Etat bizarre
Résolu
A voir également:
- Etat bizarre
- Remettre pc etat usine - Guide
- Etat disque dur - Télécharger - Informations & Diagnostic
- Etat batterie pc portable - Guide
- Aide de l'état - Accueil - Maison
- Qbittorrent etat bloqué - Forum Logiciels
5 réponses
Bah le fait que /bin, /var, /usr etc... soient vide laissent présager deux hypothèses :
1) soit ces dossiers sont alimentés par une partition dédiée qui n'a pas été montée (voir /etc/fstab s'il y a de telles partitions)
2) soit quelqu'un a viré tout ce qui était dans ces dossiers.
Pour l'explication (1), comme je disais ça dépend beaucoup de ton partitionnement (RAID, LVM, partitions dédiées...). Ces commandes pourraient nous donner des informations :
Utilises-tu LVM ?
Le fait que /bin/sh ne puisse être exécuté est mauvais signe également. Ça explique pourquoi tu ne peux rien faire. Est-ce que ton /bin est vide ?
Bonne chance
1) soit ces dossiers sont alimentés par une partition dédiée qui n'a pas été montée (voir /etc/fstab s'il y a de telles partitions)
2) soit quelqu'un a viré tout ce qui était dans ces dossiers.
Pour l'explication (1), comme je disais ça dépend beaucoup de ton partitionnement (RAID, LVM, partitions dédiées...). Ces commandes pourraient nous donner des informations :
cat /etc/fstab sudo fdisk -l
Utilises-tu LVM ?
Le fait que /bin/sh ne puisse être exécuté est mauvais signe également. Ça explique pourquoi tu ne peux rien faire. Est-ce que ton /bin est vide ?
Bonne chance
Bonjour,
T'inquiète, je suis sur de mon partitionnement, j'ai deux partitions, une pour / et une pour /home.
Par sécurité, j'avais sorti un disque du miroir pour en conserver une copie en spare et j'ai pu vérifier, celui là, qui était dans un carton bien emballé était parfaitement correct, avec le même partitionnement mais il avait tout les dossiers qui vont bien dessus.
Je pense à une erreur de manipulation de quelqu'un qui n'ose dire "c'est moi qu'a merdé" ou dans le pire des cas, à un acte de malveillance, mais c'est énorme. Il faut avoir le mot de passe root, et nous sommes peu à l'avoir.
Mes mots de passe sont relativement robustes, mes clés SSH sont également relativement robustes...
Je peux accepter l'hypothèse d'un piratage (le gros mot de 8 lettres commençant par un p), mais je voudrais avoir des preuves.
En fait, il manque :
/bin
/var
/usr
/root
J'aurai bien voulu accéder au bash history de root, mais il faut que j'essaie de restaurer les dossier.
Hier j'ai cherché un peu sur Internet et j'ai trouvé foremost, il faut que j'apprenne à l'utiliser...
Ca me permettrait de résoudre l'énigme et d'éviter que cela ne se reproduise.
Quelqu'un connait foremost ?
C'est avec ça que j'essaie, mais je n'ai pas énormément de temps, c'est un serveur et j'aimerai le remettre en production rapidement.
Si quelqu'un peut me donner un coup de main sur la syntaxe, ce serait sympa.
Pour l'instant, j'ai bouté sur une clé Ubuntu et j'ai lancé la commande suivante :
(le disque étant vu comme /dev/sdb1)
$sudo su root (pour être root sans avoir à retaper sudo)
# foremost -d /dev/sdb1
Et la, il travaille, mais je ne sais pas exactement ce qu'il fait.
Ma dernière idée est de faire une image de la partition en question, avec dd, puis de remettre le serveur en production rapidement et de voir à tête reposée ce qui s'est passé, sans se précipiter.
A bientux.
Jonas.
Une idée reçue est souvent une idée morte.
T'inquiète, je suis sur de mon partitionnement, j'ai deux partitions, une pour / et une pour /home.
Par sécurité, j'avais sorti un disque du miroir pour en conserver une copie en spare et j'ai pu vérifier, celui là, qui était dans un carton bien emballé était parfaitement correct, avec le même partitionnement mais il avait tout les dossiers qui vont bien dessus.
Je pense à une erreur de manipulation de quelqu'un qui n'ose dire "c'est moi qu'a merdé" ou dans le pire des cas, à un acte de malveillance, mais c'est énorme. Il faut avoir le mot de passe root, et nous sommes peu à l'avoir.
Mes mots de passe sont relativement robustes, mes clés SSH sont également relativement robustes...
Je peux accepter l'hypothèse d'un piratage (le gros mot de 8 lettres commençant par un p), mais je voudrais avoir des preuves.
En fait, il manque :
/bin
/var
/usr
/root
J'aurai bien voulu accéder au bash history de root, mais il faut que j'essaie de restaurer les dossier.
Hier j'ai cherché un peu sur Internet et j'ai trouvé foremost, il faut que j'apprenne à l'utiliser...
Ca me permettrait de résoudre l'énigme et d'éviter que cela ne se reproduise.
Quelqu'un connait foremost ?
C'est avec ça que j'essaie, mais je n'ai pas énormément de temps, c'est un serveur et j'aimerai le remettre en production rapidement.
Si quelqu'un peut me donner un coup de main sur la syntaxe, ce serait sympa.
Pour l'instant, j'ai bouté sur une clé Ubuntu et j'ai lancé la commande suivante :
(le disque étant vu comme /dev/sdb1)
$sudo su root (pour être root sans avoir à retaper sudo)
# foremost -d /dev/sdb1
Et la, il travaille, mais je ne sais pas exactement ce qu'il fait.
Ma dernière idée est de faire une image de la partition en question, avec dd, puis de remettre le serveur en production rapidement et de voir à tête reposée ce qui s'est passé, sans se précipiter.
A bientux.
Jonas.
Une idée reçue est souvent une idée morte.
Par rapport à tes questions sur foremost, il vaudrait mieux ouvrir un autre sujet, car il y a peu de chance que quelqu'un qui connaisse foremost tombe sur ce fil de discussion. Tu peux d'ores et déjà avoir des informations dans le man :
https://linux.die.net/man/1/foremost
http://doc.ubuntu-fr.org/foremost
Si tu es sûr que les répertoires vides ne sont pas vides parce qu'il n'ont pas été montés (ce qui serait le cas s'ils étaient stockés sur des partitions dédiées ou des volumes logiques LVM), alors c'est effectivement qu'ils ont été supprimés, intentionnellement ou pas.
Un fichier qui pourrait t'aider si tu parviens à reconstituer /var/log est /var/log/auth.log, qui référence les gens qui se sont identifiés (ou qui ont échoué leur authentification) au cours du temps. Enfin si c'est une intrusion malveillante, j'imagine que la personne y aura effacé les traces de son passage...
https://linux.die.net/man/1/foremost
http://doc.ubuntu-fr.org/foremost
Si tu es sûr que les répertoires vides ne sont pas vides parce qu'il n'ont pas été montés (ce qui serait le cas s'ils étaient stockés sur des partitions dédiées ou des volumes logiques LVM), alors c'est effectivement qu'ils ont été supprimés, intentionnellement ou pas.
Un fichier qui pourrait t'aider si tu parviens à reconstituer /var/log est /var/log/auth.log, qui référence les gens qui se sont identifiés (ou qui ont échoué leur authentification) au cours du temps. Enfin si c'est une intrusion malveillante, j'imagine que la personne y aura effacé les traces de son passage...
Bonjour et merci pour ton aide.
Même si ce n'est que pour le soutien moral, c'est déjà ça.
En ce moment, je fais une image du disque qui a été partiellement effacé, afin de pouvoir faire une analyse ultérieure, car j'apprécie assez moyennement ce type de blague.
Le serveur change d'IP publique plusieurs fois par jour et la société en question n'a aucun secret d'état...
L'hypothèse du piratage me semble vraiment hasardeuse.
Les deux hypothèses que je retiendrais plus volontier :
- Soit au sein de la société quelque croit s'y connaitre un peu, a voulu jouer avec le serveur puis a fait une grosse boulette...
- Soit un deuxième prestataire qui s'y connait plutôt bien est intervenu, mais a fait une grosse boulette aussi, et n'a rien dit à personne. (Ou bien un stagiaire chez le prestataire en question par exemple...)
Dans un cas comme dans l'autre, c'est une perte de temps "HENAURME". Je n'ai pas que ça à faire de réparer les bêtises des autres.
Ca peut arriver à tout le monde de "bouletiser" mais dans ce cas, il faut assumer.
Enfin, voila où j'en suis.
Je vais essayer de me débrouiller pour foremost, et si vraiment je n'y arrive pas, alors je demanderai de l'aide.
Bien cordialement.
Jonas.
Même si ce n'est que pour le soutien moral, c'est déjà ça.
En ce moment, je fais une image du disque qui a été partiellement effacé, afin de pouvoir faire une analyse ultérieure, car j'apprécie assez moyennement ce type de blague.
Le serveur change d'IP publique plusieurs fois par jour et la société en question n'a aucun secret d'état...
L'hypothèse du piratage me semble vraiment hasardeuse.
Les deux hypothèses que je retiendrais plus volontier :
- Soit au sein de la société quelque croit s'y connaitre un peu, a voulu jouer avec le serveur puis a fait une grosse boulette...
- Soit un deuxième prestataire qui s'y connait plutôt bien est intervenu, mais a fait une grosse boulette aussi, et n'a rien dit à personne. (Ou bien un stagiaire chez le prestataire en question par exemple...)
Dans un cas comme dans l'autre, c'est une perte de temps "HENAURME". Je n'ai pas que ça à faire de réparer les bêtises des autres.
Ca peut arriver à tout le monde de "bouletiser" mais dans ce cas, il faut assumer.
Enfin, voila où j'en suis.
Je vais essayer de me débrouiller pour foremost, et si vraiment je n'y arrive pas, alors je demanderai de l'aide.
Bien cordialement.
Jonas.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question