En l'espace d'un quart d'heure, suis passe d'un serveur fonctionnel blindé de données a un systeme qui ne boote plus (Kernel panic: init not found), vide de toutes ses partitions (j'avais pas mal de données, je stocke rien sur CD vierges).  
De 160Go, je passe à 0, ou presque...
 
Ce qu il reste:
 
ping, su et xlogin   dans /bin
initctl              dans /dev
slocate, passwd      dans /usr/bin
lsof                 dans /usr/sbin
 
C tout, qq repertoires vides.
 
j'avais ssh, apache, proftpd et mldonkey qui tournait.
 
Voila, des malins qui aiment faire chier (et la c gagné!!) les gens.
Reinstall, achat de mouchoirs.
Debian Woody, non patchée pour ptrace.

 
 
Ne touche à rien pour le moment. Débranche la machine du réseau.

ah ouais quand même

Je crois que je vais désactiver apache et proftpd moi  

 
Oui je suis a la recherche d'un eventuel miracle : je trouve undelete mais ca a l'air chaud.
 
Partitions sous Ext3, j'ai visualise ce kil "restait" avec knoppix, partitions montees en readonly, mauvais choix?

non, c'est bon  
 
commence par lire ça :
 
http://www.certa.ssi.gouv.fr/site/ [...] tml.2.html

> C fait.
 

> C vous
 

> Suis pas une entreprise
 

> 160 Go
 

> Je vous ai tout dit
 
 

il y a peut-être des traces des logs sur le disque essaye de contacter un CERT (ou même le CERTA) ils pourront peut-être t'aider.

Tu as encore la commande find ?

 
Non, je n'ai que ce que j'ai dit plus haut

 
il m'est avis que ça viendrait plutot de mldonkey moi m'enfin bon ... après ça dépend comment tu configures le tout  
 
on est pas censé démarré ses démons en user déprivilégié pour éviter ce genre de pb ? t'as pris un coup de ptrace dans la tronche ?

Ote moi d'une doute.
Tu avais un firewall et chroote tes services ?

 
Oué mais moi je lance mldonkey par mon utilisateur sans privilège particuliers sur l'OS, mais qui possède pas mal de fichiers (mon répertoire Download entre autres).
Je crois que je vais créer un user spécial mldonkey ...

 
putain il t'ont pas loupé quand même
t sur que t'as pas fait une connerie ? on sait jamais  
je trouve toujours étrange que des petits cons s'en prenne aux honnetes gens plutot qu'aux entreprises
et puis le ptrace ça ne se fait pas comme ça aussi, faut bien pouvoir se logguer sur la machine  

 
j'utilise un user spécial pour mldonkey, et un autre pour folding
dès que je ne suis pas sur du prog, je le lance avec son propre user
parce que le système est une chose, mais mes fichiers perso sonttrès important aussi

 
Oui, de toute façon, méfie toi de toutes les commandes parce qu'elles sont sans doute été modifiée pour cacher des trucs...
 
Ce que tu peux faire, c'est commencer par recompiler la commande ls et la commande find. Tu peux trouver les sources sur le web ou prends des bin sur une machine dont tu es sûr qu'elle n'a pas été modifié. Pour info mon ls et mon find font :
60K     /usr/bin/find
76K     /bin/ls
 
 
Au passage, tu peux regarder si tes commandes n'ont pas été compromises en mattant la taille :
24K     su
20K     ping
 
Normalement, ils se sont pas embêtés puisque qu'ils ont tout viré comme des porcs  

 
 
Ne serait-il pas plus simple de réinstaller sa Debian sans toucher aux partitions qui contenaient ses données ?

Franchement, chercher à rebooter à partir du même disque, même sur une autre partition, je n'y crois pas.
AMHA, tu récupère un vieux disque 4Go, tu format-installe, puis tu branches ton disque 160 Go et là du essaies
de récupérer avec undelete SUR l'AUTRE DISQUE par paquets de 650 Mo (pour pouvoir graver).
Tu ne peux avoir aucune confiance dans le disque de 160 Go; qu'est-ce qui te dis qu'il n'a pas mis-à-jour
ton secteur de démarrage ? Ton kernel ? etc.

 
ça dépand de ce qu'il veut faire.
Personnellement, je chercherais à savoir comment l'intru est entré sur mon système afin d'éviter que ça recommence (et pourquoi pas aller plus loin : qui est rentré exactement ?) et pour ça, il ne faut rien toucher (ou alors faire une copie physique du disque aved dd) mais si effectivement il s'en tape, alors oui, il peut très bien réinstaller le système tout de suite !

 
booter dessus avec knoppix ?

 
Alors je bataille sur le net pour trouver des solutions de recuperation de données.
Ce qui est conseille c'est de faire une image de mon disque (dd).
Ma partitions avec toutes mes donnees fait 120Go. Je ne veut pas racheter un disque.
 
J'avais du boulot dessus, mais surtout des fichiers media (divx & mp3).
 
Ce qui est embetant c'est que je ne peux pas voir si des utilisateurs style apache/apache avait un shell en se connectant (je faisais pas mal de tests donc possible).
 
POur repondre à Albator, les fichiers sont les memes. Il n'a pas modifié ces commandes.
 
Je ne pense pas retrouver mes donnees, faut juste que je fasse gaffe a la securité dans le futur.., bonne morale
 
j'ai fouillé avec knoppix, rien trouvé de suspect.. je vais me mettre a reinstall (je suis en periode de stage et j'avais fais un site catalogue pour les entreprises contactees, faut que j'en refasse un: ca fait pas serieux une 404).

pour ton site, tu peux toujours regarder si il ets pas dans le cache de google ou sur www.archive.org

Je connaissais pas... merci
Il ne l'ai pas, de tte facon c'etait un truc en php donc pour les sources c'est ds mon q
J'ai reinstall la woody. apt-get upgrade avec les mises à jour sécurité, et pas mal de recherches de securisation, c'est promis!!

pour utiliser la faille ptrace faut avoir un compte user sur la machine c quand meme hard a obtenir comme truc meme si la faille est simple a exploiter. par contre les failles apaches et samba sont beaucoup plus simple a exploiter et c peut etre par la que tu t fais hacker.  
 
ps: juste un truc mettre un mldonkey sur un server c pas tres malin meme si tu le lances en simple user vaut mieux faire ca sur une autre station
 
@++

ah mais c horrible  
 
ca me fe peur moi car j ai pareil sur ma passerelle : apache + php et mldonkey  
 
bon va falloir patcher mon kernaille je crois