не то же
самое, что и remove с последующим install. Так что дабы развеять и то, и
другое подозрения, опробуйте следующее:

% apt-get remove pkg
% apt-get clean
% apt-get install pkg

Думал ещё apt-get update посоветовать, но пожалуй, не буду. А то вдруг и
правда диск сыплется - тогда лучше будет свести обновления системы к
минимуму. А то глядишь, не поднимется ещё.


pgpfJoUVWYzkx.pgp
Description: PGP signature

Re: md5sum на packages.debian.org

2014-07-20 Пенетрантность dimas 
dpkg-deb в помощь. в частности dpkg-deb -R filename.deb path/


2014-201 10:44 Dmitrii Kashin free...@freehck.ru wrote:
 ~/tmp/exim% dpkg -x exim4-daemon-heavy_4.82.1-1+b1_amd64.deb unpacked
 ~/tmp/exim% ar -x exim4-daemon-heavy_4.82.1-1+b1_amd64.deb control.tar.gz
 ~/tmp/exim% tar xzf control.tar.gz ./md5sums 
 ~/tmp/exim% rm control.tar.gz


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: https://lists.debian.org/20140720192449.11ad7...@ulf.tvoe.tv

Re: md5sum на packages.debian.org

2014-07-20 Пенетрантность C S 
выполнил все эти команды без update- результат тот же - бинарник exim4-битый...


--
BW

C S

20.07.2014, 18:14, Dmitrii Kashin free...@freehck.ru:
 C S ll75...@yandex.ru writes:
  выполнил
  $ sudo apt-get install --reinstall exim4-daemon-heavy

  затем проверил снова контрольные суммы-та же негатива:
  $ md5sum -c md5sums
  /usr/sbin/exim4: ПОВРЕЖДЁН
  /usr/share/bug/exim4-daemon-heavy/script: ЦЕЛ
  /usr/share/doc/exim4-daemon-heavy/EDITME.exim4-heavy.gz: ЦЕЛ
  /usr/share/doc/exim4-daemon-heavy/NEWS.Debian.gz: ЦЕЛ
  /usr/share/doc/exim4-daemon-heavy/changelog.Debian.gz: ЦЕЛ
  /usr/share/doc/exim4-daemon-heavy/changelog.gz: ЦЕЛ
  /usr/share/doc/exim4-daemon-heavy/copyright: ЦЕЛ
  /usr/share/lintian/overrides/exim4-daemon-heavy: ЦЕЛ
  md5sum: ПРЕДУПРЕЖДЕНИЕ: НЕ совпала 1 вычисленная контрольная сумма

  получается хакнули((

 Получается, что у Вас бинарник с exim4 битый.

 Я очень сомневаюсь, что у Вас пакет повреждённый в кэше засел, хотя
 вдруг... Закралось также подозрение, что --reinstall - это не то же
 самое, что и remove с последующим install. Так что дабы развеять и то, и
 другое подозрения, опробуйте следующее:

 % apt-get remove pkg
 % apt-get clean
 % apt-get install pkg

 Думал ещё apt-get update посоветовать, но пожалуй, не буду. А то вдруг и
 правда диск сыплется - тогда лучше будет свести обновления системы к
 минимуму. А то глядишь, не поднимется ещё.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: https://lists.debian.org/7007501405871...@web3m.yandex.ru

Re: md5sum на packages.debian.org

2014-07-20 Пенетрантность C S 
спс, попробовал-при этом контрольная всех файлов, включая бинарник exim4 в 
path/ верная, а по сравнению с установленным в системе у них даже размер в 
байтах разный, хотя дата создания файла - одинаковая - 2 Января 2013 года...


--
BW

C S

20.07.2014, 19:25, dimas dimas...@ya.ru:
 dpkg-deb в помощь. в частности dpkg-deb -R filename.deb path/

 2014-201 10:44 Dmitrii Kashin free...@freehck.ru wrote:
  ~/tmp/exim% dpkg -x exim4-daemon-heavy_4.82.1-1+b1_amd64.deb unpacked
  ~/tmp/exim% ar -x exim4-daemon-heavy_4.82.1-1+b1_amd64.deb control.tar.gz
  ~/tmp/exim% tar xzf control.tar.gz ./md5sums
  ~/tmp/exim% rm control.tar.gz

 --
 To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
 with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
 Archive: https://lists.debian.org/20140720192449.11ad7...@ulf.tvoe.tv


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: https://lists.debian.org/5410011405871...@web20g.yandex.ru

Re: md5sum на packages.debian.org

2014-07-20 Пенетрантность dimas 
а что скажет
dpkg -S /usr/sbin/exim4
?


2014-201 19:57 C S ll75...@yandex.ru wrote:
 спс, попробовал-при этом контрольная всех файлов, включая бинарник exim4 в
 path/ верная, а по сравнению с установленным в системе у них даже размер в
 байтах разный, хотя дата создания файла - одинаковая - 2 Января 2013 года...


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: https://lists.debian.org/20140720202527.3a132...@ulf.tvoe.tv

Re: md5sum на packages.debian.org

2014-07-20 Пенетрантность C S 
$ dpkg -S /usr/sbin/exim4
exim4-daemon-heavy: /usr/sbin/exim4

--
BW

C S

20.07.2014, 20:25, dimas dimas...@ya.ru:
 а что скажет
 dpkg -S /usr/sbin/exim4
 ?

 2014-201 19:57 C S ll75...@yandex.ru wrote:
  спс, попробовал-при этом контрольная всех файлов, включая бинарник exim4 в
  path/ верная, а по сравнению с установленным в системе у них даже размер в
  байтах разный, хотя дата создания файла - одинаковая - 2 Января 2013 года...

 --
 To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
 with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
 Archive: https://lists.debian.org/20140720202527.3a132...@ulf.tvoe.tv


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: https://lists.debian.org/737171405878...@web10m.yandex.ru

Re: md5sum на packages.debian.org

2014-07-20 Пенетрантность Eugene Berdnikov 
On Sun, Jul 20, 2014 at 07:57:25PM +0400, C S wrote:
 спс, попробовал-при этом контрольная всех файлов, включая бинарник
 exim4 в path/ верная, а по сравнению с установленным в системе у них
 даже размер в байтах разный, хотя дата создания файла - одинаковая -
 2 Января 2013 года...

 Похоже не троян. Особенно если файл с неправильной чексуммой больше
 правильного: вредоносный код обычно дописывается к существующему.

 Я бы скормил этот файл антивирусу и/или отправил на исследование в
 ДрВеб или Касперскому. Более того, желательно проверить всю машину
 каким-нибудь антируткитом и подумать о переустановке системы.
-- 
 Eugene Berdnikov


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: https://lists.debian.org/20140720185037.gd3...@sie.protva.ru

Re: md5sum на packages.debian.org

2014-07-20 Пенетрантность Dmitrii Kashin 
Eugene Berdnikov b...@protva.ru writes:

 On Sun, Jul 20, 2014 at 07:57:25PM +0400, C S wrote:
 спс, попробовал-при этом контрольная всех файлов, включая бинарник
 exim4 в path/ верная, а по сравнению с установленным в системе у них
 даже размер в байтах разный, хотя дата создания файла - одинаковая -
 2 Января 2013 года...

  Похоже не троян. Особенно если файл с неправильной чексуммой больше
  правильного: вредоносный код обычно дописывается к существующему.

  Я бы скормил этот файл антивирусу и/или отправил на исследование в
  ДрВеб или Касперскому. Более того, желательно проверить всю машину
  каким-нибудь антируткитом и подумать о переустановке системы.

Допустим, что это руткит. Раз переустановка пакета не возымела эффекта -
значит зловред не (только) там. Вопрос - где именно?

Допустим, что он (где бы там ни был) отслеживает изменение файла
/usr/sbin/exim4 и модифицирует его. Раз файл в пакете - правильный, то
давайте его возьмём и тупо подменим тот, который сейчас лежит в системе,
при этом в то же время натравим на него, к примеру, `watch ls -l'. Если
зловред попытается изменить файл - то тем самым себя скомпрометирует, и
можно будет отловить, где же он там сидит.


pgpE6Gc28xIrJ.pgp
Description: PGP signature

Re: md5sum на packages.debian.org

2014-07-20 Пенетрантность Eugene Berdnikov 
On Sun, Jul 20, 2014 at 11:20:26PM +0400, Dmitrii Kashin wrote:
 Eugene Berdnikov b...@protva.ru writes:
...
   Я бы скормил этот файл антивирусу и/или отправил на исследование в
   ДрВеб или Касперскому. Более того, желательно проверить всю машину
   каким-нибудь антируткитом и подумать о переустановке системы.
 
 Допустим, что это руткит. Раз переустановка пакета не возымела эффекта -
 значит зловред не (только) там. Вопрос - где именно?

 Скорее всего, руткитовский код сидит в нескольких системных демонах,
 которые обязательно запущены в любой системе. В этом смысле exim4 очень
 хорош как кандидат на подселение, вместе с init, udevd, inetd, sshd...

 Допустим, что он (где бы там ни был) отслеживает изменение файла
 /usr/sbin/exim4 и модифицирует его. Раз файл в пакете - правильный, то
 давайте его возьмём и тупо подменим тот, который сейчас лежит в системе,
 при этом в то же время натравим на него, к примеру, `watch ls -l'. Если
 зловред попытается изменить файл - то тем самым себя скомпрометирует, и
 можно будет отловить, где же он там сидит.

 Лучше чем watch является решение с inotify, потому что можно повесить
 триггер прямо на событие модификации файла (IN_MODIFY). К сожалению,
 API inotify не даёт pid процесса, который производит обращение к файлу,
 но зато реакция настолько быстрая, что можно успеть просканировать
 дескрипторы в /proc и найти вредителя. Только нужно понимать, что
 руткиты имеют обыкновение подменять системный утиль, чтобы прятаться,
 так что нужно сканировать надёжными средствами, лучше своим кодом.
 Для организации триггеров inotify можно взять пакет incron.

 Более правильным решением был бы ядерный аудит, но я не знаю, как нынче
 обстоят дела с ним в дебиане... вижу что auditd в репах имеется.
-- 
 Eugene Berdnikov


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: https://lists.debian.org/20140720201122.ge3...@sie.protva.ru

Re: md5sum на packages.debian.org

2014-07-20 Пенетрантность Dmitrii Kashin 
Eugene Berdnikov b...@protva.ru writes:

 On Sun, Jul 20, 2014 at 11:20:26PM +0400, Dmitrii Kashin wrote:
 Eugene Berdnikov b...@protva.ru writes:
 ...
   Я бы скормил этот файл антивирусу и/или отправил на исследование в
   ДрВеб или Касперскому. Более того, желательно проверить всю машину
   каким-нибудь антируткитом и подумать о переустановке системы.
 
 Допустим, что это руткит. Раз переустановка пакета не возымела эффекта -
 значит зловред не (только) там. Вопрос - где именно?

  Скорее всего, руткитовский код сидит в нескольких системных демонах,
  которые обязательно запущены в любой системе. В этом смысле exim4 очень
  хорош как кандидат на подселение, вместе с init, udevd, inetd, sshd...

Ну да, старая тема. Надо их усыплять, и искать вредителя дальше. Но
опять же, если это действительно зловред. А то мы от тредстартера как-то
мало информации получили. Меня настораживает неполнота картины.

 Допустим, что он (где бы там ни был) отслеживает изменение файла
 /usr/sbin/exim4 и модифицирует его. Раз файл в пакете - правильный, то
 давайте его возьмём и тупо подменим тот, который сейчас лежит в системе,
 при этом в то же время натравим на него, к примеру, `watch ls -l'. Если
 зловред попытается изменить файл - то тем самым себя скомпрометирует, и
 можно будет отловить, где же он там сидит.

  Лучше чем watch является решение с inotify, потому что можно повесить
  триггер прямо на событие модификации файла (IN_MODIFY). К сожалению,
  API inotify не даёт pid процесса, который производит обращение к файлу,
  но зато реакция настолько быстрая, что можно успеть просканировать
  дескрипторы в /proc и найти вредителя.

Хм... Я, вообще говоря, надеялся, что strace поможет. А сканировать
дескрипторы /proc - это как-то... Неправильно.

 Только нужно понимать, что руткиты имеют обыкновение подменять
 системный утиль, чтобы прятаться, так что нужно сканировать надёжными
 средствами, лучше своим кодом.  Для организации триггеров inotify
 можно взять пакет incron.

Да чем хотите. Я про watch писал исключительно, чтобы выяснить факт
подмены. Как искать - это уже отдельный вопрос, который требует
отдельного обсуждения. И прежде, чем им заниматься, давайте-ка всё же
докажем, что зловред действительно существует.

  Более правильным решением был бы ядерный аудит, но я не знаю, как нынче
  обстоят дела с ним в дебиане... вижу что auditd в репах имеется.

Боюсь, я просто не знаю, что такое ядерный аудит.


pgpQCFL6PZCVj.pgp
Description: PGP signature