| View previous topic :: View next topic |
| Author |
Message |
bob1977
Guru
Joined: 16 Mar 2004
Posts: 387
|
 Posted: Sat Nov 06, 2004 5:21 pm Post subject: [securite] cacher des fichiers ( RESOLU) |
 |
|
Salut a tous,
Je voudrais savoir s'il est possible de cacher des fichiers dans un systeme de fichier ext3 sans utiliser un "." devant le fichier.
En effet, quand je fais , il me retourne 14Go alors que c'est une partition de 21Go. Donc 2 possibilites:
_ du retourne la taille mais pas la taille qu'ils prennent sur le disque.
_ Quelqu'un a reussi a pirate mon mon ordi et y stocke des fichiers qu'il reussi a cacher. Dans ce cas, comment faire?
J'attends vos reponses avec impatience.
Last edited by bob1977 on Sat Nov 06, 2004 8:31 pm; edited 1 time in total |
|
| Back to top |
|
 |
sireyessire
Advocate
Joined: 20 Mar 2003
Posts: 2991
Location: back in Paris, France
|
| Posted: Sat Nov 06, 2004 5:24 pm Post subject: Re: [securite] cacher des fichiers ( non resolu) |
|
|
| bob1977 wrote: | Salut a tous,
Je voudrais savoir s'il est possible de cacher des fichiers dans un systeme de fichier ext3 sans utiliser un "." devant le fichier.
En effet, quand je fais , il me retourne 14Go alors que c'est une partition de 21Go. Donc 2 possibilites:
_ du retourne la taille mais pas la taille qu'ils prennent sur le disque.
_ Quelqu'un a reussi a pirate mon mon ordi et y stocke des fichiers qu'il reussi a cacher. Dans ce cas, comment faire?
J'attends vos reponses avec impatience. |
ouh là, du == disk usage te renvoie la taille que prennent tes fichiers sur le repertoire (et ses sous repertoires) courant ou celui que tu passes en paramètres.
Donc ton du / ne te renverra 21 go que si ta partition est pleine
pour voir ou tu en es sur le remplissage des partitions, tu peux utiliser df pour disk free.
_________________
I never think of the future. It comes soon enough.
Albert Einstein
Try simpler first
Shockley |
|
| Back to top |
|
|
kernelsensei
Bodhisattva
Joined: 22 Feb 2004
Posts: 5619
Location: Woustviller/Moselle/FRANCE (49.07°N;7.02°E)
|
| Posted: Sat Nov 06, 2004 5:24 pm Post subject: Re: [securite] cacher des fichiers ( non resolu) |
|
|
| bob1977 wrote: | Salut a tous,
Je voudrais savoir s'il est possible de cacher des fichiers dans un systeme de fichier ext3 sans utiliser un "." devant le fichier.
En effet, quand je fais , il me retourne 14Go alors que c'est une partition de 21Go. Donc 2 possibilites:
_ du retourne la taille mais pas la taille qu'ils prennent sur le disque.
_ Quelqu'un a reussi a pirate mon mon ordi et y stocke des fichiers qu'il reussi a cacher. Dans ce cas, comment faire?
J'attends vos reponses avec impatience. |
ya quoi d'amormal dans le fait d'avoir 14Go sur une partoche de 21 Go ?
@sireyessire: 
_________________
$ ruby -e'puts " .:@BFegiklnorst".unpack("x4ax7aaX6ax5aX15ax4aax6aaX7ax2aX5aX8 \
axaX3ax8aX4ax6aX3aX6ax3ax3aX9ax4ax2aX9axaX6ax3aX2ax4ax3aX4aXaX12ax10aaX7a").join' |
|
| Back to top |
|
|
bob1977
Guru
Joined: 16 Mar 2004
Posts: 387
|
| Posted: Sat Nov 06, 2004 5:37 pm Post subject: |
|
|
| Quel idiot, j'ai oublie de precise que "df" me dit qu'il reste 0 octet de libre. |
|
| Back to top |
|
|
sireyessire
Advocate
Joined: 20 Mar 2003
Posts: 2991
Location: back in Paris, France
|
| Posted: Sat Nov 06, 2004 5:39 pm Post subject: |
|
|
| bob1977 wrote: | | Quel idiot, j'ai oublie de precise que "df" me dit qu'il reste 0 octet de libre. |
tu peux nous poster l'output des 2 commandes avec le texte des commandes plz?
_________________
I never think of the future. It comes soon enough.
Albert Einstein
Try simpler first
Shockley |
|
| Back to top |
|
|
bosozoku
Advocate
Joined: 11 Jan 2004
Posts: 2431
Location: Roazhon
|
|
| Back to top |
|
|
bob1977
Guru
Joined: 16 Mar 2004
Posts: 387
|
| Posted: Sat Nov 06, 2004 5:44 pm Post subject: |
|
|
| Code: | df
Sys. de fich. 1K-blocs Occupé Disponible Capacité Monté sur
/dev/hda3 21015776 19577008 584756 98% / |
| Code: |
du / -a --max-depth=1 -H --exclude=dev --exclude=mnt
17k/lost+found
12M/stage1-x86-20030910.tar.bz2
7,6M/bin
51M/etc
124M/lib
1,5G/opt
277M/tmp
1,2G/var
13G/usr
20M/boot
501M/home
539M/proc
8,3M/sbin
353M/root
0/sys
4,1k/cdrom
213k/share
4,1k/vcc
4,1k/.qt
4,1k/file
17G/
|
Merci de repondre si vite.
PS: Depuis le premier post, j'ai supprimer /var/log/messages qui me prenait 500Mo. |
|
| Back to top |
|
|
bosozoku
Advocate
Joined: 11 Jan 2004
Posts: 2431
Location: Roazhon
|
|
| Back to top |
|
|
sireyessire
Advocate
Joined: 20 Mar 2003
Posts: 2991
Location: back in Paris, France
|
| Posted: Sat Nov 06, 2004 5:48 pm Post subject: |
|
|
| bob1977 wrote: | [
| Code: |
du / -a --max-depth=1 -H --exclude=dev --exclude=mnt |
|
il va oublier des fichiers là, puisqu'il ne peut pas aller dans toute l'arborescence.
_________________
I never think of the future. It comes soon enough.
Albert Einstein
Try simpler first
Shockley |
|
| Back to top |
|
|
sireyessire
Advocate
Joined: 20 Mar 2003
Posts: 2991
Location: back in Paris, France
|
| Posted: Sat Nov 06, 2004 5:49 pm Post subject: |
|
|
| bosozoku wrote: | | je t'ai demandé df -h /et du -sh / |
eh, take it easy, le -h tu peux te le garder, on est pas humain  nous on veut les octets.
_________________
I never think of the future. It comes soon enough.
Albert Einstein
Try simpler first
Shockley |
|
| Back to top |
|
|
bosozoku
Advocate
Joined: 11 Jan 2004
Posts: 2431
Location: Roazhon
|
| Posted: Sat Nov 06, 2004 5:52 pm Post subject: |
|
|
Mouarf, j'arrive pas à interpréter en octet 
Le h est bien pratique quand meme faut pas non plus etre sado mazo
_________________
Stationlinux.org - Wiki Fvwm FR - Config Fvwm |
|
| Back to top |
|
|
bob1977
Guru
Joined: 16 Mar 2004
Posts: 387
|
| Posted: Sat Nov 06, 2004 5:55 pm Post subject: |
|
|
bosozoku->Desole je repondais à sireyessire
| Code: | df -h /
Sys. de fich. Tail. Occ. Disp. %Occ. Monté sur
/dev/hda3 21G 19G 556M 98% / |
Bon je vous renvois le du -sh / quand il aura fini parce que c'est long de parcourir tous mes DD. C'est pour ca que j'avais exclu mnt parce que c'est des partitions externes |
|
| Back to top |
|
|
sireyessire
Advocate
Joined: 20 Mar 2003
Posts: 2991
Location: back in Paris, France
|
| Posted: Sat Nov 06, 2004 5:56 pm Post subject: |
|
|
| bosozoku wrote: | Mouarf, j'arrive pas à interpréter en octet
Le h est bien pratique quand meme faut pas non plus etre sado mazo |
oui, je suis d'accord mais là on veut pas qu'il nous fasse des arrondis, alors on veut vraiment voir s'il reste 0 octet ou pas 
c'est comme ça qu'on se rend compte qu'avec de la reiserfs (3.6), une bonne dose de courage (ou d'inconscience suivant interprétation) on peut lancer un serveur X et fluxbox, avec seulement 3 octets de libre sur le / 
_________________
I never think of the future. It comes soon enough.
Albert Einstein
Try simpler first
Shockley |
|
| Back to top |
|
|
sireyessire
Advocate
Joined: 20 Mar 2003
Posts: 2991
Location: back in Paris, France
|
| Posted: Sat Nov 06, 2004 5:57 pm Post subject: |
|
|
| bob1977 wrote: | bosozoku->Desole je repondais à sireyessire
| Code: | df -h /
Sys. de fich. Tail. Occ. Disp. %Occ. Monté sur
/dev/hda3 21G 19G 556M 98% / |
Bon je vous renvois le du -sh / quand il aura fini parce que c'est long de parcourir tous mes DD. C'est pour ca que j'avais exclu mnt parce que c'est des partitions externes |
oui ça je suis d'accord sur le exclude mais c'est sur le max_depth que je rale
_________________
I never think of the future. It comes soon enough.
Albert Einstein
Try simpler first
Shockley |
|
| Back to top |
|
|
bob1977
Guru
Joined: 16 Mar 2004
Posts: 387
|
| Posted: Sat Nov 06, 2004 6:03 pm Post subject: |
|
|
| sireyessire-> AMHA, Le max-depth change juste la profondeur de ce qu'il affiche mais il va quand meme dans les sous-repertoires. Autrement ca serait inquietant si j'ai 13Go dans /usr sans qu'il soit alle dans ces sous-repertoires! |
|
| Back to top |
|
|
bob1977
Guru
Joined: 16 Mar 2004
Posts: 387
|
| Posted: Sat Nov 06, 2004 6:08 pm Post subject: |
|
|
Donc voila le resultat:
Je ne pense pas que ca soit tres utile puisqu'il a ete dans plein de partitions montees. J'essaye avec :
du -xsh / |
|
| Back to top |
|
|
sireyessire
Advocate
Joined: 20 Mar 2003
Posts: 2991
Location: back in Paris, France
|
| Posted: Sat Nov 06, 2004 6:09 pm Post subject: |
|
|
| bob1977 wrote: | | sireyessire-> AMHA, Le max-depth change juste la profondeur de ce qu'il affiche mais il va quand meme dans les sous-repertoires. Autrement ca serait inquietant si j'ai 13Go dans /usr sans qu'il soit alle dans ces sous-repertoires! |
c possible, mais moi je fais toujours un du -s pour qu'il aille partout et ne m'affiche que le résultat final.
sinon, tu peux emerger app-forensics/chkrootkit
et voir si un rootkit a été installé.
et il y a aussi le fait que l'ext3 te permet pas l'accès à tout le disque je crois, enfin j'ai jamais eu d'ext3 alors ...
_________________
I never think of the future. It comes soon enough.
Albert Einstein
Try simpler first
Shockley |
|
| Back to top |
|
|
bob1977
Guru
Joined: 16 Mar 2004
Posts: 387
|
| Posted: Sat Nov 06, 2004 6:12 pm Post subject: |
|
|
| Quote: | | et il y a aussi le fait que l'ext3 te permet pas l'accès à tout le disque je crois, enfin j'ai jamais eu d'ext3 alors ... |
Tu veux dire quoi par la? |
|
| Back to top |
|
|
Argian
l33t
Joined: 01 May 2004
Posts: 682
Location: Nîmes
|
| Posted: Sat Nov 06, 2004 6:30 pm Post subject: |
|
|
| Autrement, tu as essayé de passer un coup de fsck sur ta partition ? |
|
| Back to top |
|
|
bob1977
Guru
Joined: 16 Mar 2004
Posts: 387
|
| Posted: Sat Nov 06, 2004 6:46 pm Post subject: |
|
|
Voila le resultat ( le "-x" est pour rester sur le meme device):
Donc la je trouve qu'il y a un probleme: du dit qu'il y a 17Go d'utilises, df dit qu'il reste 500Mo mais la partition fait 21Go.
Qu'en pensez-vous?
->Argian: Fsck, je ne m'en suis jamais servi. Qu'est-ce qu'il faudrait faire et pour trouver quoi ( des clusters perdus?) |
|
| Back to top |
|
|
bosozoku
Advocate
Joined: 11 Jan 2004
Posts: 2431
Location: Roazhon
|
| Posted: Sat Nov 06, 2004 7:30 pm Post subject: |
|
|
Bah oué ya des fois des données qui restent écrites sur le disque dur alors que tu les a effacé.
Elles restent la tant que tu ne réécris pas dessus et encore...
Un fsck serait le bienvenue je pense histoire de vérifier et réparer tout ça.
_________________
Stationlinux.org - Wiki Fvwm FR - Config Fvwm |
|
| Back to top |
|
|
bob1977
Guru
Joined: 16 Mar 2004
Posts: 387
|
| Posted: Sat Nov 06, 2004 7:36 pm Post subject: |
|
|
Je pourrais savoir comment faire? Il faut le faire depuis le livecd ou une autre distribution? Quels sont les arguments a donner à fsck?
C'est tout à fait possible que la partition ait des problemes vu qu'elle n'est verifiee que tous les 35 demarrages! Pendant qu'on y ait est-ce que cette ligne de fstab est correcte sachant que je n'ai pas de partition dediee au boot?
| Code: | | dev/hda3 / ext3 noatime 0 1 |
Merci pour vos reponses. |
|
| Back to top |
|
|
Argian
l33t
Joined: 01 May 2004
Posts: 682
Location: Nîmes
|
| Posted: Sat Nov 06, 2004 7:46 pm Post subject: |
|
|
Le plus simple :suivi d'un reboot
Sinon, ton fstab va bien |
|
| Back to top |
|
|
bosozoku
Advocate
Joined: 11 Jan 2004
Posts: 2431
Location: Roazhon
|
| Posted: Sat Nov 06, 2004 7:55 pm Post subject: |
|
|
Pour faire un fsck il faut que la partition en question soit démontée. Or si c'est la /, vaut mieux le faire depuis le live cd sinon tu risques d'avoir des problèmes 
_________________
Stationlinux.org - Wiki Fvwm FR - Config Fvwm |
|
| Back to top |
|
|
bob1977
Guru
Joined: 16 Mar 2004
Posts: 387
|
| Posted: Sat Nov 06, 2004 8:30 pm Post subject: |
|
|
C'est bon, j'ai trouve le probleme.
Mon fichier /var/log/messages etait trop gros (2Go!!!!) donc je l'avais supprime avec rm. En fait, l'escape qu'il prenait n'etait pas libere parce que mon firewall ecrivait dedans et en arretant syslog-ng, je pensais qu'il y aurait pas de probleme. C'est en faisant un chkrootkit que j'ai pu voir:
| Code: | | Checking `sniffer'... /proc/29265/fd/15: Value too large for defined data type |
Le processus etait mon pare-feu que j'ai detruit et j'ai gagne 2Go sur le DD.
Maintenant, il ne me reste plus qu'a regler le probleme du fichier de log qui prend 1Mo par minute!!
J'ai ce message qui s'affiche une centaine de fois par secondes:
| Code: | | Nov 6 21:24:36 localhost hub 3-2:1.0: hub_hub_status failed (err = -110) |
Si quelqu'un a une idee autrement je vais peut etre faire un autre post.
En tout cas, vos reponses m'ont ete bien utiles. |
|
| Back to top |
|
|
|
French
