Re: [HS] Fichier /bin/gzip qui change sans cesse (ouverture de l'enquete)
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Guillaume Caron a écrit :
> Hello,
>
> Personnellement, je pencherais vers une corruption du disque ou du
> filesystem, qui résulte en une lecture aléatoire des fichiers sur les
> blocs corrompus et donc une somme différente à chaque fois. Ça se tient
> si tu considère que la réinstallation a placé le binaire à un autre
> endroit sur le disque, non-corrompu cette fois.
>
> Je te conseille de faire un fsck de ton disque système, et un badblocks
> si besoin est.
>
> Cordialement,
> --
> Guillaume Caron
>
>
> Le jeudi 09 avril 2009 à 09:29 +0200, Romaric DEFAUX a écrit :
>
>> Salut à tous,
>>
>>
>> AIDE m'a remonté que ce matin a partir de 7h00 la somme MD5 de
>> l'exécutable gzip sur un des serveurs changeait en permanence :
>>
>> File: /bin/gzip
>> MD5 : lyhcltnQrQ8ywl7Bz/kLvw== , z/l5IV9aH2GiFf8PQyQH0g==
>>
>> File: /bin/gzip
>>
>> MD5 : 87UaX+aTIbykxMzZJugFoA== , hpOZj30moVb7W2IznLCgng==
>> File: /bin/gzip
>> MD5 : QmxBWKDa+bcToRhbDlFwLA== , 4gjNhBD4+Tmy8C4p6Zj1Tw==
>>
>> J'ai vérifié à la mano et ça s'avérait exact :
>> # md5sum /bin/gzip
>> 6aec07042ce11be9c4f07a21f71772e1 /bin/gzip
>> # md5sum /bin/gzip
>> 6aec07042ce11be9c4f07a21f71772e1 /bin/gzip
>> # md5sum /bin/gzip
>> 68d4d97a9c3663fbffae9dc91e60c63b /bin/gzip
>> # md5sum /bin/gzip
>> 2b3b7ea888dc26c3bfffe0fcdbf3d7e8 /bin/gzip
>> # md5sum /bin/gzip
>> ad17cf5e14ff1f27fb143871003d5f72 /bin/gzip
>> # md5sum /bin/gzip
>> d5a4537541dbc3db8151146f563c9511 /bin/gzip
>> # md5sum /bin/gzip
>> 1eeb0c956419d5dae3c77c1b6fc6f021 /bin/gzip
>>
>> J'ai donc voulu le désinstallé pour le résinstallé. Mais
apparemment il n'était pas dans la liste de mes paquets installés car
l'autocompletion ne me proposait pas de le désinstaller :
>> #apt-get remove g
>> g++ g++-4.2 gamin gcc gcc-4.2
gcc-4.2-base gettext-base gnupg gpgv gsfonts
>>
>> Pensant qu'il pouvait faire partie d'un autre paquet que "gzip", j'ai
tenté un apt-file qui m'a retourné ceci :
>> # apt-file search gzip
>> /bin/zgrep: line 218: 4748 Segmentation fault gzip -cdfq -- "$i"
5>&-
>> /bin/zgrep: line 218: 4756 Segmentation fault gzip -cdfq -- "$i"
5>&-
>> /bin/zgrep: line 218: 4762 Segmentation fault gzip -cdfq -- "$i"
5>&-
>> /bin/zgrep: line 218: 4769 Segmentation fault gzip -cdfq -- "$i"
5>&-
>>
>> Je tente donc de le réinstallé directement :
>> # apt-get install gzip
>> Reading package lists... Done
>> Building dependency tree
>> Reading state information... Done
>> gzip is already the newest version.
>>
>> Il est déjà là :S
>>
>> Je tape donc la commande entiere pour le supprimer :
>> # apt-get remove gzip
>> [...]
>> This should NOT be done unless you know exactly what you are doing!
>> gzip
>> 0 upgraded, 0 newly installed, 2 to remove and 5 not upgraded.
>> After this operation, 348kB disk space will be freed.
>> You are about to do something potentially harmful.
>> To continue type in the phrase 'Yes, do as I say!'
>> ?] Yes, do as I say!
>> (Reading database ... 25486 files and directories currently installed.)
>> Removing ubuntu-minimal ...
>> dpkg - warning, overriding problem because --force enabled:
>> This is an essential package - it should not be removed.
>> Removing gzip ...
>> La il veut bien :)
>>
>> Puis je le réinstalle (presque) sans problème, et depuis sa somme ne
change plus.
>>
>>
>> Avez-vous une idée d'où ça peut venir ?
>>
>> PS : Info utile, c'est un serveur virtuel xen
>> Dom0 : Ubuntu 8.04.2
>> DomU : Ubuntu 8.04.2 <- c'est sur celui là que ça changeait
>>
>> Romaric
>>
>>
>>
>>
>>
>>
Bonjour,
Je rebondi sur votre message, mais en posant une autre question qui
n'a rien à voir avec le sujet de celui-ci.
J'aimerai bien utilisé AIDE, que j'ai d'ailleurs installé.
Je sais que c'est une application servant à vérifier l'intégrité du
filesystem en cas d'intrusion, j'ai aussi jeté un coup d'oeil sur le
fichier de configuration, lancé la création de sa base via la commande:
<code>
...# aideinit
...
</code>
Celle-ci s'est bien créé, mais je voudrai allé plus loin dans la
configuration de celui-ci, en l'occurence le fichier:
<file|[brakos@eee-lt:/etc/aide]$>
...$ ls
aide.conf aide.conf.d
</file>
Si quelqu'un aurait une petit explication à me fournir, un lien
intéressant car malgrés mes recherches, je n'en ait pas trouvé une qui
soit compréhensible à mon petit cerveau ;-) (peut-être ai-je mal
cherché!)
Amicalement,
- --
Kad
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iEYEARECAAYFAkneKB4ACgkQf/Ob6jO9EY9NCwCdE6+LDpX7HewrDd52XiYTCwrr
SUAAni/RdTJ/BWmXjZGb9EEa/Hj1lCvE
=rJYN
-----END PGP SIGNATURE-----
Reply to: