probleme bizzard ss apache

probleme bizzard ss apache - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 03-01-2003 à 13:49:43    

voila, je suis rentre chez moi un bo jour et mon srv apache ne fonctionne plus! :cry:  
lorsque je le relance, il me dit :

Citation :

[quote] apachectl restart
Lancement de httpd-perl : httpd-perl: bad user name apache
                                                                [ERREUR]
Lancement de httpd : httpd: bad user name apache
                                                                [ERREUR]
httpd-perl: bad user name apache
                                                                [ERREUR]
httpd: bad user name apache
                                                                [ERREUR]
httpd-perl: bad user name apache
                                                                [ERREUR]
httpd: bad user name apache
                                                                [ERREUR]


 
C'est bizzard car ca fait plus de 7 mois qu il tourne non stop :??:  
 
Merci de votre aide c super important
 


---------------
http://nikauch.dyndns.org/board/
Reply

Marsh Posté le 03-01-2003 à 13:49:43   

Reply

Marsh Posté le 03-01-2003 à 14:20:09    

T'a regarder dans ton fichier de configuration (httpd.conf).
Y a pas mal de site en fancais avec des tutoriaux pour la conf d'apache

Reply

Marsh Posté le 03-01-2003 à 14:28:35    

j ai regarde au niveau de la conf et la ligne qui me fai erreur est en rapport avec le ssl.
 
Mais j aimerai bien comprendre pourquoi tout a coup il me fait ca!!
 
MAis bon mon pb principal et de le refaire fonctionner le plus rapidement possible
 
merci encore


---------------
http://nikauch.dyndns.org/board/
Reply

Marsh Posté le 03-01-2003 à 14:36:38    

Sans autre expliquation ca va pas être évident de t'aider  :heink:

Reply

Marsh Posté le 03-01-2003 à 14:42:41    

ba ecoute je sai pas koi te dire mais si tu ve je pe te mettre mon fichier de conf??
 
 


---------------
http://nikauch.dyndns.org/board/
Reply

Marsh Posté le 03-01-2003 à 15:00:12    

cat /etc/passwd | grep apache
peut-etre qu'en faisant une MAJ ca a modif les comptes inactifs (genre apache en www)

Reply

Marsh Posté le 03-01-2003 à 15:13:59    

je n ai aucun compte apache ds mon /etc/passwd
 
............ :??:  :??:


---------------
http://nikauch.dyndns.org/board/
Reply

Marsh Posté le 03-01-2003 à 15:22:04    

soit tu crees un group apache (groupadd) et un user inactif apache (useradd)
 
soit tu fait un grep -r 'User' /etc/apache/ et tu modifie la ligne de conf "User" et "Group" (sous deb par ex, ca se trouve dans  /etc/apache/httpd.conf et le user par default c www-data)

Reply

Marsh Posté le 03-01-2003 à 15:22:48    

j'arrive un peu a la bourre mais le message d'erreur est quand même assez clair :)
 

Code :
  1. bad user name apache


 
Peut etre qu'ne le recréant ca peut passer.
 
et un petit :  grep www-data /etc/passwd
 
ca donne quoi ?

Reply

Marsh Posté le 03-01-2003 à 19:52:00    

le grep ne donne rien
je vais recreer un groupe et un user pour voir


---------------
http://nikauch.dyndns.org/board/
Reply

Marsh Posté le 03-01-2003 à 19:52:00   

Reply

Marsh Posté le 03-01-2003 à 19:56:06    

il me dit ca maintenant

Citation :

Lancement de httpd-perl : httpd-perl: bad user name apache
                                                                [ERREUR]
Lancement de httpd : Syntax error on line 107 of /etc/httpd/conf/httpd.conf:
Cannot add module via name 'mod_ssl.c': not in list of loaded modules
                                                                [ERREUR]
httpd-perl: bad user name apache
                                                                [ERREUR]


---------------
http://nikauch.dyndns.org/board/
Reply

Marsh Posté le 03-01-2003 à 20:46:37    

Il est chroote ton apache ?
C'est quoi ta distrib ?
Essaie de faire tourner chkrootkit pour verifier que tu n'as pas de rootkit d'installe...
 

Reply

Marsh Posté le 03-01-2003 à 21:01:28    

explique moi ce que c est que chrooter un serveur????
 
 
Ma distrib est une mandrake 8.2
 
et c koi chrootkit et rootkit??
merci mec


---------------
http://nikauch.dyndns.org/board/
Reply

Marsh Posté le 04-01-2003 à 13:36:40    

ba alors y a plus personne pour me filer un coup de main?


---------------
http://nikauch.dyndns.org/board/
Reply

Marsh Posté le 04-01-2003 à 13:46:40    

chrooter ca veut dire tout simplement que t'es router vers un repertoire (bloquer a la racine du site www pour ne pas que les users malveillants reviennent a la vrai racine "/" )
rootkit c un utilitaire qui permet de verifier si t'as distrib ne contient pas des backdoors :) (des failles laisser par certaines perosnnes ou logiciels)
 
@++

Reply

Marsh Posté le 04-01-2003 à 14:09:35    

ok merci pour ces explications  
 
 
Mais est ce que quelqu un pe m aider a trouver la cause de mon probleme...... ou m aider a le reparrer.
merci :jap:


---------------
http://nikauch.dyndns.org/board/
Reply

Marsh Posté le 04-01-2003 à 15:54:32    

voici le resulta du chkrootkit

Citation :

ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not infected
Checking `grep'... not infected
Checking `hdparm'... not found
Checking `su'... not infected
Checking `ifconfig'... INFECTED
Checking `inetd'... not tested
Checking `inetdconf'... not found
Checking `identd'... not found
Checking `killall'... not infected
Checking `ldsopreload'... not infected
Checking `login'... INFECTED
Checking `ls'... not infected
Checking `lsof'... not infected
Checking `mail'... not infected
Checking `mingetty'... not infected
Checking `netstat'... not infected
Checking `named'... not infected
Checking `passwd'... not infected
Checking `pidof'... not infected
Checking `pop2'... not found
Checking `pop3'... not found
Checking `ps'... not infected
Checking `pstree'... INFECTED
Checking `rpcinfo'... not infected
Checking `rlogind'... not found
Checking `rshd'... not found
Checking `slogin'... not infected
Checking `sendmail'... not found
Checking `sshd'... not infected
Checking `syslogd'... not infected
Checking `tar'... not infected
Checking `tcpd'... not infected
Checking `tcpdump'... not infected
Checking `top'... not infected
Checking `telnetd'... not found
Checking `timed'... not found
Checking `traceroute'... not found
Checking `w'... not infected
Checking `write'... not infected
Checking `aliens'... no suspect files
Searching for sniffer's logs, it may take a while... nothing found
Searching for HiDrootkit's default dir... nothing found
Searching for t0rn's default files and dirs... nothing found
Searching for t0rn's v8 defaults... Possible t0rn v8 (or variation) rootkit installed
Searching for Lion Worm default files and dirs... nothing found
Searching for RSHA's default files and dir... nothing found
Searching for RH-Sharpe's default files... nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while...  
/lib/security/.config
/lib/security/.config
Searching for LPD Worm files and dirs... nothing found
Searching for Ramen Worm files and dirs... nothing found
Searching for Maniac files and dirs... nothing found
Searching for RK17 files and dirs... nothing found
Searching for Ducoci rootkit... nothing found
Searching for Adore Worm... nothing found
Searching for ShitC Worm... nothing found
Searching for Omega Worm... nothing found
Searching for Sadmind/IIS Worm... nothing found
Searching for MonKit... nothing found
Searching for Showtee... Warning: Possible Showtee Rootkit installed
Searching for OpticKit... nothing found
Searching for T.R.K... nothing found
Searching for Mithra... nothing found
Searching for OBSD rk v1... nothing found
Searching for LOC rootkit ... nothing found
Searching for Romanian rootkit ...  /usr/include/file.h /usr/include/proc.h
Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... not infected
Checking `lkm'... You have     4 process hidden for ps command
Warning: Possible LKM Trojan installed
Checking `rexedcs'... not found
Checking `sniffer'...  
eth0 is not promisc
eth1 is not promisc
ppp0 is not promisc
Checking `wted'... nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'...  
nothing deleted
 


---------------
http://nikauch.dyndns.org/board/
Reply

Marsh Posté le 04-01-2003 à 16:27:51    

merci d'avoir utilisé norton linux safe  :whistle:  :whistle:  :ange:


---------------
Bitcoin, Magical Thinking, and Political Ideology
Reply

Marsh Posté le 04-01-2003 à 17:14:34    

pu......
 
Je vien juste de voir que mon rep /www/html a DISPARUS!!!!
 
 
Savez vous comment est ce possible??
 :fou:  :fou:  :fou:  :fou:  :fou:  :fou:  :fou:


---------------
http://nikauch.dyndns.org/board/
Reply

Marsh Posté le 05-01-2003 à 12:16:54    

Tu es bien infecte par un rootkit, (c'est marque dessus par exemple: ifconfig INFECTED).
 
Il faut que tu le vires vite fait et que tu mettes a jour ton systeme avec les patches de vulnerabilites, que tu chrootes ton serveur web, que tu fasses le menage dans les services qui tournent et que tu configures un firewall pour eviter que les petits rigolos reviennent sur ta machine...

Reply

Marsh Posté le 05-01-2003 à 12:26:19    

Il faut que tu reinstalles tout, maheureusement, et que tu te proteges mieux:
Searching for Showtee... Warning: Possible Showtee Rootkit installed
Warning: Possible LKM Trojan installed  
 
C'est pas bon pour toi ca...
 
Si d'autres machines etaient connectees, verifie les aussi, parce que tu as toutes les chances qu'elles soient aussi infectees...

Reply

Marsh Posté le 05-01-2003 à 14:09:33    

et bien j ai effectivement un reseau derriere mon nux mais ce sont des machines sous win ss importances.
 
Sinon comment faire pour virer tout ces truks?
de plus ds un des fichiers de log j ai trouver ca

Citation :

Jan  5 04:32:18 localhost proftpd[11235]: localhost.localdomain (pD9009C08.dip.t-dialin.net[217.0.156.8]) - ANON anonymous: Login successful.
Jan  5 05:01:01 localhost msec: changed mode of /var/log/security/open_port.today from 644 to 640
Jan  5 05:01:01 localhost msec: changed mode of /var/log/security/suid_root.today from 644 to 640
Jan  5 05:01:01 localhost msec: changed mode of /var/log/security/suid_group.today from 644 to 640
Jan  5 05:01:01 localhost msec: changed mode of /var/log/security/unowned_group.today from 644 to 640
Jan  5 05:01:01 localhost msec: changed mode of /var/log/security/writeable.today from 644 to 640
Jan  5 05:01:01 localhost msec: changed mode of /var/log/security/suid_md5.today from 644 to 640
Jan  5 05:01:01 localhost msec: changed mode of /var/log/security/unowned_user.today from 644 to 640
Jan  5 06:01:02 localhost msec: changed mode of /var/log/samba/log.smbd from 644 to 640


 
vous en pensez koi?


Message édité par nikauch le 05-01-2003 à 14:23:41

---------------
http://nikauch.dyndns.org/board/
Reply

Marsh Posté le 06-01-2003 à 12:37:56    

Bah comme je te l'ai dit, il est FORTEMENT conseille de reformater et reinstaller tout PROPREMENT. Il faut aussi que tu passes un coup de detecteur de trojan sur toutes les machines derriere, que ce soit des Windows ou des Linux.
 
La tu as typiquement un gars qui a pris la main sur ta machine en tant que root, et qui s'amuse. Je ne crois pas qu'il y connaisse grand chose, sinon il aurait efface les logs. Plutot un petit malin qui a telecharge un programme sur le Web et qui l'a testé sur toi...

Reply

Marsh Posté le 06-01-2003 à 16:45:38    

mais kel fils de .... j y crois pas, ce que je vais faire, c regarder mes logs et des que je vais en voir des bizzards, je vais les envoyes a mon fournisseur d acces et pi on verra bien ce qui ce passera
 
 
merci
 
je pense mettre une debian avec un sys de detec d intrusion etun firrwall

Reply

Marsh Posté le 06-01-2003 à 16:46:26    

]mais kel fils de .... j y crois pas, ce que je vais faire, c regarder mes logs et des que je vais en voir des bizzards, je vais les envoyes a mon fournisseur d acces et pi on verra bien ce qui ce passera
 
 
merci
 
je pense mettre une debian avec un sys de detec d intrusion etun firrwall vous en pensez koi?

Reply

Marsh Posté le 06-01-2003 à 17:06:04    

que msec c'est un service (je l'ai sur ma Mandrake) qui maintient un cetains niveau de sécurité ex : te remet les droits qu'il faut sur un truc sensible comme sudoers au cas où toi (ou quelqu'un de malintentionné) les aurais changé


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed