rootkit Jessie?
Bonjour J'obtiens ceci après avoir lancé Chkrootkit Searching for Suckit rootkit... Warning: /sbin/init INFECTED /sbin/init est un lien symbolique - /lib/systemd/systemd Rkhunter me donne des warnings pour /sbin /usr/sbin /bin /usr/bin puis ne trouve aucun rootkit. Je ne sais pas quoi en penser... -- Maderios -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/541aa6cc.6030...@gmail.com
Re: rootkit Jessie?
Salut maderios, On pourrait discuter pour savoir si c'est une bonne chose ou pas mais le projet Debian à en effet décidé d'adopter systemd... https://linuxfr.org/users/elessar/journaux/debian-adopte-systemd-comme-init-par-defaut Sans pouvoir être catégorique, j'ai l'impression Chkrootkit devrait être mis à jour... À+, Serge S. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/cafeepgdxtps1qav-g9adudjrgaqfzjsoe+bk1kzuybk1ga+...@mail.gmail.com
Re: rootkit Jessie?
Le Thu, 18 Sep 2014 14:28:00 +0200 Francois Boisson user.anti-s...@maison.homelinux.net a écrit: suckit utilise des processus cachés. Essaye un truc genre for i in $(seq 1 65536); do ls -l $i/cmdline; done 2 /dev/null | sed -e '1, $s|^.* \([0-9]*\)/cmdline$|ps -p \1 -o comm=|g' | sh Flute ps -p PID -o comm= ne fait pas d'erreurs si le processus n'existe pas. Enlève le -o comm= et tu ne dois pas avoir deux lignes PID TTY TIME CMD qui se suivent. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140918143110.65a40f5b5b5d5dfef0090...@maison.homelinux.net
Re: rootkit Jessie?
Le Thu, 18 Sep 2014 11:33:00 +0200 maderios mader...@gmail.com a écrit: Bonjour J'obtiens ceci après avoir lancé Chkrootkit Searching for Suckit rootkit... Warning: /sbin/init INFECTED /sbin/init est un lien symbolique - /lib/systemd/systemd suckit utilise des processus cachés. Essaye un truc genre for i in $(seq 1 65536); do ls -l $i/cmdline; done 2 /dev/null | sed -e '1,$s|^.* \([0-9]*\)/cmdline$|ps -p \1 -o comm=|g' | sh qui devrait ne pas afficher d'erreurs ou bien utilise mon paquet cacheproc ou un paquet équivalent genre unhide. François Boisson -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140918142800.e749da67850a2e03df7aa...@maison.homelinux.net
Re: rootkit Jessie?
On 09/18/2014 02:28 PM, Francois Boisson wrote: J'obtiens ceci après avoir lancé Chkrootkit Searching for Suckit rootkit... Warning: /sbin/init INFECTED /sbin/init est un lien symbolique - /lib/systemd/systemd suckit utilise des processus cachés. Essaye un truc genre for i in $(seq 1 65536); do ls -l $i/cmdline; done 2 /dev/null | sed -e '1,$s|^.* \([0-9]*\)/cmdline$|ps -p \1 -o comm=|g' | sh qui devrait ne pas afficher d'erreurs Fait, Aucune erreur ou bien utilise mon paquet cacheproc ou un paquet équivalent genre unhide. François Boisson 1° passe de unhide unhide -v -m -d sys procall proc reverse brute reverse Found HIDDEN PID: 30034 Cmdline: none Executable: no link none ... maybe a transitory process 2° passe unhide -v -m -d sys procall proc reverse brute reverse Rien de caché Vu le nombre de doléances concernant ce sujet sur le net, j'aurais tendance à laisser tomber mais . J'ai upgradé systemd Jessie à la version Sid, pas de changement. -- Maderios -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/541ae28f.9040...@gmail.com
Re: rootkit Jessie?
for i in $(seq 1 65536); do ls -l $i/cmdline; done 2 /dev/null | sed -e '1,$s|^.* \([0-9]*\)/cmdline$|ps -p \1 -o comm=|g' | sh Il me semble qu'il meanque /proc dans ta commande ↑ et aussi qu'un find sera plus rapide... J'ai donc exécuté la commande suivante : find /proc/ -regex '/proc/[0-9]*/cmdline' 2/dev/null | sed '1,$s|^/proc/\([0-9]*\)/cmdline$|ps -p \1|g' | sh et j'ai 3 lignes PID TTY TIME CMD qui se suivent ! Est-ce grave docteur ? Qu'est-ce que cela signifie ? À+, Serge S. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/CAFeEpGCjYrOCCLor8S9=3oye4vn4b6jir5cg-+rgi_39stm...@mail.gmail.com
Re: rootkit Jessie?
J'ai donc exécuté la commande suivante : find /proc/ -regex '/proc/[0-9]*/cmdline' 2/dev/null | sed '1,$s|^/proc/\([0-9]*\)/cmdline$|ps -p \1|g' | sh et j'ai 3 lignes PID TTY TIME CMD qui se suivent ! Et c'est curieux, alors que je cherchais à trouver les PID, elles ont finis par disparaître... Serions-nous à ce point surveillé :) À+, Serge S. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/CAFeEpGB1njoxYJW_XZypHrw=y9FuZ=by9pdy5psdpmjgm4f...@mail.gmail.com
Re: rootkit Jessie?
Le jeudi 18 septembre 2014, 16:06:28 Serge SMEESTERS a écrit : [… find /proc | sed | sh …] Et c'est curieux, alors que je cherchais à trouver les PID, elles ont finis par disparaître... Serions-nous à ce point surveillé :) Ce qui serait bien avant d’exécuter (et d’« optimiser ») une commande donnée, ce serait d’essayer de la comprendre et, aussi, d’en comprendre les limites. Techniquement, la commande de François (qui doit être exécutée depuis /proc) : — liste tous les fichiers cmdline (for + ls) ; — récupère le pid et crée une commande ps avec celui-ci (sed) ; — exécute ces commandes. Le but est de repérer les processus existant dans /proc mais que ps ne verrait pas (erreur lors du ps pour le pid d’icelui). Il y a plusieurs (petits) problèmes avec cette commande. Déjà, effectivement, le seq n’est pas des plus rapides (c’est même très très lent un seq). Le find est sans doute un peu mieux. Un simple cd /proc ls -d [0-9]* donne directement la liste des pids des processus en cours, sans la lenteur d’un seq (ou d’un find). D’ailleurs, on peut éviter le sed et le sh final : cd /proc ls -d [0-9]* | while read i; ps -p $i /dev/null || echo $i ; done Ensuite, puisqu’on ne cherche que les pids qui posent problème, la sortie du ps ne nous intéresse pas vraiment. Elle est même plutôt gênante. Ce qui serait bien plus intéressant, c’est le cmdline du processus qui n’est pas vu par ps. Enfin, et surtout, entre le moment où la liste des pids est faite et le moment où le ps de chaque pid est exécuté, le processus en question a des chances d’avoir terminé. Donc le ps sort en erreur alors que le processus était bénin (p.ex., surtout avec le seq, si le pid en question correspond à une de nos propres commandes intermédiaires, comme un des ls). Le système ne s’arrête pas de créer des processus quand on se met à les regarder… Donc, pour ce genre de choses, il vaut mieux donner sa confiance à un outil un peu mieux peaufiné (ce qui n’empêche pas non plus d’essayer de comprendre ce que l’outil fait). Sinon, pour revenir au sujet premier, il semble simplement que chkrootkit n’aime pas que /sbin/init soit un lien symbolique. C’est le cas dans Debian pour pouvoir utiliser systemd, sysv- init ou autre facilement. Et c’est le « ou autre » et « facilement » qui peut faire peur à un chkrootkit… -- Sylvain Sauvage -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/48658995.4rqIQ4ovrR@earendil
Re: rootkit Jessie?
Le Thu, 18 Sep 2014 16:59:39 +0200 Sylvain L. Sauvage sylvain.l.sauv...@free.fr a écrit: Le jeudi 18 septembre 2014, 16:06:28 Serge SMEESTERS a écrit : [… find /proc | sed | sh …] Et c'est curieux, alors que je cherchais à trouver les PID, elles ont finis par disparaître... Serions-nous à ce point surveillé :) Ce qui serait bien avant d’exécuter (et d’« optimiser ») une commande donnée, ce serait d’essayer de la comprendre et, aussi, d’en comprendre les limites. Techniquement, la commande de François (qui doit être exécutée depuis /proc) : — liste tous les fichiers cmdline (for + ls) ; — récupère le pid et crée une commande ps avec celui-ci (sed) ; — exécute ces commandes. [..] Déjà, effectivement, le seq n’est pas des plus rapides (c’est même très très lent un seq). Le find est sans doute un peu mieux. Un simple cd /proc ls -d [0-9]* donne directement la liste des pids des processus en cours, sans la lenteur d’un seq (ou d’un find). D’ailleurs, on peut éviter le sed et le sh final : cd /proc ls -d [0-9]* | while read i; ps -p $i /dev/null || echo $i ; done Suckit utilise une technique créant un processus créant un processus caché dans /proc n'apparaissant pas dans un ls ou un find mais existant. En clair ls /proc/123 donne que dalle mais ls /proc/123/cmdline donne un résultat. ps se base sur les processus apparaissant dans /proc. Donc un processus PID tel que /proc/$PID/cmdline existe mais non montré par ps -p $PID est caché. C'est le fonctionnement de Suckit. Le $(seq 1 65535) est donc indispensable. Voir le paquet cacheproc sur mon dépot deb http://boisson.homeip.net/depot wheezy divers (wheezy, squeeze, etc jusqu'à sarge) Suckit cache aussi les fichiers d'extensions .sk?? par exemple .sk12 (à vérifier, c'est de mémoire) Maintenant le fonctionnement de Suckit a peut être changer. Il existe d'autres façons de cacher des processus. En regardant mieux, il existe unhide qui liste les processus cachés. François Boisson -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140918175001.6b8f6464370adbdc9d9c2...@maison.homelinux.net
Re: rootkit Jessie?
En fait, pour ceux que ça interesse, le paquet cacheproc est né sur cette liste. Je vous suggère de lire https://lists.debian.org/debian-user-french/2003/12/msg01134.html et https://lists.debian.org/debian-user-french/2003/12/msg01427.html (lire les deux fils). Nostalgie pour certains surement. François Boisson -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140918175848.4d0c8b6777f2da8e4126c...@maison.homelinux.net
Re: rootkit Jessie?
[ Je lis la liste. Pas la peine de me répondre directement et de mettre la liste en CC. ] Le jeudi 18 septembre 2014, 17:50:01 François Boisson a écrit : […] En clair ls /proc/123 donne que dalle mais ls /proc/123/cmdline donne un résultat. ps se base sur les processus apparaissant dans /proc. Donc un processus PID tel que /proc/$PID/cmdline existe mais non montré par ps -p $PID est caché. C'est le fonctionnement de Suckit. Le $(seq 1 65535) est donc indispensable. Ok. Je pensais que ps récupérait sa liste autrement qu’en lisant /proc. Comme quoi, il faut vraiment essayer de comprendre ce qu’une commande veut faire avant de la tripoter ;o) (Mais bon, si elle était mieux expliquée quand elle est donnée, hein ;oP ) […] En regardant mieux, il existe unhide qui liste les processus cachés. Oui. Je n’ai pas regardé ton programme mais en regardant unhide.rb (la version Ruby de unhide), il y a plusieurs listes de processus vérifiées : — ceux qui ont un répertoire dans /proc ; — ceux qui sont listés comme parent d’un autre (dans /proc/*/status) ; — les sous-threads (/proc/*/tasks/*) ; — ceux listés par ps. Et ceux qui ont un répertoire dans /proc peuvent être testés différemment : — existe dans le répertoire /proc (readdir /proc) ; — essayer d’ouvrir le répertoire (opendir et chdir sur /proc/$i) ; — essayer de lire dans le répertoire (readlink de /proc/$i/exe) ; (et il vérifie qu’on a la même chose quand on utilise bien le readlink de la libc (pour éviter un LD_PRELOAD…)) Bref, il vérifie que tout un tas de chemins arrivent bien à Rome. -- Sylvain Sauvage -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/2234704.m81jiqSg0g@earendil
Re: rootkit Jessie?
Le 18/09/2014 11:33, maderios a écrit : Bonjour J'obtiens ceci après avoir lancé Chkrootkit Searching for Suckit rootkit... Warning: /sbin/init INFECTED /sbin/init est un lien symbolique - /lib/systemd/systemd Un petit tour sur la page des rapports de bug de chkrootkit : - https://bugs.debian.org/cgi-bin/pkgreport.cgi?dist=unstable;package=chkrootkit Tu peux voir deux rapports de bugs liés à Systemd : - https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=740898 - https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=748048 -- == | FRÉDÉRIC MASSOT | | http://www.juliana-multimedia.com | | mailto:frede...@juliana-multimedia.com | | +33.(0)2.97.54.77.94 +33.(0)6.67.19.95.69 | ===Debian=GNU/Linux=== -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/541b0f70.5060...@juliana-multimedia.com
Re: [HS] Vim, un rootkit qui s'ignore ? (dérivé de Retrait d'utilisateur...)
On Tuesday 23 July 2013 06:46:43 Nicolas Pechon wrote: 1. j'ouvre mon éditeur de texte avec la commande vi file et, 2. en mode commande, je tape :!xterm, j'ai un terminal et, tel un vulgaire administrateur, je peux faire ce que je veux de mon GNU/Linux (y compris en tapant rm -rf /) ? Comprends pas et ça marche pas. Ici, ça ouvre bien un terminal, mais de l'utilisateur. Je pense que le truc, c'est que l'on peut ensuite se logger en root Fait, ça ouvre une console xterm en mode utilisateur, et après, comment se logguer en root ou bénéficier des droits root ? andré -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/201307241437.01763.andre_deb...@numericable.fr
Re: [HS] Vim, un rootkit qui s'ignore ? (dérivé de Retrait d'utilisateur...)
On Wed, Jul 24, 2013 at 02:37:01PM +0200, andre_deb...@numericable.fr wrote: Fait, ça ouvre une console xterm en mode utilisateur, et après, comment se logguer en root ou bénéficier des droits root ? Avec su ou sudo. Faut arrêter cette discussion, c'est parti d'une hallucination totale de Stéphane, NON Vim n'est pas un rootkit et NON on ne peut pas devenir root avec Vim. À moins que l'administrateur ai fait de très grosses bêtises. Y. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20130724125030.gs24...@naryves.com
Re: [HS] Vim, un rootkit qui s'ignore ? (dérivé de Retrait d'utilisateur...)
Le mercredi 24 juillet 2013 à 14:37, andre_deb...@numericable.fr a écrit : Ici, ça ouvre bien un terminal, mais de l'utilisateur. Je pense que le truc, c'est que l'on peut ensuite se logger en root Fait, ça ouvre une console xterm en mode utilisateur, et après, comment se logguer en root ou bénéficier des droits root ? Pour répondre directement (et un peu bêtement) à ta question, « su - » ! Ce n'est pas la peine de chercher, tu ne trouveras pas le moyen d'obtenir les droits root en lançant vi en tant que simple utilisateur ! Ça a déjà été expliqué par Yves et moi (22 Jul 2013 20:33:19) dans ce même fil. Lis l'intégralité, comprends ce qu'il en est mais inutile de t'acharner dans cette direction, elle ne mène nulle part. Seb -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20130724131717.ga16...@sebian.nob900.homeip.net
Re: [HS] Vim, un rootkit qui s'ignore ? (dérivé de Retrait d'utilisateur...)
Bonjour à tous les utilisateurs et développeurs de Debian : Dans son message du 24/07/13 à 15:09, Yves Rutschle a écrit : Faut arrêter cette discussion, c'est parti d'une hallucination totale de Stéphane, NON Vim n'est pas un rootkit et NON on ne peut pas devenir root avec Vim. J'interviens à nouveau dans ce fil car je pense que je dois apporter quelques eclaircissements (et lever des éventuels malentendus)... Tout d'abord, l'intitulé du sujet (Vim, un rootkit qui s'ignore ?) est, certes, une provocation mais sa forme interrogative marque, quand même, un fort scepticisme de ma part. Ensuite, même si les réponses d'Yves (Rutschle) et de Sébastien (NOBILI) sont parfaitement bienvenues, j'attendais surtout une réaction de ledubdub (puisque mon fil de discussion réagissait à son intervention du 22/07/13 à 18:50), ne saurait-ce que pour confirmer l'hypothèse de setuid/setgid ou celle de sudo. Citation de ledubdub (à partir de son message précité) : En général, je n'aime pas les trucs qui encapsulent un vi avec le compte root. J'ai le souvenir que dans une de mes premières missions c'était le genre d'outils qu'ils donnaient pour gérer les comptes tout en étant un simple utilisateur, résultat un simple :!xterm ouvrait, dans un Xterm, une connexion root sur tout le parc !! Cool, non ? Evidemment, j'avais déjà pensé à sudo et à setuid/setgid. Cependant, par la suite, ledubdub avait ajouté : Maintenant que je suis passé de l'autre côté du miroir (c'est-à-dire admin sys) j'évite l'usage de ces bidules.. Pourquoi ? Plusieurs hypothèses : 1. Soit ledubdub ignore comment supprimer la possibilité (pour un simple utilisateur) d'utiliser Vim (ou un outil l'utilisant) avec les privilèges administrateurs (ce que soit par sudo ou par setuid/setgid) mais cela me surprendrait de la part d'un administrateur système. 2. Soit ledubdub reste très méfiant, même aprés avoir apporté les corrections comme je l'ai dit dans l'hypothése précédent. 3. Soit il y a autre chose (bogue ?). Maintenant, quand j'ai lancé ce fil, soit c'est à cause de la canicule - je supporte la chaleur mais il y a des limites -, soit j'ai trop gavé des glaces au chocolat ou à la vanille - il n'y a aucun risque pourtant - ou soit c'est psychologique, mais ma confiance envers Vim a très légèrement (et très temporairement) vacillé. Une dernière chose : Yves, ta dernière sortie sur le pal (réservé aux adminitrateurs laxistes ou bordèliques) m'a beaucoup plu (en plus, ça nous change de la guillotine, de la chaise électrique ou du poleton d'execution)... ;-) Cordialement et à bientôt, Stéphane. Une messagerie gratuite, garantie à vie et des services en plus, ça vous tente ? Je crée ma boîte mail www.laposte.net -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/294662756.550522.1374682309606.JavaMail.www@wwinf8227
Re: [HS] Vim, un rootkit qui s'ignore ? (dérivé de Retrait d'utilisateur...)
Bonjour à tous les utilisateurs et développeurs de Debian : Dans mon message du 24/07/13 à 18:12, j'ai écrit : Une dernière chose : Yves, ta dernière sortie sur le pal (réservé aux adminitrateurs laxistes ou bordèliques) m'a beaucoup plu (en plus, ça nous change de la guillotine, de la chaise électrique ou du poleton d'execution)... ;-) Poleton d'execution ? Je voulais dire bien sûr : peloton d'execution. J'espère que c'est à quoi est promis à celui qui a fait cette faute... o:-) Cordialement et à bientôt, Stéphane. Une messagerie gratuite, garantie à vie et des services en plus, ça vous tente ? Je crée ma boîte mail www.laposte.net -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/123466804.551095.1374683044953.JavaMail.www@wwinf8227
Re: [HS] Vim, un rootkit qui s'ignore ? (dérivé de Retrait d'utilisateur...)
Hello, Puisque j'ai la responsabilité importante d'être à l'origine de ce fork de discussion, je m'en vais répondre à Stéphane. Le 24/07/2013 18:11, stephane.garg...@laposte.net a écrit : Ensuite, même si les réponses d'Yves (Rutschle) et de Sébastien (NOBILI) sont parfaitement bienvenues, j'attendais surtout une réaction de ledubdub (puisque mon fil de discussion réagissait à son intervention du 22/07/13 à 18:50), ne saurait-ce que pour confirmer l'hypothèse de setuid/setgid ou celle de sudo. Oui, de mémoire, elle aussi altérée par la forte chaleur, c'était une règle sudo qui permettait de modifier le fichier d'un NIS par un simple utilisateur, donc une fois connectée dans ce vi c'était la fête du sleep ;-) Cependant, par la suite, ledubdub avait ajouté : Maintenant que je suis passé de l'autre côté du miroir (c'est-à-dire admin sys) j'évite l'usage de ces bidules.. En fait, si l'occasion devait se présenter de donner l'autorisation de création de compte à un utilisateur même chevronné, je passerais volontiers à un LDAP plutôt qu'à un root temporaire. Pourquoi ? Plusieurs hypothèses : 1. Soit ledubdub ignore comment supprimer la possibilité (pour un simple utilisateur) d'utiliser Vim (ou un outil l'utilisant) avec les privilèges administrateurs (ce que soit par sudo ou par setuid/setgid) mais cela me surprendrait de la part d'un administrateur système. Modifier et exporter la variable EDITOR et la déclarer à rvim puis lancer vigr 2. Soit ledubdub reste très méfiant, même aprés avoir apporté les corrections comme je l'ai dit dans l'hypothése précédent. Je reste méfiant, même si c'est corrigeable ! Si j'ai été capable de trouver cette astuce il y a 12 ans, d'autres en sont capables maintenant ! 3. Soit il y a autre chose (bogue ?). Maintenant, quand j'ai lancé ce fil, soit c'est à cause de la canicule - je supporte la chaleur mais il y a des limites -, soit j'ai trop gavé des glaces au chocolat ou à la vanille - il n'y a aucun risque pourtant - ou soit c'est psychologique, mais ma confiance envers Vim a très légèrement (et très temporairement) vacillé. Ma confiance en vi est toujours meilleure que celle que j'ai envers l'interface chaise-clavier ! Une dernière chose : Yves, ta dernière sortie sur le pal (réservé aux adminitrateurs laxistes ou bordèliques) m'a beaucoup plu (en plus, ça nous change de la guillotine, de la chaise électrique ou du poleton d'execution)... ;-) Peut-être aussi le tit monday, non ? Cordialement et à bientôt, Pareil Stéphane. LeDub -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/51f006ad.4020...@yahoo.fr
Re: [HS] Vim, un rootkit qui s'ignore ? (dérivé de Retrait d'utilisateur...)
On Wed, Jul 24, 2013 at 06:11:49PM +0200, stephane.garg...@laposte.net wrote: J'interviens à nouveau dans ce fil car je pense que je dois apporter quelques eclaircissements (et lever des éventuels malentendus)... Mon seul reproche à ton intervention, c'est qu'elle rend les débutants enclins à yoyoter sur de la sécu, alors que ce qu'il fallait qu'ils retiennent (plutôt que vim), c'est si y'a un 's' dans ta ligne qui commence par chmod, arrêtes-toi. Maintenant, quand j'ai lancé ce fil, soit c'est à cause de la canicule - je supporte la chaleur mais il y a des limites -, soit j'ai trop gavé des glaces au chocolat ou à la vanille - il n'y a aucun risque pourtant - ou soit c'est psychologique, mais ma confiance envers Vim a très légèrement (et très temporairement) vacillé. On peut lancer des shells de nombreuses applications: d'emacs, par exemple, c'est sûr. De la calculatrice de Windows aussi, si je me souviens bien. Le problème n'est pas tellement là, c'est que dès lors qu'un outil est setuid root, il devient critique et on doit réfléchir profondément à ce qu'il peut faire. [Attention, rien de ce qui suit ne doit être pris sérieusement] Au contraire, vi est bon pour la sécurité car souvent l'attaquant n'arrive pas à sauvegarder le fichier! Une dernière chose : Yves, ta dernière sortie sur le pal Je me suis oublié: en France, on condamne au secam. poleton d'execution Une sorte de apache-mpm-prefork-suexec? Y. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20130724183801.ga30...@naryves.com
Re: [HS] Vim, un rootkit qui s'ignore ? (dérivé de Retrait d'utilisateur...)
Bonjour à tous les utilisateurs et développeurs de Debian : Dans mon message du 24/07/13 à 18:24, j'ai écrit : Poleton d'execution ? Je voulais dire bien sûr : peloton d'execution. J'espère que c'est à quoi est promis à celui qui a fait cette faute... o:-) Heu, je voulais dire J'espère que ce n'est pas à quoi est promis à celui qui a fait cette faute... o:-) Décidemment, cette canicule... ¦~( Cordialement et à bientôt, Stéphane. Une messagerie gratuite, garantie à vie et des services en plus, ça vous tente ? Je crée ma boîte mail www.laposte.net -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/895766236.461117.1374697221696.JavaMail.www@wwinf8228
Re: [HS] Vim, un rootkit qui s'ignore ? (dérivé de Retrait d'utilisateur...)
On Wed, Jul 24, 2013 at 10:20:21PM +0200, stephane.garg...@laposte.net wrote: Poleton d'execution ? Je voulais dire bien sûr : peloton d'execution. J'espère que c'est à quoi est promis à celui qui a fait cette faute... o:-) Heu, je voulais dire J'espère que ce n'est pas à quoi est promis à celui qui a fait cette faute... o:-) Ça marche toujours pas :D Y. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20130724211731.gc30...@naryves.com
Re: [HS] Vim, un rootkit qui s'ignore ? (dérivé de Retrait d'utilisateur...)
Le mardi 23 juillet 2013 à 7:50, stephane.garg...@laposte.net a écrit : Note (sur sudo - attention, troll possible) : c'est une des raisons pour lesquelles je n'ai pas choisi Ubuntu (ou ses dérivés). o:-) J'ai généralisé l'usage de sudo il y a quelques années et je ne le regrette pas. Parmi les bénéfices que j'y trouve : - Si je lance plusieurs commandes sudo successives, je n'ai pas à retaper le mot de passe (mais au bout d'un moment d'inactivité, si). - J'ai un jeu (très limité) de commandes pour lesquelles je n'ai pas à saisir de mot de passe. - Je n'ai plus *jamais* de shell root ouvert alors qu'avant c'était le cas (et je basculais d'un shell à un autre). Je trouve que cette commande est un réel gain en ergonomie qui, si elle est configurée correctement, ne nuit pas à la sécurité. Seb -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20130723080910.gd13...@sebian.nob900.homeip.net
Re: [HS] Vim, un rootkit qui s'ignore ? (dérivé de Retrait d'utilisateur...)
On Tuesday 23 July 2013 06:46:43 Nicolas Pechon wrote: 1. j'ouvre mon editeur de texte avec la commande vi file et, 2. en mode commande, je tape :!xterm, j'ai un terminal et, tel un vulgaire administrateur, je peux faire ce que je veux de mon GNU/Linux (y compris en tapant rm -rf /) ? Comprends pas et ça marche pas. Ici, ça ouvre bien un terminal, mais de l'utilisateur. Je pense que le truc, c'est que l'on peut ensuite se logger en root Je ne comprends pas le mode opératoire ci-dessus : on ouvre un fichier inexistant = vi file, et après on tape :!xterm mais ou, dans une console ? Et si oui ça donne ça :!xterm :xterm bash: :xterm : commande introuvable andré -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/201307231041.40073.andre_deb...@numericable.fr
Re: [HS] Vim, un rootkit qui s'ignore ? (dérivé de Retrait d'utilisateur...)
Le mardi 23 juillet 2013 à 10:41, andre_deb...@numericable.fr a écrit : Je ne comprends pas le mode opératoire ci-dessus : on ouvre un fichier inexistant = vi file, et après on tape :!xterm mais ou, dans une console ? Non, dans vi, « :! » est la commande vi qui permet de lancer des commandes externes. http://vimdoc.sourceforge.net/htmldoc/various.html#:! Seb -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20130723085840.gg13...@sebian.nob900.homeip.net
Re: [HS] Vim, un rootkit qui s'ignore ? (dérivé de Retrait d'utilisateur...)
Bonjour andre_deb...@numericable.fr a écrit : Je ne comprends pas le mode opératoire ci-dessus : on ouvre un fichier inexistant = vi file, et après on tape :!xterm mais ou, dans une console ? Et si oui ça donne ça :!xterm :xterm bash: :xterm : commande introuvable andré pour comprendre : http://formation-debian.via.ecp.fr/vim.html -- Cordialement, Bernardo. Toute société dans laquelle la garantie des droits n'est pas assurée ni la séparation des pouvoirs déterminée, n'a point de Constitution. -+- Déclaration des droits de l'homme et du citoyen (26 août 1789) - Article XVI -+- -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/51ee476e.1030...@siorat.net
compte sudoer était: [HS] Vim, un rootkit qui s'ignore ? (dérivé de Retrait d'utilisateur...)
Sébastien NOBILI wrote on Tue, Jul 23, 2013 at 10:09:10AM +0200 Le mardi 23 juillet 2013 à 7:50, stephane.garg...@laposte.net a écrit : Note (sur sudo - attention, troll possible) : c'est une des raisons pour lesquelles je n'ai pas choisi Ubuntu (ou ses dérivés). o:-) J'ai généralisé l'usage de sudo il y a quelques années et je ne le regrette pas. Parmi les bénéfices que j'y trouve : - Si je lance plusieurs commandes sudo successives, je n'ai pas à retaper le mot de passe (mais au bout d'un moment d'inactivité, si). - J'ai un jeu (très limité) de commandes pour lesquelles je n'ai pas à saisir de mot de passe. - Je n'ai plus *jamais* de shell root ouvert alors qu'avant c'était le cas (et je basculais d'un shell à un autre). Je trouve que cette commande est un réel gain en ergonomie qui, si elle est configurée correctement, ne nuit pas à la sécurité. Je crois que c'est en gros la politique adoptée par la distribution Ubuntu. Elle est bonne, à condition que le compte ainsi sudoer soit considéré comme un compte admin avec les précautions qui vont avec, notamment lors des échanges sur le réseau, car en cas de corruption du compte, ce pourrait bien être les corrupteurs qui gagnent du temps. dom -- -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20130723102411.ga17...@telecom-paristech.fr
Re: compte sudoer était: [HS] Vim, un rootkit qui s'ignore ? (dérivé de Retrait d'utilisateur...)
Le mardi 23 juillet 2013 à 12:24 +0200, Dominique Asselineau a écrit : Sébastien NOBILI wrote on Tue, Jul 23, 2013 at 10:09:10AM +0200 Le mardi 23 juillet 2013 à 7:50, stephane.garg...@laposte.net a écrit : Note (sur sudo - attention, troll possible) : c'est une des raisons pour lesquelles je n'ai pas choisi Ubuntu (ou ses dérivés). o:-) Si ce n'est que ça, on peut changer le comportement à l'install (si ça n'a pas changé), comme on peut activer Sudo à l'install de Debian en ne mettant pas de mot de passe root (si ça n'a pas changé, je ne le fais jamais). J'ai généralisé l'usage de sudo il y a quelques années et je ne le regrette pas. Parmi les bénéfices que j'y trouve : - Si je lance plusieurs commandes sudo successives, je n'ai pas à retaper le mot de passe (mais au bout d'un moment d'inactivité, si). C'est réglable ou désactivable ce délai, personnellement j'ai toujours trouvé que c'était plutôt une prise de risque sur un compte qui sert à l'utilisation courante, et je préfère un réglage très court ou à 0. - J'ai un jeu (très limité) de commandes pour lesquelles je n'ai pas à saisir de mot de passe. - Je n'ai plus *jamais* de shell root ouvert alors qu'avant c'était le cas (et je basculais d'un shell à un autre). On peut mettre un délai pour fermer le shell root ;) Je trouve que cette commande est un réel gain en ergonomie qui, si elle est configurée correctement, ne nuit pas à la sécurité. Là on va droit dans le troll, mais je pense que c'est surtout une affaire de préférences personnelles et de manière d'administrer [son|ses] système(s), plus que de problème de sécurité qui à mon avis dépend bien plus de l'interface chaise-clavier en l'occurrence. Sudo a aussi des options de configurations pratiques au passage, encore une fois je pense que les deux méthodes sont bonnes, c'est une manière de travailler un peu différente. Perso, j'ai mes habitudes en su. Je crois que c'est en gros la politique adoptée par la distribution Ubuntu. Elle est bonne, à condition que le compte ainsi sudoer soit considéré comme un compte admin avec les précautions qui vont avec, notamment lors des échanges sur le réseau, car en cas de corruption du compte, ce pourrait bien être les corrupteurs qui gagnent du temps. dom +1 car utiliser le même mot de passe pour l'accès ordinaire et root, ça va bien pour son ordi personnel quand on sait ce qu'on fait et risque, sinon mieux vaut un compte admin séparé du compte utilisation courante. Pour résumer, « La sécurité c'est connaître son niveau de parano. » -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/1374586020.16156.74.camel@jisui.aranha
Re: compte sudoer était: [HS] Vim, un rootkit qui s'ignore ? (dérivé de Retrait d'utilisateur...)
Haricophile wrote on Tue, Jul 23, 2013 at 03:27:00PM +0200 Le mardi 23 juillet 2013 à 12:24 +0200, Dominique Asselineau a écrit : Sébastien NOBILI wrote on Tue, Jul 23, 2013 at 10:09:10AM +0200 Le mardi 23 juillet 2013 à 7:50, stephane.garg...@laposte.net a écrit : Note (sur sudo - attention, troll possible) : c'est une des raisons pour lesquelles je n'ai pas choisi Ubuntu (ou ses dérivés). o:-) Si ce n'est que ça, on peut changer le comportement à l'install (si ça n'a pas changé), comme on peut activer Sudo à l'install de Debian en ne mettant pas de mot de passe root (si ça n'a pas changé, je ne le fais jamais). J'ai généralisé l'usage de sudo il y a quelques années et je ne le regrette pas. Parmi les bénéfices que j'y trouve : - Si je lance plusieurs commandes sudo successives, je n'ai pas à retaper le mot de passe (mais au bout d'un moment d'inactivité, si). C'est réglable ou désactivable ce délai, personnellement j'ai toujours trouvé que c'était plutôt une prise de risque sur un compte qui sert à l'utilisation courante, et je préfère un réglage très court ou à 0. - J'ai un jeu (très limité) de commandes pour lesquelles je n'ai pas à saisir de mot de passe. - Je n'ai plus *jamais* de shell root ouvert alors qu'avant c'était le cas (et je basculais d'un shell à un autre). On peut mettre un délai pour fermer le shell root ;) Je trouve que cette commande est un réel gain en ergonomie qui, si elle est configurée correctement, ne nuit pas à la sécurité. Là on va droit dans le troll, mais je pense que c'est surtout une affaire de préférences personnelles et de manière d'administrer [son|ses] système(s), plus que de problème de sécurité qui à mon avis dépend bien plus de l'interface chaise-clavier en l'occurrence. Sudo a aussi des options de configurations pratiques au passage, encore une fois je pense que les deux méthodes sont bonnes, c'est une manière de travailler un peu différente. Perso, j'ai mes habitudes en su. Je crois que c'est en gros la politique adoptée par la distribution Ubuntu. Elle est bonne, à condition que le compte ainsi sudoer soit considéré comme un compte admin avec les précautions qui vont avec, notamment lors des échanges sur le réseau, car en cas de corruption du compte, ce pourrait bien être les corrupteurs qui gagnent du temps. dom +1 car utiliser le même mot de passe pour l'accès ordinaire et root, ça va bien pour son ordi personnel quand on sait ce qu'on fait et risque, sinon mieux vaut un compte admin séparé du compte utilisation courante. Pour résumer, « La sécurité c'est connaître son niveau de parano. » Oui mais vu sous un autre angle, c'est aussi évaluer le seuil d'emmerdements qu'on est prêt à supporter en cas de pépin. dom -- -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20130723160239.gb19...@telecom-paristech.fr
[HS] Vim, un rootkit qui s'ignore ? (dérivé de Retrait d'utilisateur...)
Bonjour à tous les utilisateurs et développeurs de Debian : Dans son message du 22/07/13 à 18:50, ledubdub a écrit : En général, je n'aime pas les trucs qui encapsulent un vi avec le compte root. J'ai le souvenir que dans une de mes premières missions c'était le genre d'outils qu'ils donnaient pour gérer les comptes tout en étant un simple utilisateur, résultat un simple :!xterm ouvrait, dans un Xterm, une connexion root sur tout le parc !! Cool, non ? Dois-je comprendre que si, sous un compte utilisateur (ex. stephane), : 1. j'ouvre mon éditeur de texte avec la commande vi file et, 2. en mode commande, je tape :!xterm, j'ai un terminal et, tel un vulgaire administrateur, je peux faire ce que je veux de mon GNU/Linux (y compris en tapant rm -rf /) ? C'est ainsi que j'ai compris ou cela est plus compliqué (sous-entendu : est-ce qu'il y a d'autres opérations à effectuer ou des conditions à respecter) ? C'est cool mais aussi effrayant, non ? 8-o Note 1 : Pardonnez le titre - un rien provocateur - de ce nouveau fil de discussion mais cela m'est venu à l'esprit (bien que je sois un adepte de Vim) quand j'ai lu le dernier message de ledubdub. o:-) Note 2 : Jusqu'à présent et même si je me sers occasionnellement de Vim, je n'ai pas tenté cette opération. :-) Pour information : je suis sous Squeeze (ou oldstable si vous préférez) et j'ai installé les paquets vim, vim-addon-manager, vim-common, vim-doc, vim-gtk, vim-gui-common, vim-nox, vim-runtime, vim-scripts, vim-syntax-gtk et vim-vimoutliner. Cordialement et à bientôt, Stéphane. Une messagerie gratuite, garantie à vie et des services en plus, ça vous tente ? Je crée ma boîte mail www.laposte.net -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/99250544.47244.1374517687897.JavaMail.www@wwinf8310
Re: [HS] Vim, un rootkit qui s'ignore ? (dérivé de Retrait d'utilisateur...)
On Mon, Jul 22, 2013 at 08:28:07PM +0200, stephane.garg...@laposte.net wrote: Dois-je comprendre que si, sous un compte utilisateur (ex. stephane), : 1. j'ouvre mon éditeur de texte avec la commande vi file et, 2. en mode commande, je tape :!xterm, j'ai un terminal et, tel un vulgaire administrateur, je peux faire ce que je veux de mon GNU/Linux (y compris en tapant rm -rf /) ? Non, il faut aussi que l'administrateur ai fait une faute lourde (passible de licenciement et du pal) du genre chmod u+s /usr/sbin/vigr Y. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20130722183319.ge12...@naryves.com
Re: [HS] Vim, un rootkit qui s'ignore ? (dérivé de Retrait d'utilisateur...)
Le lundi 22 juillet 2013 à 20:33, Yves Rutschle a écrit : On Mon, Jul 22, 2013 at 08:28:07PM +0200, stephane.garg...@laposte.net wrote: Dois-je comprendre que si, sous un compte utilisateur (ex. stephane), : 1. j'ouvre mon éditeur de texte avec la commande vi file et, 2. en mode commande, je tape :!xterm, j'ai un terminal et, tel un vulgaire administrateur, je peux faire ce que je veux de mon GNU/Linux (y compris en tapant rm -rf /) ? Non, il faut aussi que l'administrateur ai fait une faute lourde (passible de licenciement et du pal) du genre chmod u+s /usr/sbin/vigr Ou tout simplement ajouté une ligne dans le /etc/sudoers qui autorise un utilisateur à lancer vi en tant que root facilement (sans mot de passe par exemple). Vi n'est en rien un rootkit qui s'ignore. C'est un éditeur de texte puissant et capable de lancer des processus, il faut donc savoir ce qu'on fait quand on autorise un utilisateur à le lancer en tant que root. Pour en revenir aux outils qui encapsulent un vi, aucun problème de ce point de vue puisque la sécurité est gérée en amont (essaye par exemple de lancer visudo en tant qu'utilisateur simple, ça ne fonctionnera pas). visudo peut être lancé uniquement en tant que root¹, aucun problème donc à lancer d'autres processus en tant que root depuis vi, puisqu'on est déjà root. ¹ sauf si on autorise un utilisateur simple à lancer visudo à travers sudo, dans ce cas, on lui donne les clés de la maison ! Seb -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20130722190229.ga23...@serveur.nob900.us.to
Re: [HS] Vim, un rootkit qui s'ignore ? (dérivé de Retrait d'utilisateur...)
On Monday 22 July 2013 20:28:07 stephane.garg...@laposte.net wrote: Bonjour à tous les utilisateurs et développeurs de Debian : Dois-je comprendre que si, sous un compte utilisateur (ex. stephane), : 1. j'ouvre mon éditeur de texte avec la commande vi file et, 2. en mode commande, je tape :!xterm, j'ai un terminal et, tel un vulgaire administrateur, je peux faire ce que je veux de mon GNU/Linux (y compris en tapant rm -rf /) ? Comprends pas et ça marche pas. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20130727.25811.andre_deb...@numericable.fr
Re: [HS] Vim, un rootkit qui s'ignore ? (dérivé de Retrait d'utilisateur...)
citation de=andre_deb...@numericable.fr On Monday 22 July 2013 20:28:07 stephane.garg...@laposte.net wrote: Bonjour à tous les utilisateurs et développeurs de Debian : Dois-je comprendre que si, sous un compte utilisateur (ex. stephane), : 1. j'ouvre mon éditeur de texte avec la commande vi file et, 2. en mode commande, je tape :!xterm, j'ai un terminal et, tel un vulgaire administrateur, je peux faire ce que je veux de mon GNU/Linux (y compris en tapant rm -rf /) ? Comprends pas et ça marche pas. Ici, ça ouvre bien un terminal, mais de l'utilisateur. Je pense que le truc, c'est que l'on peut ensuite se logger en root -- Belle prise. Ce matin, a Miami, le shérif John Devan a fait une prise record de cocaïne : 1 g dans chaque narine. -+- Les nuls -+- -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/1708651c95362662c0bb6940a82c89ca.squirrel@bureau
Re: [HS] Vim, un rootkit qui s'ignore ? (dérivé de Retrait d'utilisateur...)
Bonjour à tous les utilisateurs et développeurs de Debian : Dans son message du 22/07/13 à 20:33, Yves Rutschle a écrit : On Mon, Jul 22, 2013 at 08:28:07PM +0200, stephane.garg...@laposte.net wrote: Dois-je comprendre que si, sous un compte utilisateur (ex. stephane), : 1. j'ouvre mon éditeur de texte avec la commande vi file et, 2. en mode commande, je tape :!xterm, j'ai un terminal et, tel un vulgaire administrateur, je peux faire ce que je veux de mon GNU/Linux (y compris en tapant rm -rf /) ? Non, il faut aussi que l'administrateur ai fait une faute lourde (passible de licenciement et du pal) du genre chmod u+s /usr/sbin/vigr Pal : l'informatique est vraiment un monde barbare, cruel et sans pitié... :-D Setuid et Setgid : J'ai toujours dit qu'il faut se méfier de ces petites bestioles. :-/ J'ai vérifié les droits attachés aux binaires /usr/bin/vim.gtk et /usr/sbin/vipw (les vim et vigr sont des liens symboliques) mais aussi /usr/sbin/visudo : aucun des trois ne possède de setuid/setgid. :-) Dans son message du 22/07/13 à 21:03, Sébastien NOBILI a écrit : Ou tout simplement ajouté une ligne dans le /etc/sudoers qui autorise un utilisateur à lancer vi en tant que root facilement (sans mot de passe par exemple). Sudo : Même comportement qu'envers les setuid et setgid. D'ailleurs, je préfère utiliser la commande su si je dois utiliser une application (avec l'option -c) sous root (tout en m'exigeant son mot de passe). Note (sur sudo - attention, troll possible) : c'est une des raisons pour lesquelles je n'ai pas choisi Ubuntu (ou ses dérivés). o:-) Cordialement et à bientôt, Stéphane. Une messagerie gratuite, garantie à vie et des services en plus, ça vous tente ? Je crée ma boîte mail www.laposte.net -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/1763214403.471389.1374558641106.JavaMail.www@wwinf8227
Problème de ... clavier/rootkit/su par ssh
Salut à tous. Je vous expose ici un petit souci que je ne sais pas par quel bout prendre (mis à part un tcpdump auquel je vais sûrement me résoudre si je n'ai pas d'autres indices). J'administre un serveur (DomU sur lenny) par ssh. Les sessions ssh s'ouvrent sans soucis, mais quand je fais un su - user, j'ai de temps en temps la surprise d'être déco du su dès la frappe d'un caractère. ça donne: user@server:~$ flogout root@server:~# je n'ai eu que le temps de taper la lettre 'f' Aucune trace caractéristique dans les logs. Merci d'avance de la moindre piste. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/87r59y56yp@fermat.tourde.home
Rootkit ?
Bonjour, J'ai un résultat de chkrootkit qui m'inquiète : Checking `bindshell'... INFECTED (PORTS: 600) Qu'est-ce que cela signifie ? comment s'en débarassé si c'est effectivement un rootkit ? Merci Mourad -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Rootkit ?
Bonjour, Tu n'as pas PortSentry ou qq chose de semblable d'installé ? Cdt Sébastien JULIENNE 2005/10/21, C. Mourad Jaber [EMAIL PROTECTED]: Bonjour, J'ai un résultat de chkrootkit qui m'inquiète : Checking `bindshell'... INFECTED (PORTS: 600) Qu'est-ce que cela signifie ? comment s'en débarassé si c'est effectivement un rootkit ? Merci Mourad -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Rootkit ?
C. Mourad Jaber a écrit : Bonjour, J'ai un résultat de chkrootkit qui m'inquiète : Checking `bindshell'... INFECTED (PORTS: 600) Qu'est-ce que cela signifie ? comment s'en débarassé si c'est effectivement un rootkit ? Merci Mourad Il ya quelques petites choses simples que tu peux tenter avant de réinstaller tout :) D'abord lire /usr/share/doc/chkrootkit/README.FALSE-POSITIVES pour voir si ce n'est pas un faux positif (rien ne concerne le port 600 chez moi). Ensuite si tu en as la possibilité effectue un nmap -sS -p1-65535 IP de ta machine *depuis une autre machine* (si possible sure). Relève les ports ouverts et compare les à la sortie d'un netstat -tulpe. S'il y a des différences entre les services/ports affichés, comparer la signature de netstat (md5sum ou gpg) avec un binaire netstat de ta distribution sur (celui d'un CD ou fraichement récupéré d'un serveur et dûment vérifié). netstat provient du paquet net-tools. Tu peux aussi lancer un lsof i:600 voir ce qui écoute là ... Voilà quelques pistes. Bon courage Pascal -- Haut par-dessus leur tête voguaient les blanches sculptures des nuages, comme en la cervelle de Michel-Ange des volutes de concept. M. Lowry -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Rootkit ?
On Fri, Oct 21, 2005 at 10:43:58AM +0200, C. Mourad Jaber wrote : Bonjour, Bonjour, J'ai un résultat de chkrootkit qui m'inquiète : Checking `bindshell'... INFECTED (PORTS: 600) Qu'est-ce que cela signifie ? comment s'en débarassé si c'est effectivement un rootkit ? Peut etre pourrais tu comparer le résultat avec rkhunter : http://www.rootkit.nl/downloads/ A+ Sylvain -- http://www.rtcw.com.fr -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Rootkit ?
Le ven, 21 oct 2005, Sylvain Viollat [EMAIL PROTECTED] évrivait : On Fri, Oct 21, 2005 at 10:43:58AM +0200, C. Mourad Jaber wrote : Bonjour, Bonjour, J'ai un résultat de chkrootkit qui m'inquiète : Checking `bindshell'... INFECTED (PORTS: 600) Qu'est-ce que cela signifie ? comment s'en débarassé si c'est effectivement un rootkit ? Peut etre pourrais tu comparer le résultat avec rkhunter : http://www.rootkit.nl/downloads/ Ou directement en paquet Debian : http://packages.debian.org/rkhunter/ Mais je ne pense pas que cela t'aide beaucoup... Je pense qu'il s'agit d'un fax positif relatif à un serveur smtpS (notez le S à la fin). Fais le test en désactivant ton MTA si tu le peux... Julien
Re: Rootkit ?
Sylvain Viollat a écrit : On Fri, Oct 21, 2005 at 10:43:58AM +0200, C. Mourad Jaber wrote : Bonjour, Bonjour, J'ai un résultat de chkrootkit qui m'inquiète : Checking `bindshell'... INFECTED (PORTS: 600) Qu'est-ce que cela signifie ? comment s'en débarassé si c'est effectivement un rootkit ? Peut etre pourrais tu comparer le résultat avec rkhunter : http://www.rootkit.nl/downloads/ A+ Sylvain Je viens de le faire, et il ne trouve rien de spécial. Tous les indicateurs sont au vert :) J'avais le rpc.statd qui écoutait sur le port UDP 600, je l'ai arrêté, et chkrootkit ne trouve plus rien d'infecté... Je n'ai pas trouvé de modifications sur la machine et le noyau est complètement monolitique (c'est ma passerelle) sans module loader, donc a priori pas de risques de ce coté là... Je vais mettre ce truc dans le camp de faux positifs pour l'instant... Par sécurité, j'ai réinstallé bind9 et nfs-common, juste au cas où... @ + Mourad -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: rootkit?
On 2004-12-24 00:56:51 +0100, Frédéric Bothamy wrote: Bogue dans le paquet libapache2-mod-perl2 (cf. BTS Debian #277461). Merci. J'avais cherché un bug dans le paquet chkrootkit, mais pas dans libapache2-mod-perl2. -- Vincent Lefèvre [EMAIL PROTECTED] - Web: http://www.vinc17.org/ 100% accessible validated (X)HTML - Blog: http://www.vinc17.org/blog/ Work: CR INRIA - computer arithmetic / SPACES project at LORIA
rootkit?
Bonjour, ay:/home/lefevre# chkrootkit -q /usr/lib/perl5/Apache/.arch-ids /usr/lib/perl5/Bundle/.arch-ids /usr/lib/perl5/Apache2/.arch-ids /usr/lib/perl5/Apache2/ModPerl/.arch-ids /usr/lib/perl5/Apache2/Apache/.arch-ids /usr/lib/perl5/Apache2/Apache/PerlSections/.arch-ids /usr/lib/perl5/Apache2/APR/.arch-ids /usr/lib/perl5/Apache2/Bundle/.arch-ids /usr/lib/perl5/.arch-ids /usr/lib/kaffe/.system /usr/lib/perl5/Apache/.arch-ids /usr/lib/perl5/Bundle/.arch-ids /usr/lib/perl5/Apache2/.arch-ids /usr/lib/perl5/Apache2/ModPerl/.arch-ids /usr/lib/perl5/Apache2/Apache/.arch-ids /usr/lib/perl5/Apache2/Apache/PerlSections/.arch-ids /usr/lib/perl5/Apache2/APR/.arch-ids /usr/lib/perl5/Apache2/Bundle/.arch-ids /usr/lib/perl5/.arch-ids J'ai un rootkit ou s'agit-il d'un faux positif? (Je pense au deuxième cas, mais bon...) -- Vincent Lefèvre [EMAIL PROTECTED] - Web: http://www.vinc17.org/ 100% accessible validated (X)HTML - Blog: http://www.vinc17.org/blog/ Work: CR INRIA - computer arithmetic / SPACES project at LORIA
Re: rootkit?
* Vincent Lefevre [EMAIL PROTECTED] [2004-12-23 14:34] : Bonjour, ay:/home/lefevre# chkrootkit -q /usr/lib/perl5/Apache/.arch-ids /usr/lib/perl5/Bundle/.arch-ids /usr/lib/perl5/Apache2/.arch-ids /usr/lib/perl5/Apache2/ModPerl/.arch-ids /usr/lib/perl5/Apache2/Apache/.arch-ids /usr/lib/perl5/Apache2/Apache/PerlSections/.arch-ids /usr/lib/perl5/Apache2/APR/.arch-ids /usr/lib/perl5/Apache2/Bundle/.arch-ids /usr/lib/perl5/.arch-ids /usr/lib/kaffe/.system /usr/lib/perl5/Apache/.arch-ids /usr/lib/perl5/Bundle/.arch-ids /usr/lib/perl5/Apache2/.arch-ids /usr/lib/perl5/Apache2/ModPerl/.arch-ids /usr/lib/perl5/Apache2/Apache/.arch-ids /usr/lib/perl5/Apache2/Apache/PerlSections/.arch-ids /usr/lib/perl5/Apache2/APR/.arch-ids /usr/lib/perl5/Apache2/Bundle/.arch-ids /usr/lib/perl5/.arch-ids J'ai un rootkit ou s'agit-il d'un faux positif? (Je pense au deuxième cas, mais bon...) Bogue dans le paquet libapache2-mod-perl2 (cf. BTS Debian #277461). Fred -- Comment poser les questions de manière intelligente ? http://www.gnurou.org/documents/smart-questions-fr.html Comment signaler efficacement un bug ? http://www.chiark.greenend.org.uk/~sgtatham/bugs-fr.html
Pb de rootkit?...
Bonjour. J'utilise la version officielle de chkrootkit (woody) c.a.d la v0.35. Cette nuit le cron journalier de chkrootkit m'envoie: You have 4 process hidden for readdir command You have 4 process hidden for ps command Warning: Possible LKM Trojan installed eth1 is not promisc ppp0 is not promisc (Pour eth0, c'est normal, l'IDS tourne dessus). A l'instant je fais à nouveau un # chkrootkit -q, et le script ne me retourne que: eth1 is not promisc ppp0 is not promisc Que dois-je en penser? Si la machine est vérolée, comment puis-je m'en débarasser? Merci de votre aide, Loick.
