Re: errors d'execució

[Jordi Funollet]

On Monday 11 January 2010 20:10:35 JManel Grifoll wrote:
 El 11 de gener de 2010 17:27, Jordi Funollet jord...@ati.es ha escrit:
 
 Hola la sortida  de  netstat -lt es :
 Active Internet connections (only servers)
 Proto Recv-Q Send-Q Local Address   Foreign Address State
 tcp0  0 *:5901  *:* LISTEN
 tcp0  0 *:5902  *:* LISTEN
 tcp0  0 *:sunrpc*:* LISTEN
 tcp0  0 *:x11-1 *:* LISTEN
 tcp0  0 *:x11-2 *:* LISTEN
 tcp0  0 *:ftp   *:* LISTEN
 tcp0  0 *:ssh   *:* LISTEN
 tcp0  0 localhost:smtp  *:* LISTEN
 tcp0  0 *:afs3-volser   *:* LISTEN
 tcp0  0 *:33373 *:* LISTEN
 tcp6   0  0 [::]:ssh[::]:*  LISTEN
 tcp6   0  0 [::]:afs3-volser[::]:*  LISTEN

Els dos primers assumeixo que són el 'tightvnc'. El que no entenc és que n'hi 
hagi dos. De totes maneres, és un muntatge que (personalment) no m'agrada: si 
faig servir un client SSH dins d'una sessió 'tightvnc', el meu password viatga 
en clar des del meu teclat fins al servidor remot!

Com és que hi han DOS 'tightvnc'???

'sunrpc' és un servei que acostuma a instal·lar-se per al NFS. No sé si algun 
dels altres serveis en depèn, ho dubto. Tu prova. :-)

Els ports 'x11-1' i 'x11-2' corresponen a 6001 i 6002 (pots mirar-ho a 
'/etc/services'). No és bona cosa tenir-los escoltant a la xarxa. Pots accedir 
remotament a les X amb un túnel 'ssh', és trivial: ssh -X. Si algun dels 
altres serveis (tightvnc, NX) requereixen que les X estiguin escoltant, 
configura-les per a que sols escoltin a la interfície 127.0.0.1. Així no 
hauràs de patir pels accessos des de la xarxa.

Just així és com tens configurat el 'smtp' (veus que diu localhost en lloc 
de *?). Ideal, pots enviar mail però no hi ha perill de que et facin servir 
per re-enviar-ne.

Segur que et cal el 'vsftp'? Qui té compte a la màquina pot fer servir el 
'sftp', no has de configurar rés extra, també t'ho dona el mateix 'ssh'. El 
protocol FTP és un perill, els passwords van en clar.

No tinc ni idea de què són els ports restants (33373, 7005). Llença un 'sudo 
netstat -ltp' i tindrem una mica més d'informació.

-- 
##
### Jordi Funollet
### http://www.terraquis.net


--
To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: errors d'execució

[JManel Grifoll]

Hola:
pirat:/home/xarx# netstat  -ltp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address   Foreign Address
State   PID/Program name
tcp0  0 *:5901  *:*
LISTEN  19777/Xtightvnc
tcp0  0 *:5902  *:*
LISTEN  1893/Xtightvnc
tcp0  0 *:sunrpc*:*
LISTEN  2122/portmap
tcp0  0 *:x11-1 *:*
LISTEN  19777/Xtightvnc
tcp0  0 *:5906  *:*
LISTEN  6880/Xtightvnc
tcp0  0 *:x11-2 *:*
LISTEN  1893/Xtightvnc
tcp0  0 *:x11-6 *:*
LISTEN  6880/Xtightvnc
tcp0  0 *:ssh   *:*
LISTEN  2472/sshd
tcp0  0 localhost:smtp  *:*
LISTEN  2774/exim4
tcp0  0 localhost:6010  *:*
LISTEN  6508/sshd: n...@notty
tcp0  0 *:33373 *:*
LISTEN  2133/rpc.statd
tcp0  0 *:afs3-bos  *:*
LISTEN  6570/nxagent
tcp6   0  0 [::]:ssh[::]:*
LISTEN  2472/sshd
tcp6   0  0 localhost:6010  [::]:*
LISTEN  6508/sshd: n...@notty
tcp6   0  0 [::]:afs3-bos   [::]:*
LISTEN  6570/nxagent

Ara hi ha això:
Estic probant NX que va tot encriptat, però de moment va el tight.
En aquest moment he comprovat que hi havien dues sesions obertes, una sessio
estava amb dos usuaris connectats , i una altre amb un usuari.
Aixi que pugui trauré les tight i deixere les nx ( hi ha una sessió oberta),
així es tancaran aquests ports X11.

El  portmap i el rpc.stat  els pararé a la nit a veure si funciona tot.
.
El vstp, el vaig posar per a l'intercanvi d'arxius, pensava que era
necesari.

L'he tret i funciona.

Vaig a veure si el client  nx va bé amb linux i windows.

Sembla que ja funciona quasi tot.

Moltes Gràcies.

JManel Grifoll


El 12 de gener de 2010 13:11, Jordi Funollet jord...@ati.es ha escrit:

 On Monday 11 January 2010 20:10:35 JManel Grifoll wrote:
  El 11 de gener de 2010 17:27, Jordi Funollet jord...@ati.es ha escrit:
 
  Hola la sortida  de  netstat -lt es :
  Active Internet connections (only servers)
  Proto Recv-Q Send-Q Local Address   Foreign Address State
  tcp0  0 *:5901  *:*
 LISTEN
  tcp0  0 *:5902  *:*
 LISTEN
  tcp0  0 *:sunrpc*:*
 LISTEN
  tcp0  0 *:x11-1 *:*
 LISTEN
  tcp0  0 *:x11-2 *:*
 LISTEN
  tcp0  0 *:ftp   *:*
 LISTEN
  tcp0  0 *:ssh   *:*
 LISTEN
  tcp0  0 localhost:smtp  *:*
 LISTEN
  tcp0  0 *:afs3-volser   *:*
 LISTEN
  tcp0  0 *:33373 *:*
 LISTEN
  tcp6   0  0 [::]:ssh[::]:*
  LISTEN
  tcp6   0  0 [::]:afs3-volser[::]:*
  LISTEN

 Els dos primers assumeixo que són el 'tightvnc'. El que no entenc és que
 n'hi
 hagi dos. De totes maneres, és un muntatge que (personalment) no m'agrada:
 si
 faig servir un client SSH dins d'una sessió 'tightvnc', el meu password
 viatga
 en clar des del meu teclat fins al servidor remot!

 Com és que hi han DOS 'tightvnc'???

 'sunrpc' és un servei que acostuma a instal·lar-se per al NFS. No sé si
 algun
 dels altres serveis en depèn, ho dubto. Tu prova. :-)

 Els ports 'x11-1' i 'x11-2' corresponen a 6001 i 6002 (pots mirar-ho a
 '/etc/services'). No és bona cosa tenir-los escoltant a la xarxa. Pots
 accedir
 remotament a les X amb un túnel 'ssh', és trivial: ssh -X. Si algun dels
 altres serveis (tightvnc, NX) requereixen que les X estiguin escoltant,
 configura-les per a que sols escoltin a la interfície 127.0.0.1. Així no
 hauràs de patir pels accessos des de la xarxa.

 Just així és com tens configurat el 'smtp' (veus que diu localhost en
 lloc
 de *?). Ideal, pots enviar mail però no hi ha perill de que et facin
 servir
 per re-enviar-ne.

 Segur que et cal el 'vsftp'? Qui té compte a la màquina pot fer servir el
 'sftp', no has de configurar rés extra, també t'ho dona el mateix 'ssh'. El
 protocol FTP és un perill, els passwords van en clar.

 No tinc ni idea de què són els ports restants (33373, 7005). Llença un
 'sudo
 netstat -ltp' i tindrem una mica més d'informació.

 --
 ##
 ### Jordi Funollet
 ### http://www.terraquis.net


 --
 To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org
 with a subject of unsubscribe. Trouble? Contact
 listmas...@lists.debian.org

Re: errors d'execució

[Jordi Funollet]

A mi em sona bé. Em xoca que el 'tightvnc' obri les X cap a la xarxa, però un 
cop el treguis de circul·lació et quedarà la màquina força endreçada.
-- 
##
### Jordi Funollet
### http://www.terraquis.net


--
To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: errors d'execució

[JManel Grifoll]

Hola a tots:

Moltes gràcies per totes les indicacions.

No vaig poder instal·lar el chkrootkit, tampoc anava la connexió a  xarxa,
al final  vaig passar de tot, he formatar i no he esbrinat que va passar.
He instal·lat el fail2safe i estic provant el nx.

 Moltes gràcies.

Salut!

JM Grifoll

El 8 de gener de 2010 21:05, Orestes Mas ores...@tsc.upc.edu ha escrit:

 A Dijous, 7 de gener de 2010, JManel Grifoll va escriure:
  Hola moltes gràcies:
 
  Soc un recent jubilat  feliç, autodidacta en linux i ni idea de
  oceonagrafia, i pel que es veu en linux tampoc!
 
  Cuidava aquesta màquina instal·lant els programes i utilitats que em
  demanaven, (espero fer-ho encara,...). No m'havia preocupat mai per la
  seguretat, els paswd eren del tipus 0; 123456; no hi havia ni llistes
  d'adreçes, ni noms., res que podés interessar ningú, almenys és el que jo
  creia.
 
  Potser si que li varen buscar altres activitats. Fins que es varen cansar
 i
  varen canviar el paswd per posar-me a prova: si era capaç de notar alguna
  coseta rara.
 
  Instal·larè tot el sistema.  Als /homes hi ha: dades, programes dels
  usuaris, aixo no cal oi?   el directori /opt hi ha compiladors,
 llibreries
   i programes que no depenen de la debian, tampoc cal no?

 Reinstal·la-ho tot. Un compilador és un executable i pot estar compromès.
 Les
 libreries tres quarts del mateix.

 Jo faria una còpia de seguretat de les dades, ho reformatejaria TOT,
 tornaria
 a fer una instal·lació neta i per acabar bolcaria les dades altre cop. Ho
 repeteixo: esborra-ho TOT, o sempre et quedarà el dubte de si has passat
 per
 alt alguna cosa.

 I, si pots, usa preferentment NX en lloc de tightvncserver. Guanyaràs
 espectacularment en velocitat i seguretat.

 També és aconsellable desactivar els passwords i autenticar-te només amb
 claus
 SSH (RSA, DSA...). És força senzill de fer i molt més segur.

 Si no pots fer això darrer, com a protecció addicional pots instal·lar-te
 el
 programa fail2ban, que serveix per deixar de respondre a les peticions de
 xarxa de màquines que presentin un nombre excessiu d'errades d'autenticació
 (típic quan algú intenta rebentar passwords pel mètode de la força bruta.
 Així, si t'intenten endevinar la contrasenya a base d'anar provant, es
 trobaràn que al cap de N intents el servidor SSH deixa de respondre les
 peticions d'aquest individu durant un període de temps configurable (30
 minuts...). Això ho fa creant sobre la marxa unes regles especials al
 tallafocs de la màquina (iptables).

 --
  Orestes Mas Casals - UPC


 --
 To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org
 with a subject of unsubscribe. Trouble? Contact
 listmas...@lists.debian.org

Re: errors d'execució

[Jordi Funollet]

On Monday 11 January 2010 16:59:33 JManel Grifoll wrote:
 Hola a tots:
 
 Moltes gràcies per totes les indicacions.
 
 No vaig poder instal·lar el chkrootkit, tampoc anava la connexió a  xarxa,
 al final  vaig passar de tot, he formatar i no he esbrinat que va passar.
 He instal·lat el fail2safe i estic provant el nx.

Ben fet: reinstal·lar de zero és la única sortida segura quan no saps fins on 
han arribat.

Pots fer una ullada a quins programes tens escoltant a la xarxa amb 
'netstat -lt'. Assegura't de que la instal·lació no t'ha deixat engegat res 
que no necessitis.

El programa 'bastille' és una bona manera de revisar la seguretat de la 
màquina i és molt didàctic: t'explica què recomana i perquè ho recomana.

També et pot anar bé aquesta documentació de can Debian, per començar:

http://www.debian.org/doc/manuals/securing-debian-howto/

-- 
##
### Jordi Funollet
### http://www.terraquis.net


--
To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: errors d'execució

[JManel Grifoll]

El 11 de gener de 2010 17:27, Jordi Funollet jord...@ati.es ha escrit:

Hola la sortida  de  netstat -lt es :
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address   Foreign Address State
tcp0  0 *:5901  *:* LISTEN
tcp0  0 *:5902  *:* LISTEN
tcp0  0 *:sunrpc*:* LISTEN
tcp0  0 *:x11-1 *:* LISTEN
tcp0  0 *:x11-2 *:* LISTEN
tcp0  0 *:ftp   *:* LISTEN
tcp0  0 *:ssh   *:* LISTEN
tcp0  0 localhost:smtp  *:* LISTEN
tcp0  0 *:afs3-volser   *:* LISTEN
tcp0  0 *:33373 *:* LISTEN
tcp6   0  0 [::]:ssh[::]:*  LISTEN
tcp6   0  0 [::]:afs3-volser[::]:*  LISTEN

Hi ha alguna cosa fora de lloc?

Hi ha instal·lat el fail2ban; un servidor Nx, dos tightvnc, el ftp  es el
vsftpd,
El smtp hauria de ser-hi? per treure avisos i logs ho faig amb un script amb
mutt i msmtp. Els afs3  i  i sunrpc ?

Gràcies.
JM Grifoll



 Ben fet: reinstal·lar de zero és la única sortida segura quan no saps fins
 on
 han arribat.

 Pots fer una ullada a quins programes tens escoltant a la xarxa amb
 'netstat -lt'. Assegura't de que la instal·lació no t'ha deixat engegat res
 que no necessitis.

 El programa 'bastille' és una bona manera de revisar la seguretat de la
 màquina i és molt didàctic: t'explica què recomana i perquè ho recomana.

 També et pot anar bé aquesta documentació de can Debian, per començar:

http://www.debian.org/doc/manuals/securing-debian-howto/

 --
 ##
 ### Jordi Funollet
 ### http://www.terraquis.net


 --
 To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org
 with a subject of unsubscribe. Trouble? Contact
 listmas...@lists.debian.org

Re: errors d'execució

[Orestes Mas]

A Dijous, 7 de gener de 2010, JManel Grifoll va escriure:
 Hola moltes gràcies:
 
 Soc un recent jubilat  feliç, autodidacta en linux i ni idea de
 oceonagrafia, i pel que es veu en linux tampoc!
 
 Cuidava aquesta màquina instal·lant els programes i utilitats que em
 demanaven, (espero fer-ho encara,...). No m'havia preocupat mai per la
 seguretat, els paswd eren del tipus 0; 123456; no hi havia ni llistes
 d'adreçes, ni noms., res que podés interessar ningú, almenys és el que jo
 creia.
 
 Potser si que li varen buscar altres activitats. Fins que es varen cansar i
 varen canviar el paswd per posar-me a prova: si era capaç de notar alguna
 coseta rara.
 
 Instal·larè tot el sistema.  Als /homes hi ha: dades, programes dels
 usuaris, aixo no cal oi?   el directori /opt hi ha compiladors, llibreries
  i programes que no depenen de la debian, tampoc cal no?

Reinstal·la-ho tot. Un compilador és un executable i pot estar compromès. Les 
libreries tres quarts del mateix.

Jo faria una còpia de seguretat de les dades, ho reformatejaria TOT, tornaria 
a fer una instal·lació neta i per acabar bolcaria les dades altre cop. Ho 
repeteixo: esborra-ho TOT, o sempre et quedarà el dubte de si has passat per 
alt alguna cosa.

I, si pots, usa preferentment NX en lloc de tightvncserver. Guanyaràs 
espectacularment en velocitat i seguretat.

També és aconsellable desactivar els passwords i autenticar-te només amb claus 
SSH (RSA, DSA...). És força senzill de fer i molt més segur.

Si no pots fer això darrer, com a protecció addicional pots instal·lar-te el 
programa fail2ban, que serveix per deixar de respondre a les peticions de 
xarxa de màquines que presentin un nombre excessiu d'errades d'autenticació 
(típic quan algú intenta rebentar passwords pel mètode de la força bruta. 
Així, si t'intenten endevinar la contrasenya a base d'anar provant, es 
trobaràn que al cap de N intents el servidor SSH deixa de respondre les 
peticions d'aquest individu durant un període de temps configurable (30 
minuts...). Això ho fa creant sobre la marxa unes regles especials al 
tallafocs de la màquina (iptables).

-- 
 Orestes Mas Casals - UPC


--
To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: errors d'execució

[Marc Olive]

Hola bones,

No es tracta només que hi hagin o no dades interessants als ordenadors, 
sinó 
el que poden fer controlant màquines d'altra gent: que si spam, que si anar 
provant contrasenyes per intentar entrar en altres ordenadors, que si atacs 
coordinats contra servidors concrets, que si falsficar webs i fer fishing, 
etc, etc.

A part dels serveis que dius que posaràs, tampoc estaria malament que 
hi 
poséssis programes per detectar intrusions en un futur, mira com funciona 
el chkrootkit que t'han anomenat, a més del tripwire, l'snort i altres. 
Els pots configurar per què inspeccionin el sistema periòdicament i enviïn 
correu si troben alguna anomalia.

Salut,

El Thursday 07 January 2010 00:44:38 JManel Grifoll va escriure:
 Hola moltes gràcies:

 Soc un recent jubilat  feliç, autodidacta en linux i ni idea de
 oceonagrafia, i pel que es veu en linux tampoc!

 Cuidava aquesta màquina instal·lant els programes i utilitats que em
 demanaven, (espero fer-ho encara,...). No m'havia preocupat mai per la
 seguretat, els paswd eren del tipus 0; 123456; no hi havia ni llistes
 d'adreçes, ni noms., res que podés interessar ningú, almenys és el que jo
 creia.

 Potser si que li varen buscar altres activitats. Fins que es varen cansar i
 varen canviar el paswd per posar-me a prova: si era capaç de notar alguna
 coseta rara.

 Instal·larè tot el sistema.  Als /homes hi ha: dades, programes dels
 usuaris, aixo no cal oi?   el directori /opt hi ha compiladors, llibreries
 i programes que no depenen de la debian, tampoc cal no?

 Nomes posaré:
 sshd
 sftpd
 tightvncserver  (diu que la contrasenya va encriptada  pero les dades no)

 El servidor apache l'apagaré.

 La configuració d'això es molt elemental no?

 Tinc ganes de veure que diu el chkrootkit, i que hi als logs,.

 Moltes gràcies.

 JMGrifoll



-- 
Marc Olivé
Plaça d'en Canós, 9-11 2º 1ª
43440 l'Espluga de Francolí
Tarragona
Tel. 977 870 702
http://www.blauconsultors.com


--
To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: errors d'execució

[Xavier De Yzaguirre]

Perdona la meva gosadia, pero avui m'he trobat que no podia accedir a
root, i he provat d'escriure la paraula de pas a terminal i per sorpresa
meva hi havia una tecla que entrava un caracter que no era, he pogut
escriure la cla a terminal i copiant i enganxant he pogut validar la
contrassenya de root.

****
Xavier De Yzaguirre
xdeyzaguirre(a)ono.com 

Re: errors d'execució

[JManel Grifoll]

Bon dia:

Aquest el el contingut de /etc/passwd

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh
lp:x:7:7:lp:/var/spool/lpd:/bin/sh
mail:x:8:8:mail:/var/mail:/bin/sh
news:x:9:9:news:/var/spool/news:/bin/sh
uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh
proxy:x:13:13:proxy:/bin:/bin/sh
www-data:x:33:33:www-data:/var/www:/bin/sh
backup:x:34:34:backup:/var/backups:/bin/sh
list:x:38:38:Mailing List Manager:/var/list:/bin/sh
irc:x:39:39:ircd:/var/run/ircd:/bin/sh
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
libuuid:x:100:101::/var/lib/libuuid:/bin/sh
Debian-exim:x:101:103::/var/spool/exim4:/bin/false
statd:x:102:65534::/var/lib/nfs:/bin/false
messagebus:x:103:108::/var/run/dbus:/bin/false
gdm:x:104:109:Gnome Display Manager:/var/lib/gdm:/bin/false
haldaemon:x:105:110:Hardware abstraction layer,,,:/var/run/hal:/bin/false
sshd:x:106:65534::/var/run/sshd:/usr/sbin/nologin
xarx:x:1000:1000:,,,:/home/xarx:/bin/bash
porc:x:1002:1002:,,,:/home/porc:/bin/bash
manel:x:1001:1001:,,,:/home/manel:/bin/bash
ftp:x:107:65534::/home/ftp:/bin/false
debian-xfs:x:108:112::/nonexistant:/bin/false
stella:x:1003:1004:,,,:/home/stella:/bin/bash
avahi:x:109:113:Avahi mDNS daemon,,,:/var/run/avahi-daemon:/bin/false
ghost:x:0:0::/home/ghost:/bin/sh

Els usuaris del pc son manel,xarx,stella i porc

L'ultims es ben estrany , el directori ghost diu que no hi es.


Salut!

El 6 de gener de 2010 3:18, JManel Grifoll drap...@gmail.com ha escrit:

 Hola:

 Dons potser fa un mes mes i mig  que es va actualitzar, es una màquina que
 calcula, fa simulacions de roms (Regional oceanografic Model,) dia i
 nit.
 Si para es per accident,el corrent, un disk dur,..

 No hi ha ni emule, ni skype, gaim, xchat, ...no la toca ningú.

 Els pswd són tirats, ara mateix tenia una sessio xtightvncviewer oberta
 i s'ha tancat.   Un dia vaig veure uns logs que provaven d'obrir una sessio
 ssh amb noms anglesos corrents, no en vaig fer cas.

 No puc fer res.

 Adeu i gràcies.!






 2010/1/6 Orestes Mas ores...@tsc.upc.edu

 A Dimecres, 6 de gener de 2010, JManel Grifoll va escriure:
  Vaja! han canviat algunes coses, fixeu-vos amb les dates d'aquests
 arxius,
  i no s'actualitzat en un mes com a mínim!:
 
  -rwxr-xr-x   1 root root11712 Dec 27  2007
 /bin/dnsdomainname
  -rwxr-xr-x   1 root root40328 Jan  3 01:41 /bin/cat
  -rwxr-xr-x   1 root root57752 Jan  3 01:41 /bin/chmod
  -rwxr-xr-x   1 root root86376 Jan  3 01:41 /bin/cp
  -rwxr-xr-x   1 root root   110184 Jan  3 01:41 /bin/dir
  -rwxr-xr-x   1 root root14856 Jan  3 01:41 /bin/dmesg
  -rwxr-xr-x   1 root root57824 Jan  3 01:41 /bin/ed
  -rwxr-xr-x   1 root root69008 Jan  3 01:41 /bin/fgrep
  -rwxr-xr-x   1 root root24160 Jan  3 01:41 /bin/kill
  -rwxr-xr-x   1 root root41544 Jan  3 01:41 /bin/mknod
  -rwxr-xr-x   1 root root40792 Jan  3 01:41 /bin/more
  -rwxr-xr-x   1 root root93512 Jan  3 01:41 /bin/mv
  -rwxr-xr-x   1 root root32184 Jan  3 01:41
 /bin/nc.traditional
  -rwxr-xr-x   1 122  netdev  62920 Jan 11  2009 /bin/ps
  -rwxr-xr-x   1 root root48072 Jan  3 01:41 /bin/readlink
  -rwxr-xr-x   1 root root61768 Jan  3 01:41 /bin/rm
  -rwxr-xr-x   1 root root37096 Jan  3 01:41 /bin/rmdir
  -rwxr-xr-x   1 root root23704 Jan  3 01:41 /bin/run-parts
  -rwxr-xr-x   1 root root38152 Jan  3 01:41 /bin/sleep
  -rwxr-xr-x   1 root root14920 Jan  3 01:41 /bin/tailf
  -rwxr-xr-x   1 root root16040 Jan  3 01:41 /bin/tempfile
 
  Alguns funcionen i alguns no!
 
 
  M'agradaria saber qui es aquest usuari  122 del ps
 
  Ganes de tocar els pebrots no?
 
  O  volien fer spam?
 
  Sembla que informació no n'han esborrat!
 
  Bona nit de reis!


 Si no han esborrat info potser es tracta de quelcom automatitzat, un cuc
 per
 exemple, que ha aprofitat alguna fallada coneguda en un sistema poc
 actualitzat.

 A mi fa molts anys em va passar un cas semblant: em va entrar un cuc
 anomenat adore que em va canviar el ps i va compilar un mòdul del
 kernel
 per tal d'ocultar-se a si mateix. També es dedicava a propagar-se a altres
 sistemes fent servir el meu com a base.

 Em va entrar per un servidor ftp (wu-ftp) amb un bug conegut i no corregit
 per
 part meva. Però aleshores jo era un jovencell inexpert i no en sabia
 gens...

 Aplicaves regularment els pegats de seguretat?

 Orestes.


 --
 To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org
 with a subject of unsubscribe. Trouble? Contact
 listmas...@lists.debian.org

Re: errors d'execució

[Matthias Kaehlcke]

bona dia,

El Wed, Jan 06, 2010 at 11:49:11AM +0100 JManel Grifoll ha dit:

Aquest el el contingut de /etc/passwd
 
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh
lp:x:7:7:lp:/var/spool/lpd:/bin/sh
mail:x:8:8:mail:/var/mail:/bin/sh
news:x:9:9:news:/var/spool/news:/bin/sh
uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh
proxy:x:13:13:proxy:/bin:/bin/sh
www-data:x:33:33:www-data:/var/www:/bin/sh
backup:x:34:34:backup:/var/backups:/bin/sh
list:x:38:38:Mailing List Manager:/var/list:/bin/sh
irc:x:39:39:ircd:/var/run/ircd:/bin/sh
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
libuuid:x:100:101::/var/lib/libuuid:/bin/sh
Debian-exim:x:101:103::/var/spool/exim4:/bin/false
statd:x:102:65534::/var/lib/nfs:/bin/false
messagebus:x:103:108::/var/run/dbus:/bin/false
gdm:x:104:109:Gnome Display Manager:/var/lib/gdm:/bin/false
haldaemon:x:105:110:Hardware abstraction layer,,,:/var/run/hal:/bin/false
sshd:x:106:65534::/var/run/sshd:/usr/sbin/nologin
xarx:x:1000:1000:,,,:/home/xarx:/bin/bash
porc:x:1002:1002:,,,:/home/porc:/bin/bash
manel:x:1001:1001:,,,:/home/manel:/bin/bash
ftp:x:107:65534::/home/ftp:/bin/false
debian-xfs:x:108:112::/nonexistant:/bin/false
stella:x:1003:1004:,,,:/home/stella:/bin/bash
avahi:x:109:113:Avahi mDNS daemon,,,:/var/run/avahi-daemon:/bin/false
ghost:x:0:0::/home/ghost:/bin/sh
 
Els usuaris del pc son manel,xarx,stella i porc
 
L'ultims es ben estrany , el directori ghost diu que no hi es.

lo més 'estrany' del usuari ghost es que té l'uid 0, vol dir que es un
usuari amb permisos de root.

lluny d ser un expert en aquests temes et recomanaría fer una copia de
les dades de la máquina i tornar a instalar-la. esta clar que la
máquina ha sigut compromesa, l'intrus ha aconseguit permisos de
superusuari, es difficil saber quines portes traseres s'ha deixat
obert.

salutacions

-- 
Matthias Kaehlcke
Embedded Linux Developer
Barcelona

 An ounce of practice is worth more than tons of preaching
(Mahatma Gandhi)
 .''`.
using free software / Debian GNU/Linux | http://debian.org  : :'  :
`. `'`
gpg --keyserver pgp.mit.edu --recv-keys 47D8E5D4  `-


-- 
To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: errors d'execució

[tictac]

chkrootkit comprova varis fitxers del sistema per veure si algú ha instal·lat 
algun rootkit, que són uns programes per agafar el control del sistema i 
amagar-ho a l'usuari. Canvien executables com ps, kill, etc.. per d'altres 
modificats i que acostumen a fallar, si te n'han instal·lat un, el millor que 
pots fer és reinstal·lar el sistema per deixar-ho ben net


A Dimecres, 6 de gener de 2010, Matthias Kaehlcke va escriure:
 bona dia,
 
 El Wed, Jan 06, 2010 at 11:49:11AM +0100 JManel Grifoll ha dit:
 Aquest el el contingut de /etc/passwd
 
 root:x:0:0:root:/root:/bin/bash
 daemon:x:1:1:daemon:/usr/sbin:/bin/sh
 bin:x:2:2:bin:/bin:/bin/sh
 sys:x:3:3:sys:/dev:/bin/sh
 sync:x:4:65534:sync:/bin:/bin/sync
 games:x:5:60:games:/usr/games:/bin/sh
 man:x:6:12:man:/var/cache/man:/bin/sh
 lp:x:7:7:lp:/var/spool/lpd:/bin/sh
 mail:x:8:8:mail:/var/mail:/bin/sh
 news:x:9:9:news:/var/spool/news:/bin/sh
 uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh
 proxy:x:13:13:proxy:/bin:/bin/sh
 www-data:x:33:33:www-data:/var/www:/bin/sh
 backup:x:34:34:backup:/var/backups:/bin/sh
 list:x:38:38:Mailing List Manager:/var/list:/bin/sh
 irc:x:39:39:ircd:/var/run/ircd:/bin/sh
 gnats:x:41:41:Gnats Bug-Reporting System
  (admin):/var/lib/gnats:/bin/sh
  nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
 libuuid:x:100:101::/var/lib/libuuid:/bin/sh
 Debian-exim:x:101:103::/var/spool/exim4:/bin/false
 statd:x:102:65534::/var/lib/nfs:/bin/false
 messagebus:x:103:108::/var/run/dbus:/bin/false
 gdm:x:104:109:Gnome Display Manager:/var/lib/gdm:/bin/false
 haldaemon:x:105:110:Hardware abstraction
  layer,,,:/var/run/hal:/bin/false
  sshd:x:106:65534::/var/run/sshd:/usr/sbin/nologin
 xarx:x:1000:1000:,,,:/home/xarx:/bin/bash
 porc:x:1002:1002:,,,:/home/porc:/bin/bash
 manel:x:1001:1001:,,,:/home/manel:/bin/bash
 ftp:x:107:65534::/home/ftp:/bin/false
 debian-xfs:x:108:112::/nonexistant:/bin/false
 stella:x:1003:1004:,,,:/home/stella:/bin/bash
 avahi:x:109:113:Avahi mDNS daemon,,,:/var/run/avahi-daemon:/bin/false
 ghost:x:0:0::/home/ghost:/bin/sh
 
 Els usuaris del pc son manel,xarx,stella i porc
 
 L'ultims es ben estrany , el directori ghost diu que no hi es.
 
 lo més 'estrany' del usuari ghost es que té l'uid 0, vol dir que es un
 usuari amb permisos de root.
 
 lluny d ser un expert en aquests temes et recomanaría fer una copia de
 les dades de la máquina i tornar a instalar-la. esta clar que la
 máquina ha sigut compromesa, l'intrus ha aconseguit permisos de
 superusuari, es difficil saber quines portes traseres s'ha deixat
 obert.
 
 salutacions
 


-- 
To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: errors d'execució

[Jordi Funollet]

JManel,

amb el que has vist fins ara no cal que passis el 'chkrootkit' ni el 
'rkhunter'. Està molt clar que t'han colonitzat la màquina.

Potser han entrat endevinant un d'aquests passwords tirats o potser per 
alguna aplicació no actualizada o mal configurada, però ara no cal que t'hi 
trenquis molt el cap.

Com que han remplaçat alguns dels teus binaris (i no hi ha manera de saber 
quins) no queda altre sol·lució que reinstal·lar tot el servidor. Quan tinc 
una d'aquestes alegries i no puc reinstal·lar immediatament acostumo a 
deixar la màquina desendollada. Així evitem que el mal s'estengui; qui s'ha 
pres la feina de colonitzar la teva màquina l'estarà fent servir per alguna 
cosa: atacar altres màquines, enviar spam... Tot un sector industrial en que 
probablement no vols participar. ;-)

A més de reinstal·lar no t'oblidis de canviar tots els passwords. A hores 
d'ara el teu okupa els deu tenir tots ben guardats. Avisa els teus usuaris 
de que deixin de fer servir aquest password, en cas de que féssin servir el 
mateix en altres llocs.

Al marge d'això, em sembla que en un altre mail has dit que fas servir 
'xtightvnc'. Em confonc o els passwords no van encriptats? Això sol ja seria 
un forat d'entrada, hauràs de buscar una alternativa si no vols tornar a tenir 
visites.

I, per xafarderia: com és que feu servir ROMS? Ets oceanògraf?

-- 
##
### Jordi Funollet
### http://www.terraquis.net


--
To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: errors d'execució

[JManel Grifoll]

Hola moltes gràcies:

Soc un recent jubilat  feliç, autodidacta en linux i ni idea de
oceonagrafia, i pel que es veu en linux tampoc!

Cuidava aquesta màquina instal·lant els programes i utilitats que em
demanaven, (espero fer-ho encara,...). No m'havia preocupat mai per la
seguretat, els paswd eren del tipus 0; 123456; no hi havia ni llistes
d'adreçes, ni noms., res que podés interessar ningú, almenys és el que jo
creia.

Potser si que li varen buscar altres activitats. Fins que es varen cansar i
varen canviar el paswd per posar-me a prova: si era capaç de notar alguna
coseta rara.

Instal·larè tot el sistema.  Als /homes hi ha: dades, programes dels
usuaris, aixo no cal oi?   el directori /opt hi ha compiladors, llibreries i
programes que no depenen de la debian, tampoc cal no?

Nomes posaré:
sshd
sftpd
tightvncserver  (diu que la contrasenya va encriptada  pero les dades no)

El servidor apache l'apagaré.

La configuració d'això es molt elemental no?

Tinc ganes de veure que diu el chkrootkit, i que hi als logs,.

Moltes gràcies.

JMGrifoll






El 6 de gener de 2010 22:37, Jordi Funollet jord...@ati.es ha escrit:

 JManel,

 amb el que has vist fins ara no cal que passis el 'chkrootkit' ni el
 'rkhunter'. Està molt clar que t'han colonitzat la màquina.

 Potser han entrat endevinant un d'aquests passwords tirats o potser per
 alguna aplicació no actualizada o mal configurada, però ara no cal que t'hi
 trenquis molt el cap.

 Com que han remplaçat alguns dels teus binaris (i no hi ha manera de saber
 quins) no queda altre sol·lució que reinstal·lar tot el servidor. Quan tinc
 una d'aquestes alegries i no puc reinstal·lar immediatament acostumo a
 deixar la màquina desendollada. Així evitem que el mal s'estengui; qui s'ha
 pres la feina de colonitzar la teva màquina l'estarà fent servir per alguna
 cosa: atacar altres màquines, enviar spam... Tot un sector industrial en
 que
 probablement no vols participar. ;-)

 A més de reinstal·lar no t'oblidis de canviar tots els passwords. A hores
 d'ara el teu okupa els deu tenir tots ben guardats. Avisa els teus
 usuaris
 de que deixin de fer servir aquest password, en cas de que féssin servir el
 mateix en altres llocs.

 Al marge d'això, em sembla que en un altre mail has dit que fas servir
 'xtightvnc'. Em confonc o els passwords no van encriptats? Això sol ja
 seria
 un forat d'entrada, hauràs de buscar una alternativa si no vols tornar a
 tenir
 visites.

 I, per xafarderia: com és que feu servir ROMS? Ets oceanògraf?

 --
 ##
 ### Jordi Funollet
 ### http://www.terraquis.net


 --
 To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org
 with a subject of unsubscribe. Trouble? Contact
 listmas...@lists.debian.org

Re: errors d'execució

[Utopic]

Jo aposto que és a causa del HD nou. Com vau fer el canvi? Ja funcionava 
correctament el nou HD?

Nes festes,

A Dimarts 05 Gener 2010, JManel Grifoll va escriure:
 Hola:
 
 Tenim un servidor  que ara no es accessible físicament, te una Debian
 estable, que fa un mes que es va actualitzar aprofitant que se li havia de
 canviar un disc dur.
 El cas es que fa unes 48 hores li fallen algunes instruccions.
 Cada 1/4 hora corre un script comprobant la ip:  envia un correu dient que
 
  (...) /bin/cat  cannot execute binary file.
  també li falla: cp , rm, chmod,..  (mateix missatge)
 Funcionen bé.:ls, ps, mkdir,chown,mount ,. ssh (si pot entrar).
 Va quedar amb una sessió del tighvncserver oberta, on funciona el matlab,
 ifort,be
 El més greu es que si vull  ser root  tot i que   su s'executa, no admet la
 contrassenya (error d'autenticació).
 O sigui que no puc veure els logs,. ni reinstalar,...
 
 Pinta molt malament,.. sense ser root  no puc treure informació dels discs
 durs?
 
 Algú te alguna idea per provar , abans de fotre 200km?
 
 Gràcies a tots.
 
 Salut
 
 
 JM Grifoll
 


-- 
Utopic
Q:  Why do people who live near Niagara Falls have flat foreheads?
A:  Because every morning they wake up thinking What *is* that noise?
Oh, right, *of course*!


--
To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: errors d'execució

[tictac]

jo vaig trobar-me en un cas semblant i va resultar que havien instal·lat un 
rootkit al sistema, prova d'instal·lar i executar chkrootkit... sense alarmar 
eh?

A Dimarts, 5 de gener de 2010, Utopic va escriure:
 Jo aposto que és a causa del HD nou. Com vau fer el canvi? Ja funcionava
 correctament el nou HD?
 
 Nes festes,
 
 A Dimarts 05 Gener 2010, JManel Grifoll va escriure:
  Hola:
 
  Tenim un servidor  que ara no es accessible físicament, te una Debian
  estable, que fa un mes que es va actualitzar aprofitant que se li havia
  de canviar un disc dur.
  El cas es que fa unes 48 hores li fallen algunes instruccions.
  Cada 1/4 hora corre un script comprobant la ip:  envia un correu dient
  que
 
   (...) /bin/cat  cannot execute binary file.
   també li falla: cp , rm, chmod,..  (mateix missatge)
  Funcionen bé.:ls, ps, mkdir,chown,mount ,. ssh (si pot entrar).
  Va quedar amb una sessió del tighvncserver oberta, on funciona el matlab,
  ifort,be
  El més greu es que si vull  ser root  tot i que   su s'executa, no admet
  la contrassenya (error d'autenticació).
  O sigui que no puc veure els logs,. ni reinstalar,...
 
  Pinta molt malament,.. sense ser root  no puc treure informació dels
  discs durs?
 
  Algú te alguna idea per provar , abans de fotre 200km?
 
  Gràcies a tots.
 
  Salut
 
 
  JM Grifoll
 


-- 
To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: errors d'execució

[Andreu Bassols Alcón]

Hola,

Prova de veure l'únic log visible a nivell d'usuari, el dmesg. Allà veuràs
si hi ha hagut errors de disc.


Salut i sort

El 5 de gener de 2010 16:23, tictac tictac...@gmail.com ha escrit:

 jo vaig trobar-me en un cas semblant i va resultar que havien instal·lat un
 rootkit al sistema, prova d'instal·lar i executar chkrootkit... sense
 alarmar
 eh?

 A Dimarts, 5 de gener de 2010, Utopic va escriure:
  Jo aposto que és a causa del HD nou. Com vau fer el canvi? Ja funcionava
  correctament el nou HD?
 
  Nes festes,
 
  A Dimarts 05 Gener 2010, JManel Grifoll va escriure:
   Hola:
  
   Tenim un servidor  que ara no es accessible físicament, te una Debian
   estable, que fa un mes que es va actualitzar aprofitant que se li havia
   de canviar un disc dur.
   El cas es que fa unes 48 hores li fallen algunes instruccions.
   Cada 1/4 hora corre un script comprobant la ip:  envia un correu dient
   que
  
(...) /bin/cat  cannot execute binary file.
també li falla: cp , rm, chmod,..  (mateix missatge)
   Funcionen bé.:ls, ps, mkdir,chown,mount ,. ssh (si pot entrar).
   Va quedar amb una sessió del tighvncserver oberta, on funciona el
 matlab,
   ifort,be
   El més greu es que si vull  ser root  tot i que   su s'executa, no
 admet
   la contrassenya (error d'autenticació).
   O sigui que no puc veure els logs,. ni reinstalar,...
  
   Pinta molt malament,.. sense ser root  no puc treure informació dels
   discs durs?
  
   Algú te alguna idea per provar , abans de fotre 200km?
  
   Gràcies a tots.
  
   Salut
  
  
   JM Grifoll
 


 --
 To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org
 with a subject of unsubscribe. Trouble? Contact
 listmas...@lists.debian.org




-- 
Andreu Bassols i Alcón
http://xarxa.eines.cat

Re: errors d'execució

[JManel Grifoll]

Vaja! han canviat algunes coses, fixeu-vos amb les dates d'aquests arxius,
i no s'actualitzat en un mes com a mínim!:

-rwxr-xr-x   1 root root11712 Dec 27  2007 /bin/dnsdomainname
-rwxr-xr-x   1 root root40328 Jan  3 01:41 /bin/cat
-rwxr-xr-x   1 root root57752 Jan  3 01:41 /bin/chmod
-rwxr-xr-x   1 root root86376 Jan  3 01:41 /bin/cp
-rwxr-xr-x   1 root root   110184 Jan  3 01:41 /bin/dir
-rwxr-xr-x   1 root root14856 Jan  3 01:41 /bin/dmesg
-rwxr-xr-x   1 root root57824 Jan  3 01:41 /bin/ed
-rwxr-xr-x   1 root root69008 Jan  3 01:41 /bin/fgrep
-rwxr-xr-x   1 root root24160 Jan  3 01:41 /bin/kill
-rwxr-xr-x   1 root root41544 Jan  3 01:41 /bin/mknod
-rwxr-xr-x   1 root root40792 Jan  3 01:41 /bin/more
-rwxr-xr-x   1 root root93512 Jan  3 01:41 /bin/mv
-rwxr-xr-x   1 root root32184 Jan  3 01:41 /bin/nc.traditional
-rwxr-xr-x   1 122  netdev  62920 Jan 11  2009 /bin/ps
-rwxr-xr-x   1 root root48072 Jan  3 01:41 /bin/readlink
-rwxr-xr-x   1 root root61768 Jan  3 01:41 /bin/rm
-rwxr-xr-x   1 root root37096 Jan  3 01:41 /bin/rmdir
-rwxr-xr-x   1 root root23704 Jan  3 01:41 /bin/run-parts
-rwxr-xr-x   1 root root38152 Jan  3 01:41 /bin/sleep
-rwxr-xr-x   1 root root14920 Jan  3 01:41 /bin/tailf
-rwxr-xr-x   1 root root16040 Jan  3 01:41 /bin/tempfile

Alguns funcionen i alguns no!


M'agradaria saber qui es aquest usuari  122 del ps

Ganes de tocar els pebrots no?

O  volien fer spam?

Sembla que informació no n'han esborrat!

Bona nit de reis!

JMGrifoll






El 5 de gener de 2010 16:23, tictac tictac...@gmail.com ha escrit:

 jo vaig trobar-me en un cas semblant i va resultar que havien instal·lat un
 rootkit al sistema, prova d'instal·lar i executar chkrootkit... sense
 alarmar
 eh?

 A Dimarts, 5 de gener de 2010, Utopic va escriure:
  Jo aposto que és a causa del HD nou. Com vau fer el canvi? Ja funcionava
  correctament el nou HD?
 
  Nes festes,
 
  A Dimarts 05 Gener 2010, JManel Grifoll va escriure:
   Hola:
  
   Tenim un servidor  que ara no es accessible físicament, te una Debian
   estable, que fa un mes que es va actualitzar aprofitant que se li havia
   de canviar un disc dur.
   El cas es que fa unes 48 hores li fallen algunes instruccions.
   Cada 1/4 hora corre un script comprobant la ip:  envia un correu dient
   que
  
(...) /bin/cat  cannot execute binary file.
també li falla: cp , rm, chmod,..  (mateix missatge)
   Funcionen bé.:ls, ps, mkdir,chown,mount ,. ssh (si pot entrar).
   Va quedar amb una sessió del tighvncserver oberta, on funciona el
 matlab,
   ifort,be
   El més greu es que si vull  ser root  tot i que   su s'executa, no
 admet
   la contrassenya (error d'autenticació).
   O sigui que no puc veure els logs,. ni reinstalar,...
  
   Pinta molt malament,.. sense ser root  no puc treure informació dels
   discs durs?
  
   Algú te alguna idea per provar , abans de fotre 200km?
  
   Gràcies a tots.
  
   Salut
  
  
   JM Grifoll
 


 --
 To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org
 with a subject of unsubscribe. Trouble? Contact
 listmas...@lists.debian.org

Re: errors d'execució

[Orestes Mas]

A Dimecres, 6 de gener de 2010, JManel Grifoll va escriure:
 Vaja! han canviat algunes coses, fixeu-vos amb les dates d'aquests arxius,
 i no s'actualitzat en un mes com a mínim!:
 
 -rwxr-xr-x   1 root root11712 Dec 27  2007 /bin/dnsdomainname
 -rwxr-xr-x   1 root root40328 Jan  3 01:41 /bin/cat
 -rwxr-xr-x   1 root root57752 Jan  3 01:41 /bin/chmod
 -rwxr-xr-x   1 root root86376 Jan  3 01:41 /bin/cp
 -rwxr-xr-x   1 root root   110184 Jan  3 01:41 /bin/dir
 -rwxr-xr-x   1 root root14856 Jan  3 01:41 /bin/dmesg
 -rwxr-xr-x   1 root root57824 Jan  3 01:41 /bin/ed
 -rwxr-xr-x   1 root root69008 Jan  3 01:41 /bin/fgrep
 -rwxr-xr-x   1 root root24160 Jan  3 01:41 /bin/kill
 -rwxr-xr-x   1 root root41544 Jan  3 01:41 /bin/mknod
 -rwxr-xr-x   1 root root40792 Jan  3 01:41 /bin/more
 -rwxr-xr-x   1 root root93512 Jan  3 01:41 /bin/mv
 -rwxr-xr-x   1 root root32184 Jan  3 01:41 /bin/nc.traditional
 -rwxr-xr-x   1 122  netdev  62920 Jan 11  2009 /bin/ps
 -rwxr-xr-x   1 root root48072 Jan  3 01:41 /bin/readlink
 -rwxr-xr-x   1 root root61768 Jan  3 01:41 /bin/rm
 -rwxr-xr-x   1 root root37096 Jan  3 01:41 /bin/rmdir
 -rwxr-xr-x   1 root root23704 Jan  3 01:41 /bin/run-parts
 -rwxr-xr-x   1 root root38152 Jan  3 01:41 /bin/sleep
 -rwxr-xr-x   1 root root14920 Jan  3 01:41 /bin/tailf
 -rwxr-xr-x   1 root root16040 Jan  3 01:41 /bin/tempfile
 
 Alguns funcionen i alguns no!
 
 
 M'agradaria saber qui es aquest usuari  122 del ps
 
 Ganes de tocar els pebrots no?
 
 O  volien fer spam?
 
 Sembla que informació no n'han esborrat!
 
 Bona nit de reis!


Si no han esborrat info potser es tracta de quelcom automatitzat, un cuc per 
exemple, que ha aprofitat alguna fallada coneguda en un sistema poc 
actualitzat.

A mi fa molts anys em va passar un cas semblant: em va entrar un cuc 
anomenat adore que em va canviar el ps i va compilar un mòdul del kernel 
per tal d'ocultar-se a si mateix. També es dedicava a propagar-se a altres 
sistemes fent servir el meu com a base.

Em va entrar per un servidor ftp (wu-ftp) amb un bug conegut i no corregit per 
part meva. Però aleshores jo era un jovencell inexpert i no en sabia gens...

Aplicaves regularment els pegats de seguretat?

Orestes.


--
To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: errors d'execució

[JManel Grifoll]

Hola:

Dons potser fa un mes mes i mig  que es va actualitzar, es una màquina que
calcula, fa simulacions de roms (Regional oceanografic Model,) dia i
nit.
Si para es per accident,el corrent, un disk dur,..

No hi ha ni emule, ni skype, gaim, xchat, ...no la toca ningú.

Els pswd són tirats, ara mateix tenia una sessio xtightvncviewer oberta
i s'ha tancat.   Un dia vaig veure uns logs que provaven d'obrir una sessio
ssh amb noms anglesos corrents, no en vaig fer cas.

No puc fer res.

Adeu i gràcies.!






2010/1/6 Orestes Mas ores...@tsc.upc.edu

 A Dimecres, 6 de gener de 2010, JManel Grifoll va escriure:
  Vaja! han canviat algunes coses, fixeu-vos amb les dates d'aquests
 arxius,
  i no s'actualitzat en un mes com a mínim!:
 
  -rwxr-xr-x   1 root root11712 Dec 27  2007 /bin/dnsdomainname
  -rwxr-xr-x   1 root root40328 Jan  3 01:41 /bin/cat
  -rwxr-xr-x   1 root root57752 Jan  3 01:41 /bin/chmod
  -rwxr-xr-x   1 root root86376 Jan  3 01:41 /bin/cp
  -rwxr-xr-x   1 root root   110184 Jan  3 01:41 /bin/dir
  -rwxr-xr-x   1 root root14856 Jan  3 01:41 /bin/dmesg
  -rwxr-xr-x   1 root root57824 Jan  3 01:41 /bin/ed
  -rwxr-xr-x   1 root root69008 Jan  3 01:41 /bin/fgrep
  -rwxr-xr-x   1 root root24160 Jan  3 01:41 /bin/kill
  -rwxr-xr-x   1 root root41544 Jan  3 01:41 /bin/mknod
  -rwxr-xr-x   1 root root40792 Jan  3 01:41 /bin/more
  -rwxr-xr-x   1 root root93512 Jan  3 01:41 /bin/mv
  -rwxr-xr-x   1 root root32184 Jan  3 01:41
 /bin/nc.traditional
  -rwxr-xr-x   1 122  netdev  62920 Jan 11  2009 /bin/ps
  -rwxr-xr-x   1 root root48072 Jan  3 01:41 /bin/readlink
  -rwxr-xr-x   1 root root61768 Jan  3 01:41 /bin/rm
  -rwxr-xr-x   1 root root37096 Jan  3 01:41 /bin/rmdir
  -rwxr-xr-x   1 root root23704 Jan  3 01:41 /bin/run-parts
  -rwxr-xr-x   1 root root38152 Jan  3 01:41 /bin/sleep
  -rwxr-xr-x   1 root root14920 Jan  3 01:41 /bin/tailf
  -rwxr-xr-x   1 root root16040 Jan  3 01:41 /bin/tempfile
 
  Alguns funcionen i alguns no!
 
 
  M'agradaria saber qui es aquest usuari  122 del ps
 
  Ganes de tocar els pebrots no?
 
  O  volien fer spam?
 
  Sembla que informació no n'han esborrat!
 
  Bona nit de reis!


 Si no han esborrat info potser es tracta de quelcom automatitzat, un cuc
 per
 exemple, que ha aprofitat alguna fallada coneguda en un sistema poc
 actualitzat.

 A mi fa molts anys em va passar un cas semblant: em va entrar un cuc
 anomenat adore que em va canviar el ps i va compilar un mòdul del
 kernel
 per tal d'ocultar-se a si mateix. També es dedicava a propagar-se a altres
 sistemes fent servir el meu com a base.

 Em va entrar per un servidor ftp (wu-ftp) amb un bug conegut i no corregit
 per
 part meva. Però aleshores jo era un jovencell inexpert i no en sabia
 gens...

 Aplicaves regularment els pegats de seguretat?

 Orestes.


 --
 To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org
 with a subject of unsubscribe. Trouble? Contact
 listmas...@lists.debian.org

errors d'execució

[JManel Grifoll]

Hola:

Tenim un servidor  que ara no es accessible físicament, te una Debian
estable, que fa un mes que es va actualitzar aprofitant que se li havia de
canviar un disc dur.
El cas es que fa unes 48 hores li fallen algunes instruccions.
Cada 1/4 hora corre un script comprobant la ip:  envia un correu dient que
:
 (...) /bin/cat  cannot execute binary file.
 també li falla: cp , rm, chmod,..  (mateix missatge)
Funcionen bé.:ls, ps, mkdir,chown,mount ,. ssh (si pot entrar).
Va quedar amb una sessió del tighvncserver oberta, on funciona el matlab,
ifort,be
El més greu es que si vull  ser root  tot i que   su s'executa, no admet la
contrassenya (error d'autenticació).
O sigui que no puc veure els logs,. ni reinstalar,...

Pinta molt malament,.. sense ser root  no puc treure informació dels discs
durs?

Algú te alguna idea per provar , abans de fotre 200km?

Gràcies a tots.

Salut


JM Grifoll