[CRASH] /var écrasé par mystère ??

jpwalker

Salut à tous

Voilà, je possède un serveur web tournant sous Apache. Celui-ci possède 4 disques scsi :

sireyessire · Posted: Wed Apr 20, 2005 9:22 am Post subject:

tu es sûr de la sécurité de ton serveur?
parce que des partitions qui changent c'est violent là.
personne n'a touché à la config pendant ton absence?
si oui alors il va falloir que tu envisages sérieusement une intrusion

oui on a vu des retours moins brutaux :wink:

_________________
I never think of the future. It comes soon enough.
Albert Einstein

Try simpler first
Shockley

jpwalker · Posted: Wed Apr 20, 2005 9:30 am Post subject:

Ben sur ce niveau là, je pense qu'il n'y a aucun souci

Le serveur est dans une salle fermée, dont je suis le seul à avoir accès. De plus, le serveur est uniquement accessible en ssh et sans le mot de passe bien gardé dans le fond de mon esprit... De plus, je suis le seul à savoir me servir de Linux... Les autres en ont peur, donc ils n'approchent pas la bête

Par contre, ce dernier n'était pas ondulé (du moins pas encore)... Et je l'ai trouvé éteind à mon retour, donc une panne électrique en est peut être la cause

Penses-tu que la journalisation des fichiers est pu faire une réparation "catastrophe" ? Le controlleur raid pourrait-il être impliqué ?

PS : que veux-tu dire par "envisager sérieusement une intrusion" ?

Merci

_________________
JPW@lker
Ride & Enjoy
;-)

rg421 · Posted: Wed Apr 20, 2005 9:38 am Post subject:

jpwalker · Posted: Wed Apr 20, 2005 9:48 am Post subject:

Pour ce qui est d'une intrusion interne (de ma boite), cela me parraît impossible

Après, intrusion du net... Je reste très septique, j'ai un très bon firewall sur mon routeur et j'avais un très bonne chaines iptable de config. Malheureusement, mes logs y sont passé par la même occaz donc je peux rien dire quant à une éventuelle intrusion du net. Enfin, les logs de mon routeur ne me signal rien donc...

Après, peu importe... Ce qui me préoccupe pour le moment, c'est réparer cet incident vite fait bien fait. Je repasserais sur la sécurité après

Vous croyez que je dois réinstaller une gentoo sur le serveur ?
_________________
JPW@lker
Ride & Enjoy
;-)

Enlight · Posted: Wed Apr 20, 2005 9:58 am Post subject:

Ben honnetement, partitions formatées et fstab modifié, ça pue la backdoor, donc là oui je ferais carrément un cat /dev/zero sur tout le DD puis je réinstallerai.

jpwalker · Posted: Wed Apr 20, 2005 12:06 pm Post subject:

Une autre question... Mon clavier ne fonctionne plus au démarrage du serveur, à l'écran ou l'on accède au BIOS ou aux SCSI utilities (différents clavier on été testé). Une idée ?

PS : je crois que la poisse ne va pas s'arrêter de si tot

_________________
JPW@lker
Ride & Enjoy
;-)

rg421 · Posted: Wed Apr 20, 2005 3:16 pm Post subject:

Euh... Panne électrique, suivie de panne soft, suivie de défaut hard au niveau du BIOS: tu viendrais pas de cramer une carte mère :?:

--
Renaud

Trevoke · Advocate Joined: 04 Sep 2004 Posts: 4099 Location: NY, NY

Ca pue la fumee magique..
Tu sais que si tu laisses la fumee magique sortir, ca marche plus..
_________________
Votre moment detente
What is the nature of conflict?

jpwalker · Posted: Wed Apr 20, 2005 3:50 pm Post subject:

Non j'irais pas jusqu'à une carte mère cramer étant donner que le système boot... C'est juste que mon /var est vide ! A pu rien dedans

Et le plus étrange, c'est que le clavier fonctionne une fois sous linux :roll:

Je sens que ça commence à sentir le paranormal...

Mon gros problème c'est surtout ce /var vide. Y a t-il une commande magique (excepté la réinstalle) pour reconstruire /var ? Parceque mise à part ça, le système fonctionne tip top.

Merci

_________________
JPW@lker
Ride & Enjoy
;-)

El_Goretto · Moderator Joined: 29 May 2004 Posts: 3169 Location: Paris

Si j'étais parano, je dirais que, ah, tiens, c'est marrant, les logs étaient tous sur la partition qui a disparou, hihihihi...

penguin_totof · Posted: Wed Apr 20, 2005 4:41 pm Post subject:

rg421 · Posted: Wed Apr 20, 2005 5:21 pm Post subject:

Je ne comprends plus rien: je résume.

En allant au boulot un jour, tu trouves ton serveur arrêté. tu le rallumes, découvre que le clavier (et après test, tous les claviers) ne permet plus de rentrer dans le bios ni de la carte mère, ni des cartes scusi. De plus la partition /var n'existe plus, et le fstab a été modifié (c'est quoi la modif au fait).

Bon, prenons dans l'ordre ([EDIT]) ordre inverse... :oops:

[/EDIT]):
1/soit le RAID est parti en vrille donc sdc et sdd sont désynchronisés: essaye de monter l'un et l'autre séparément pour voir ce que ça donne. Je n'y crois pas: sda et sdb aurait un problème aussi, à moins qu'ils ne soient pas sur la même chaine scsi.

2/soit ton fs possède des outils pour récupérer les données, à voir en fonction du fs; je ne suis pas un expert mais on peut trouver des choses sur le net. On en trouve dans google avec par exemple "récupération fichier ext3", il en sort pas mal.

3/Euh... il y a un truc qui s'appelle rsync, éventuellement dump, peut-être même amanda. Je sais: c'est trop tard pour cette fois ci, mais pas pour la prochaine.

4/tes données se trouve dans /var, avant montage de sdc. essaie de ne monter que / pour voir ce qu'il y a dans tes directory. Tu récuperea peut-être quelque chose.

Prochaines idées un peu plus tard... :oops:

mais je ne vois pas trop comment récupérer autrement une partition.
--
Renaud

jpwalker · Posted: Thu Apr 21, 2005 6:24 am Post subject:

Merci à tous

Pour ce qui est du piratage, la piste devient de moins en moins problable... Par contre, un sérieux planatge de la carte scsi est plus probable. Donc ma configuration disque d'origine, cité dans le premier poste, avait changé de la manière suivante :