Bonjour,
je retrouve régulièrement sur mon serveur (debian squeeze )des fichiers qui se créent tous seul avec des
noms plus que bizarre .
ex : ??p?8? , P???;? , ?F???
Je ne sais pas comment il se créent et comment résoudre ce problème.
merci
Donne nous un “ls -la” d’un répertoire ou se sont créé les fichiers, ça nous aidera a comprendre
Hello,
Ne serait-ce pas un système de fichier en NFS ou un montage SSH, voire même un FAT un peu abimé ?
LeDub qui, même le dernier jour du monde, aide toujours.
Il s’agit d’un serveur ovh.
J’avais eu le malheur de faire un chown -r www-data:www-data / à une époque qu j’ai réussi à “rattraper” vaguement à un moment mais les symlink en www-data:www-data ne sont pas bon je pense.
voilà un ls -la du root , où se créer les fichiers.
rwxr-xr-x 26 www-data www-data 4096 20 déc. 16:08 .
drwxr-xr-x 26 www-data www-data 4096 20 déc. 16:08 ..
-rw-r--r-- 1 root root 0 23 nov. 17:21 100K
-rw-r--r-- 1 root root 0 23 nov. 17:21 100Ko
-rw-r--r-- 1 root root 0 3 déc. 20:06 ?ݔ98?
drwxr-xr-x 2 root root 4096 24 nov. 12:04 bin
drwxr-xr-x 3 root root 4096 17 oct. 19:21 boot
drwxr-xr-x 14 root root 2980 17 déc. 19:33 dev
drwxr-xr-x 105 root root 4096 17 déc. 21:52 etc
-rw-r--r-- 1 root root 0 2 déc. 06:26 ?F????
drwxr-xr-x 15 root root 4096 17 déc. 21:40 home
lrwxrwxrwx 1 www-data www-data 30 30 mars 2012 initrd.img -> boot/initrd.img-2.6.32-5-amd64
drwxr-xr-x 14 root root 12288 29 nov. 21:05 lib
drwxr-xr-x 2 root root 4096 17 oct. 19:13 lib32
drwxr-xr-x 2 root root 4096 17 oct. 19:14 lib64
drwxr-xr-x 2 root root 16384 30 mars 2012 lost+found
drwxr-xr-x 3 root root 4096 30 déc. 2010 media
drwxr-xr-x 2 root root 4096 13 nov. 2010 mnt
drwxr-xr-x 7 root root 4096 24 nov. 12:02 opt
-rw-r--r-- 1 root root 870 16 déc. 06:26 P???;?
-rw-r--r-- 1 root root 0 11 déc. 12:48 ??p?8?
-rw-r--r-- 1 root root 10777 13 juin 2012 pass
-rw-r--r-- 1 root root 979 10 déc. 00:01 php_errors.log
dr-xr-xr-x 230 root root 0 17 déc. 19:33 proc
-rw-r--r-- 1 root root 0 25 nov. 06:26 ???R??
drwxr-xr-x 10 root root 4096 20 déc. 23:01 root
drwxr-xr-x 18 root root 740 21 déc. 06:26 run
drwxr-xr-x 2 root root 12288 17 oct. 19:17 sbin
drwxr-xr-x 2 root root 4096 21 juil. 2010 selinux
drwxr-xr-x 3 root root 4096 11 juin 2012 server
drwxr-xr-x 2 root root 4096 13 juin 2012 serverCA
drwxr-xr-x 2 root root 4096 30 déc. 2010 srv
drwxr-xr-x 13 root root 0 17 déc. 19:33 sys
drwxrwxrwx 6 root root 4096 21 déc. 21:13 tmp
drwxr-xr-x 12 root root 4096 17 oct. 19:14 usr
drwxr-xr-x 14 root root 4096 17 déc. 19:47 var
lrwxrwxrwx 1 www-data www-data 27 30 mars 2012 vmlinuz -> boot/vmlinuz-2.6.32-5-amd64
-rwxr-xr-x 1 root root 8355 17 déc. 19:48 webmin-setup.out
-rw-r--r-- 1 root root 0 3 déc. 20:04 ??Ґ??
Lancer un fsck au prochain reboot pour corriger d’éventuelles erreurs du système de fichiers
Ok merci je lance l’opération 
Salut,
grâce au ls, on voit qu’un des fichiers mystérieux a une taille non nulle
Tu pourrais nous poster un extrait de son contenu ? Peut-être une piste de son origine.
Ta machine me parait bizarre: Le noyau appartient à www-data, l’initrd aussi, tmp n’a pas le «sticky bit», tu as un php-errors.log appartenant à root (et non www-data) juste à la racine et non vide, un fichier pass lisible en lecture pour tous, des fichiers bizaroïdes avec des noms curieux.
Soit ta machine est compromise, soit tu fais tourner un serveur en root et celui ci à un bug dans son code. Je me demande si ton apache ne tourne pas en root: Les deux fichiers «100K» et «100Ko» crées, les autres avec des noms bizarres (dont un nom vide) me font dire que des tentatives d’executions de commandes à partir du serveur ont été essayées et que ton serveur tourne en root.
J’ai bon?
Le cat me donne ca :
find . -inum 24546 -exec cat {} \;
[23-Dec-2012 06:25:59] PHP Deprecated: Comments starting with '#' are deprecated in /etc/php5/apache2/php.ini on line 1882 in Unknown on line 0
[23-Dec-2012 06:25:59] PHP Deprecated: Comments starting with '#' are deprecated in /etc/php5/apache2/php.ini on line 1883 in Unknown on line 0
[23-Dec-2012 06:25:59] PHP Deprecated: Comments starting with '#' are deprecated in /etc/php5/apache2/php.ini on line 1884 in Unknown on line 0
[23-Dec-2012 06:25:59] PHP Deprecated: Comments starting with '#' are deprecated in /etc/php5/apache2/php.ini on line 1885 in Unknown on line 0
[23-Dec-2012 06:25:59] PHP Deprecated: Comments starting with '#' are deprecated in /etc/php5/apache2/php.ini on line 1886 in Unknown on line 0
[23-Dec-2012 06:25:59] PHP Deprecated: Comments starting with '#' are deprecated in /etc/php5/apache2/php.ini on line 1887 in Unknown on line 0
[quote=“fran.b”]Ta machine me parait bizarre: Le noyau appartient à www-data, l’initrd aussi, tmp n’a pas le «sticky bit», tu as un php-errors.log appartenant à root (et non www-data) juste à la racine et non vide, un fichier pass lisible en lecture pour tous, des fichiers bizaroïdes avec des noms curieux.
Soit ta machine est compromise, soit tu fais tourner un serveur en root et celui ci à un bug dans son code. Je me demande si ton apache ne tourne pas en root: Les deux fichiers «100K» et «100Ko» crées, les autres avec des noms bizarres (dont un nom vide) me font dire que des tentatives d’executions de commandes à partir du serveur ont été essayées et que ton serveur tourne en root.
J’ai bon?[/quote]
Euhhh … là ca dépasse mes compétences.
Tout ce que je peux te dire c’est que j’avais fais une connerie il y a pas mal de temps en faisant un
chown -r depuis le root.
J’avais réussi à rétablir un peu les choses grace à rkhunter mais il est clair que le serveur est bizarre depuis.
J’hésite à tout réinstaller mais … grosse dose de boulot en perspective.
Pas forcément une grosse dose, fran.b a écrit un billet intéressant pour cela :
https://www.debian-fr.org/remettre-une-machine-a-zero-t19511.html
J’ai un peu peur de faire une connerie !
Ca n’efface pas les données ?
Le serveur dédié est un debian squeeze chez ovh et j’ai changé le noyeau par rapport à l’install
de Ovh.
Désolé mais je suis vraiment très moyen en Linux
Hum, après réflexion et relecture de la remarque de fran.b, je ne pense pas que la remise à zéro soit une bonne idée.
Faut avouer qu’il y a des trucs un petit peu tordus dans le résultat du ls.
Je conseillerais :
- une sauvegarde des données,
- une réinstallation depuis l’interface web d’ovh.
Ok …
En attendant :
Apache à l’air de bien tourner sous www-data :
ps aux | egrep '(apache|httpd)'
root 12866 0.0 0.1 398832 21612 ? Ss 15:05 0:00 /usr/sbin/apache2 -k start
www-data 12874 0.1 0.4 424724 65928 ? S 15:05 0:00 /usr/sbin/apache2 -k start
www-data 12875 0.1 0.3 426780 58076 ? S 15:05 0:00 /usr/sbin/apache2 -k start
www-data 12876 0.0 0.0 398972 12060 ? S 15:05 0:00 /usr/sbin/apache2 -k start
www-data 12877 0.0 0.0 399416 11240 ? S 15:05 0:00 /usr/sbin/apache2 -k start
www-data 12878 0.0 0.0 398832 10108 ? S 15:05 0:00 /usr/sbin/apache2 -k start
www-data 12879 0.0 0.0 398832 10104 ? S 15:05 0:00 /usr/sbin/apache2 -k start
www-data 12881 0.0 0.0 398832 10104 ? S 15:05 0:00 /usr/sbin/apache2 -k start
www-data 12882 0.0 0.0 398832 10104 ? S 15:05 0:00 /usr/sbin/apache2 -k start
www-data 12883 0.0 0.0 398832 10104 ? S 15:05 0:00 /usr/sbin/apache2 -k start
www-data 12884 0.0 0.0 398832 10104 ? S 15:05 0:00 /usr/sbin/apache2 -k start
www-data 12885 0.0 0.0 398832 10104 ? S 15:05 0:00 /usr/sbin/apache2 -k start
www-data 12886 0.0 0.0 398832 10104 ? S 15:05 0:00 /usr/sbin/apache2 -k start
root 13142 0.0 0.0 9780 976 pts/0 S+ 15:08 0:00 egrep (apache|httpd)
et j’ai fais quelques modifs à la racine , voilà un nouveau ls -l :
drwxr-xr-x 2 root root 4096 24 nov. 12:04 bin
drwxr-xr-x 3 root root 4096 17 oct. 19:21 boot
drwxr-xr-x 14 root root 2980 23 déc. 13:32 dev
drwxr-xr-x 105 root root 4096 17 déc. 21:52 etc
drwxr-xr-x 15 root root 4096 17 déc. 21:40 home
lrwxrwxrwx 1 root root 30 30 mars 2012 initrd.img -> boot/initrd.img-2.6.32-5-amd64
drwxr-xr-x 14 root root 12288 29 nov. 21:05 lib
drwxr-xr-x 2 root root 4096 17 oct. 19:13 lib32
drwxr-xr-x 2 root root 4096 17 oct. 19:14 lib64
drwxr-xr-x 2 root root 16384 30 mars 2012 lost+found
drwxr-xr-x 3 root root 4096 30 déc. 2010 media
drwxr-xr-x 2 root root 4096 13 nov. 2010 mnt
drwxr-xr-x 7 root root 4096 24 nov. 12:02 opt
-rwxrwx--- 1 root root 10777 13 juin 2012 pass
dr-xr-xr-x 182 root root 0 23 déc. 13:31 proc
drwxr-xr-x 10 root root 4096 23 déc. 15:05 root
drwxr-xr-x 18 root root 720 23 déc. 15:05 run
drwxr-xr-x 2 root root 12288 17 oct. 19:17 sbin
drwxr-xr-x 2 root root 4096 21 juil. 2010 selinux
drwxr-xr-x 3 root root 4096 11 juin 2012 server
drwxr-xr-x 2 root root 4096 13 juin 2012 serverCA
drwxr-xr-x 2 root root 4096 30 déc. 2010 srv
drwxr-xr-x 13 root root 0 23 déc. 13:31 sys
drwxr-xr-t 6 root root 4096 23 déc. 15:09 tmp
drwxr-xr-x 12 root root 4096 17 oct. 19:14 usr
drwxr-xr-x 14 root root 4096 17 déc. 19:47 var
lrwxrwxrwx 1 root root 27 30 mars 2012 vmlinuz -> boot/vmlinuz-2.6.32-5-amd64
-rwxr-xr-x 1 root root 8355 17 déc. 19:48 webmin-setup.outest ce que vous voyez des choses à changer ?
Merci pour votre aide
Bon, ce que tu peux eventuellement faire est de regarder dans les logs d’apache si aux heures de créations de ces fichiers (par exemple 2 décembre à 6:26, etc) il y a eu des requêtes curieuses.
Pour le reste, si tu as eu des soucis de changement de propriétaires de fichiers ça explique en partie les soucis. Essaye de voir quels fichier n’appartiennent pas à root par
[code]# cd /
ls -lR usr bin sbin opt | grep -v root | grep “^-”
[/code] et éventuellement
[code]# cd /
ls -lR var | grep -v root | grep “^-”
[/code]
puis à www-data par
[code]# cd /
ls -lR var/www | grep -v www-data | grep “^-”
[/code]
J’ai regardé mais les listes de fichiers sont si longues… que je vois pas où intervenir et surtout où ne pas intervenir.
@fran.b : est ce que ta solution à cette adresse pourrait être executée sur mon serveur ?
uname -a me donne :
Linux monserveur.ovh.net 2.6.32-5-amd64 #1 SMP Thu Mar 22 17:26:33 UTC 2012 x86_64 GNU/Linux
[code]dpkg --get-selections | grep "^linux-image"
linux-image-2.6-amd64 install
linux-image-2.6.32-5-amd64 install
dpkg --get-selections | grep "firmware"
firmware-linux-free
[/code]
Si tu te réfère à la remise à zéro de la machine ça n’est pas forcément une bonne idée car tu effaces vraiment tout y compris les configurations. Tu peux éventuellement reinstaller les paquets. Met tes listes de fichiers obtenus sur le pastebin d’isalo, on verra ce que ça donne.
Bon je vais encore faire mon newb … désolé :
Pour réinstaller les paquets et pour la liste des fichiers obtenus, tu conseilles quoi comme commande ?
Merci encore de ta patience.
Pour reinstaller, tu fais un apt-get install --reinstall
Ainsi pour reinstaller apache, ce serait
Ok ,
dernière question , la réinstallation des paquets effacent les fichiers de config ?
Merci pour ton aide