bonjour
 
Je n'arrive plus   me logguer sur ma machine ... je m'explique ...
 
-Un beau jour alors que tout marchait correctement, je tente de me  
loguer en tant que root et il me dis que le mot de passe n'est pas bon  
.... hum ... premier reflex : reboot ... (hard reset forcement)
 
du coup au d marrage pleins de messages inhabituels :
 
    EXT3-fs: INFO: recovery required on readonly filesystem
    segmentation fault au niveau du lancement de proftpd ...
 
-et le plus grave, c que lors de l'invitation   se logguer .. qq que  
soit le login,  a refuse et revient   la case d part ... ceci  
aussi bien depuis ssh, le terminal, ou vnc+xdm ....
 
J'ai boot  sur le disk rescue ... g commenc  par faire pleins de  
fsck.ext3 sur les partitions ... rien n'y fait ...
 
j'ai ensuite regard  dans les logs ... le plus interressant etant  
/var/log/auth  qui me dit :
 
     /bin/login permission denied
 
hum hum ... avec un ls -l j'obtient :
 
    -rw-rw-rw-    1    root     root            0 apr 28 login  
 
je tente un chmod mais il veut pas ... alors que normalement en rescue  
je suis seul maitre   bord ??!!!
 
voil , je tate du linux depuis qq mois seulement, donc g encore mes  
reflexes de Windowiens, alors peut etre que j'ai oubli  des trucs ??  
 
qq   des id es ? qq pourrait m'aider ??!!!
 
 
ça sent le rootkit ..
 
en copiant le login à la place de l'autre, il veut pas ... [Opération non permise] .. g dl sur disquette le .deb login
et lors de son install il veut pas remplacer le /bin/login à 0
 
 
je suis en root en Single user mode ... qq à une idée pour effacer cette
verrue ? (une commande que je ne maitrise pas ?)

Faut pas booter sur le système, même en mode rescue ou single user.
 
Utilises un CD du style Knoppix pour booter, monter/checker les partitions et remplacer les utilitaires douteux (ls, netstat, login, ssh, ps, su, top, etc...)

hum... g aussi essayé ... boot avec la disquette d'install debian ... montage de la partition / sous /mnt ... et pas possible de remplacer le login...
 
apparament il a été locké au niveau du VFS alors que moi je l'attaque au nivo des perms ext3 ...  
 
qq à des idées ?!
 
merci

Si tu bootes avec un autre noyau et un autre système (genre la disquette debian) tu peux pas avoir de verouillage autre qu'au niveau de l'ext3...
 
Regardes si y'a pas l'attribut spécial "immutable" d'activé sur le fichier à l'aide de lsattr (et chattr pour l'enlever)

j'ai tenté aussi le chattr -i
 
pas ok ...
 
 
sinon en formatant la partition / et en réinstallant dessus le systeme, ça pourrait fonctionner ? (en sauvegardant /etc/ /var /home and co) ?

ah oui tient j'y pense .. le chattr à ptet été changé .... hum hum ... faut que j'essayer autre chose

Oui ça devrait marcher... En espérant que le rootkit ne soit pas venu pourrir les scripts de /etc ...

merci pour tes réponses, je vais tester tout ça ce soir
 
je vais voir d'ailleurs s'il est interressant de passer de debian à autre chose ... mdk 9.1 ?

 
c'est pas dans ce sens là qu'il faut faire
 

 
je viens de lancer un thread à ce sujet

bon il est 23h30 ... je me lance dans le sauvetage de ma debian ...
 
 
je me lance en single user ... le demarage peine un peu ... qq. CtrL+c plus loin et j'ai le # ....
 
j'attaque le login ... il veut pas s'effacer :-(  
 
lsattr donne  
suSiadAc------ login  
 
mouais bof
 
bon je fais un lsattr sur le répertoire /bin et j'ai ps, ls, login qui ont les  même propriétés ... bof bof
 
bon je fait un chattr -suSiadAc login et les autre ... et ça marche
 
je dpkg -i login....deb et ça remplace le bon ... (aprrès un wget sur le pool d'un mirroirs, mon aptget ne marchant plus ...)
 
hum ...
 
bon je cherche les packages qui contiennent ps et ls ... ça me donne fileutils et procpc ... je les dl ... je les install ... ça merde ... grrr procpc peut pas ecraser top ...
 
 
humm ... /usr/bin comporte aussi des fichiers remplacés ... va falloir que fasse la même chose (top, find ...)
 
 
bon qq à une méthode pour trouver tout les fichier du systeme qui un lsattr égal à suSiadAc------
 
 
 
merci !