Je tourne sur Gillivara (noyau 4.9.40, Cinnamon 3.4.3) depuis 15 jours, sans problème. Hier, j'étais sur Firefox, au moins 8 onglets, dont 4 sur gmaps et soudain plus de contrôle, plus aucune action ne fonctionne, je vois le curseur de la souris qui bouge tout seul, lentement, sans clic. Donc j'éteins la bécane, et quand je reboot, j'ai une bordée de messages (qui passent trop vite pour les lire), puis le prompt de login sur le terminal! (en qwerty en plus). Dans la/var/log, je trouve 2 fichiers datant de l'heure du "crash", à 1mn de diff.: Xorg.0.log et btmp Et 4 fichiers datant de l'heure du reboot, dans l'ordre: dmesg, faillog, wtmp, lastlog
Dans Xorg.0.log, juste 2 messages suspects mais à mon avis pas alarmants: event14 .. Dakai ... SYN_DROPPED event ... sompe input events have been lost event11 .. Elantech Touchpad ... SYN_DROPPED event ... sompe input events have been lost
Et dans btmp: ^F\200\200o^C\200\200tty1\200\200\200\200\200\200\200\200\200\200\200\200 \200\200\200\200\200\200\200\200...etc ...etc
le fichier dmesg a l'air normal, il ne contient apparemment aucune erreur. les trois suivants contiennent des centaines de lignes avec /200/200/200... dans wtmp parmi les /200/200.. apparaissent les mots suivants reboot, 4.9.40-1-MANJARO, 'mon nom de user', shutdown.
un 'df -k' montre les volumes nécessaires montés, il manque juste ma partition de data ntfs que j'ai étendue et reformater avec gparted il y a 8 jours.
je peut booter sur ma partition windows, tous les volumes sont affichés 'sains'. Seule la partition que je viens d'évoquer n'est pas montable.
Si je comprend bien, malgré ton titre, manjaro est ok mais seule ta partition ntfs est non reconnue suite à un plantage. Puisque windows ne la reconnait pas non plus, il n'y a malheureusement rien de particulier avec linux. Il faudrait voir avec un outil win de récupération...
ps: tu n'es pas avec une openrc ? j'ai des doutes avec tes logs pour retrouver tes logs c'est journalctl
Si je comprend bien, malgré ton titre, manjaro est ok mais seule ta partition ntfs est non reconnue suite à un plantage. Puisque windows ne la reconnait pas non plus, il n'y a malheureusement rien de particulier avec linux. Il faudrait voir avec un outil win de récupération...
ps: tu n'es pas avec une openrc ? j'ai des doutes avec tes logs pour retrouver tes logs c'est journalctl
Ben, il boot en mode panic mon manjaro, donc pour moi il est Hors Service.
La partition qui manque, elle est pas dans la fstab, donc ça m'étonnerait qu'un problème au montage empêche le démarrage, ai-je tord?
Journalctl ne donne plus rien après l'heure du crash hier (17:25). Certains messages sentent pas bon mais ils apparaissent déjà quelques heures avant le plantage. Voici un extrait: (16:20) ntpd[3144] bind(24) AF_INET6 ... flags 0x11 cannot assign requested address "" "" "" "" unable to create socket on w1p2s0 ... (17:25) proc_thermal 0000:00:040 unsupported event [0x84]
J'ai vu des posts avec ces messages, je vais à la pêche...
bon tu peux tenter de supprimer ce que tu peux dans /btmp mais tu as un gros souci , tu as subi sans doute une attaque force brute qui a abouti a faire tomber la machine
utilise tu le port ssh:22 ? si oui , il est IMPERATIF de revoir la sécurité réseau ( IPTABLE )
pour les erreurs ntpd, j'ai cela aussi avec l'ipv6, une à chaque fois que je sors de veille. Mais je ne me pose pas trop de question, ensuite je suis bien en ipv6 lorsque je visite des (certains) sites web.
------------------------ et pour ssh tu peux regarder les logs
stephane a écrit :bon tu peux tenter de supprimer ce que tu peux dans /btmp mais tu as un gros souci , tu as subi sans doute une attaque force brute qui a abouti a faire tomber la machine
utilise tu le port ssh:22 ? si oui , il est IMPERATIF de revoir la sécurité réseau ( IPTABLE )
Je n'ai pas trouvé de répertoire btmp.
Le port 22 est déclaré dans services pour tcp, udp, sctp, donc à priori ouvert, non?
Iptables semble installé
Il se trouve que je venais d'installer TOR, qui, si j'ai bien compris doit permettre à des serveurs distant de lancer des tâches localement, non? Est-ce que ça peut faire "cheval-de-Troie"
papajoke a écrit :pour les erreurs ntpd, j'ai cela aussi avec l'ipv6, une à chaque fois que je sors de veille. Mais je ne me pose pas trop de question, ensuite je suis bien en ipv6 lorsque je visite des (certains) sites web.
------------------------ et pour ssh tu peux regarder les logs
refusés:
journalctl -t sshd | grep -Ei "invalid"
ok:
journalctl -t sshd | grep -E "opened"
et last -i
En fait les erreurs que j'ai mentionnées, j'en avais tous les jours. Les journalctl n'ont rien donné.
mais Stéphane me dit de supprimer ce que je peux dans /btmp, j'ai donc cherché un répertoire btmp. je vais quand même pas nettoyer un fichier de log!?!? ou bien je suis plus du tout à jour en informatiche!?
pour ce qui est de l'intrusion, c'est la première chose à laquelle j'ai pensé quand j'ai perdu le contrôle et vu la souris qui se baladait toute seule. j'ai d'ailleurs éteint ma freebox avant de rebooter la bécane, pour voir, mais j'ai rien vu. le fait d'avoir installer TOR 3 heures plus tôt, ça m'a fait penser que j'avais ouvert la porte... comment pourrais-je m'en assurer?
quand je vois tous ces /200/200/200/200/200/200/200/200/200/200... dans mes fichiers de log, je me dis que j'ai choppé un virus, mais j'ai jamais entendu parler de virus sur Linuch, je me trompe?
En fait, quand j'ai essayé de monter mon fs manquant, j'ai eu les insultes suivantes: "the disk contains unclean filesystem (0, 0). metadata kept in windows cache. refused to mount ...etc" Donc j'ai reformaté la partoche sous windows et j'ai pu la monter sous linux, mais elle était en lecture seule, donc je pouvais pas récupérer de données de ma home. Mais comme j'avais une sauvegarde récente et une clé d'installe de moins de 2 semaines, j'ai décidé de réinstaller (solution la plus rapide, surtout en SSD...). J'ai installé un antivirus (Clamav par 'yaourt -S clamtk', trop simple). Et puis je vais étudier les questions de sécurité avant de réinstaller TOR, voir l'installer sur une partition à part.
Merci à tous pour vos contribs et... sortez couverts!
Bonjour, c'est comme le Cleanserp Virus. J'ai récemment rencontré ce malware http://webera.fr/cleanserp/ Les utilisateurs infectés par ce PUP sont incapables d’appliquer leurs paramètres en ligne personnalisés, de sorte qu’ils doivent endurer le service d’escrocerie de Cleanserp.net qui remplace la page d’accueil, le moteur de recherche par défaut et la nouvelle page d’onglet sans demander clairement l’autorisation.
pour retrouver tes logs c'est journalctl