Overblog
Suivre ce blog Administration + Créer mon blog
16 mai 2013 4 16 /05 /mai /2013 01:25

Meetic/Paypal : le plus gros spam du siècle, venant d'un organisme bancaire :(

J'aurais cru, moi le premier, que les infolettres venant de gens comme PayPal seraient plutôt sérieuses...

En tout cas, au moins liées à leur activité de services bancaires en ligne...

Hé bien, voici la preuve que tout peut arriver : Paypal fait de la pub pour des sites de rencontres en ligne (ici Meetic...) !

Capture_MSG_Gmail_160513.PNG

 

Certains vont répondre tout de suite que l'émetteur Paypal a ici été usurpé... hé bien à priori non :

  

 Received: by 10.194.153.72 with SMTP id ve8csp2769wjb; Wed, 15 May 2013 01:53:17 -0700 (PDT) X-Received: by 10.220.52.201 with SMTP id j9mr24052064vcg.33.1368607997274; Wed, 15 May 2013 01:53:17 -0700 (PDT) Return-Path: <RPUMVFW-2O8T06-SUH4E9-BNCID5-SPN59L-H-M2-20130515-8f06e8b6227465@emea.e.paypal.com> Received: from outbound.emea.e.paypal.com (outbound.emea.e.paypal.com. [96.47.30.227]) by mx.google.com with ESMTP id os3si951902vcb.69.2013.05.15.01.53.16 for <XXXXX@gmail.com>; Wed, 15 May 2013 01:53:17 -0700 (PDT) Received-SPF: pass (google.com: domain of RPUMVFW-2O8T06-SUH4E9-BNCID5-SPN59L-H-M2-20130515-8f06e8b6227465@emea.e.paypal.com designates 96.47.30.227 as permitted sender) client-ip=96.47.30.227; Authentication-Results: mx.google.com; spf=pass (google.com: domain of RPUMVFW-2O8T06-SUH4E9-BNCID5-SPN59L-H-M2-20130515-8f06e8b6227465@emea.e.paypal.com designates 96.47.30.227 as permitted sender) smtp.mail=RPUMVFW-2O8T06-SUH4E9-BNCID5-SPN59L-H-M2-20130515-8f06e8b6227465@emea.e.paypal.com; dkim=pass header.i=@e.paypal.fr; dmarc=pass (p=REJECT dis=none) d=paypal.fr Return-Path: <RPUMVFW-2O8T06-SUH4E9-BNCID5-SPN59L-H-M2-20130515-8f06e8b6227465@emea.e.paypal.com> DKIM-Signature: v=1; a=rsa-sha1; d=e.paypal.fr; s=ED-DKIM-V3; c=simple/simple; q=dns/txt; i=@e.paypal.fr; t=1368607995; h=From; bh=lT6qneSqHLFrPLClv6MyVug2Iug=; b=FP21dpxcNnVVOM4p7KfRR4DMaGMGlxQ8Hv+zjXB2s46GH4EeAyWtgBM0mp9RKaRE BBA5Vpl07bVG4fEEl3WGyYS2Lh0yJ+2E/kfSi4TyJGhGtWLRv2Ni+XZaTdOsSc0H /joiX+e1/V1Hah3uFhZNxmX48bAxs/qIufcffNF/y2U=; Received: from [127.0.0.1] ([127.0.0.1:44281]) by bm1-08.bo3.e-dialog.com (envelope-from <RPUMVFW-2O8T06-SUH4E9-BNCID5-SPN59L-H-M2-20130515-8f06e8b6227465@emea.e.paypal.com>) (ecelerity 2.2.2.45 r(34222M)) with ECSTREAM id E9/EC-28505-BFC43915; Wed, 15 May 2013 04:53:15 -0400 Date: Wed, 15 May 2013 04:53:15 -0400 Content-Type: text/html; charset=UTF-8 Content-Transfer-Encoding: quoted-printable MIME-Version: 1.0 From: "PayPal" <paypal@e.paypal.fr> Reply-To: "PayPal" <noreply@e.paypal.fr> To: XXXXXXX@gmail.com Subject: =?UTF-8?B?RMOpY291dnJleiBNZWV0aWMgc3VyIHZvdHJlIG1vYmlsZQ==?= Message-Id: <17595-81-RPUMVFW-2O8T06-SUH4E9-BNCID5-SPN59L-H-M2-20130515-8f06e8b6227465@e-dialog.com> X-Mail-From: RPUMVFW-2O8T06-SUH4E9-BNCID5-SPN59L-H-M2-20130515-8f06e8b6227465@emea.e.paypal.com
Partager cet article
Repost0
Published by Philippe V. - dans Veille sécurité
commenter cet article
6 mai 2013 1 06 /05 /mai /2013 01:12

Installation forcée d'un navigateur, par un antivirus ?

A ceux qui se poseraient des questions sur pourquoi voit-on Google Chrome apparaître comme un champignon sur les machines...

Et à ceux qui croient qu'installer un antivirus avec toutes les options par défaut est forcément le meilleur choix...

 

Voici AVAST, installant (de force...?) Google Chrome, sur les machines, lors de l'installation de la protection antivirus...

Quel est le rapport entre l'antivirus et l'installation d'un autre navigateur ? pas compris. Cet antivirus, peut importe lequel, a lui-même ses propres failles de sécurité, donc des correctifs à installer dans le temps. 

Quel est le rapport entre la barre d'outils Google dans Internet Explorer, et la sécurité antivirus ? je ne sais pas trop.

Quel est le gain sécurité en changeant de force le navigateur par défaut, pour activer Google Chrome à la place ? je ne sais pas non plus.

 

install_avast_chrome.PNG

 

Moralité :

- si vous pensiez installer AVAST sur un parc de PME par exemple, attention (au-delà des éventuels problèmes de licence) : AVAST changera de façon forte la configuration de la machine. IE aura une nouvelle barre d'outil (Google), et le navigateur par défaut sera changé en Chrome. Cela peut avoir des impacts applicatifs non négligeables.

- antivirus gratuit n'est pas toujours si gratuit que cela : AVAST était historiquement dans le "Google pack", et je pense que le partenariat court toujours, sinon pourquoi (aussi) installer la barre d'outil Google dans Internet Explorer ?

NB : Security Essentials peut être installé sur un parc de 10 machines max en PME, en plus de l'utilisation grand public. Et il ne change rien au reste de la configuration système...

Partager cet article
Repost0
Published by Philippe V. - dans Veille sécurité
commenter cet article
12 avril 2013 5 12 /04 /avril /2013 00:44

ZBot/ZeuS : faites décoller la chasse !

Un petit point pour les francophones, pour ceux qui ont maille à partir avec ZBot/ZeuS.

 

Quelques rappels :

 

- ZBot utilise dans beaucoup de variantes le %appdata%, là où tout utilisateur a le droit en écriture et lecture

 

- ZBot se propage par des failles de sécurité applicatives, notamment Oracle Java et Acrobat Reader.

 

- ZBot peut se propager via les services de Bureau à distance (RDS) : une machine cliente infectée peut infecter un serveur en s'y connectant en RDS

 

 

 

Plan d'action ?

 

- revoir vos inventaires logiciels : il vous faut savoir les versions de logiciels qui sont présents : navigateurs, mais aussi Oracle Java, et Acrobat Reader, etc.

 

- Déployer au maximum possible les mises à jour de sécurité, et pas uniquement celles de Microsoft. Un antivirus n'est pas là pour pallier à la non application des correctifs ! Cibler en priorité les postes d'administration du parc et les machines critiques. Pour rappel, Java 6 n'est plus supporté par Oracle depuis février 2013.

 

- S'assurer de la présence et de la mise à jour d'un antivirus sur tous les environnements Windows connectés au LAN

 

- Soumettre à votre éditeur antivirus tout échantillon trouvé et non détecté

 

- Lancer un nettoyeur sur le parc : au minimum le MSRT (Malicious Software Removal Tool) qui a d'ailleurs été mis à jour ce mois-ci pour ZBot d'après mes tests, voire si possible le MSERT (Safety Scanner, qui peut se scripter). Toutes les stations d'administration devraient être vérifiées avec un outil supplémentaire que l'antivirus déjà présent.

 

- Vérifier vos équipements proxies, sondes NIPS, pare-feux, pour toute détection pouvant s'apparenter à du trafic ZBot : infection initale, remontée au C&C, voire exfiltration des données volées.

 

- prendre connaissance des fiches descriptives de ZBot, telles que publiées par les éditeurs antiviraux, pour les souches détectées sur votre parc. Exemple : http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Win32%2fZbot . Ces caractéristiques techniques des variantes doivent impérativement être prises en compte pour affiner votre plan d'action de réponse à la menace virale. Il y est notamment dit que les codes d'exploitation suivants sont connus pour être utilisés afin d'implanter ZBot sur les machines : Exploit:Java/CVE-2012-0507, Exploit:Java/CVE-2012-1723, Exploit:Java/CVE-2013-0422, Exploit:Win32/Pdfjsc. Exploit:Win32/CplLnk.B. Je peux attester que c'est le cas !

 

- redémarrer les machines infectées après détection afin d'être sûr de l'éradication en mémoire.

 

- utiliser des doubles facteurs d'authentification pour les comptes administrateurs : ZBot intercepte les frappes au clavier, or la carte à puce protège contre ce type d'attaque (et non pas contre le pass the hash, par défaut...).

 

- renforcer la surveillance réseau en ajoutant des éléments caractéristiques à ZBot, en alerte voire en blocage : https://zeustracker.abuse.ch/blocklist.php   

 

 

Bon courage :)

 

Mise à jour du 23/07/13 :

 

Petit exemple de courriels indésirables reçus plus d'une fois, et contenant un ZBot en pièce jointe :

 

 

zbot_spam_170713.PNG

 

Et petite confirmation :

zbot_detect_170713.PNG

 

 

Partager cet article
Repost0
Published by Philippe V. - dans Veille virale
commenter cet article
1 avril 2013 1 01 /04 /avril /2013 00:29

VirusTotal gets confused between PUA and malware (ZBot)

After my previous article (in French) regarding a ZBot variant analysis on VirusTotal, which gave no result for ClamAV while Clam does detect the sample, somebody from Google VirusTotal left comments on my Twitter account:

 

ph-V_twitter_VirusTotal_ZBot_PUA_010413.PNG

 

 As you can see, there seems to be a confusion here between PUA (Potentially Unwanted Application) and malware (Win.Trojan.Spy.Zbot)...

To me, Clam's results should definitely be displayed in the "main report" as it is not PUA, since ZBot is not (not at all, I can tell :) ).

 

HTH.

 

 

Partager cet article
Repost0
Published by Philippe V. - dans Veille virale
commenter cet article
30 mars 2013 6 30 /03 /mars /2013 16:59

Faux positif Immunet (WMI admin tools)

En tentant de télécharger des outils de développement WMI ("WMI administrative tools", pour faire des requêtes directement), j'ai eu un petit problème avec Immunet :

 FP_WMI_SDK_230313.PNG

 

Un vrai "faux positif" W32.Spero.Cosmu... sur le setup.exe.

 

C'est l'un des effets de bord du nuage pour les antivirus, à ne pas oublier : l'analyse en dynamique des échantillons peut produire des faux positifs et je n'ai pas pu évaluer leur correction comparé au cas classique de faux positif par une signature nouvellement créée.

 

Dans la version gratuite de Immunet 2.0.17.31, je n'ai eu d'autre choix que de désactiver le service (dans services.msc) pour arriver à télécharger et utiliser l'outil WMI Admin Tools, pourtant récupéré directement sur la TechNet. Je ne pense pas que la TechNet héberge beaucoup de codes malveillants ;)

 

Avis donc pour ceux qui utilisent la technologie du Nuage pour certaines solutions antivirus : s'ils souhaitent faire une action automatique sur détection, je leur commande de ne pas supprimer ce qui est détecté, mais de mettre en quarantaine. Sinon, le mieux à mon sens est de se limiter à la détection, et de faire confirmer chaque échantillon manuellement.

 

Partager cet article
Repost0
Published by Philippe V. - dans Veille virale
commenter cet article
30 mars 2013 6 30 /03 /mars /2013 16:40

Ubuntu 6.04 : migration vers versions plus récentes... bon courage

Je souhaite simplement ici partager une expérience qui peut arriver à d'autres, surtout avec des environnements en production, vieillissants pour ne pas dire obsolètes.

Ubuntu 6, obsolète ? oui, largement. Mais dans la vraie vie, il n'est pas du tout improbable de la trouver en prod.

 

Tout part donc d'une Ubuntu 6.04. Voici quelques points et astuces que je vous recommande de prendre en compte durant la migration :

 

- le système do-release-upgrade  ne marche quasiment jamais. Principalement car les fichiers à télécharger ne sont plus en ligne. Il faudra donc éditer manuellement le fichier sources.list.

 

- les dépôts Security (security.ubuntu.com) ne marchent pas, le fichier à télécharger par APT n'est pas (plus) accessible. Ils peuvent à mon avis être temporairement désactivés.

 

- différents paquets ne passeront pas le cap tous seuls, avec APT. Quelques exemples : hal, network-manager, pidgin, gaim, mod_security.

Pour le passage à Lucid, AppArmor et MySQL remonteront aussi des erreurs, mais cela ne stoppera pas les opérations APT pour autant. Par contre, Libpurple0 elle pourra devenir vraiment bloquante (j'ai du installer les dépendances à la main ave dpkg -i , puis relancer dpkg --reconfigure -a).

 

La suite à venir...

 

 

Partager cet article
Repost0
Published by Philippe V. - dans Veille sécurité
commenter cet article
24 mars 2013 7 24 /03 /mars /2013 17:17

VirusTotal URL content scan bypass example

While searching for virtualization back-up solutions for ESXi, I came accros the following website:

http://joealdeguer.com/backing-up-and-restoring-esxi-virtual-machines/index.php

 

 

But the proxy server that filters internet browsing, where I am at the moment, yelled a warning and blocked the page:

Squid_clam_URL_blocking_240313-copie-1.PNG

(Yes, the is a Squid proxy server powered, and antivirus engine is ClamAV).

 

As you can see, Clam says "PUA.Script.Packed-1.

 

Now, let's try VirusTotal for this same URL:

 

https://www.virustotal.com/en/url/9be98ad47adc382824285f27289bd20cc9f2b71ba1f5761a8c15ecb95b877a1b/analysis/1364141731/

 

Well... nothing found! even Clam...

 

URL Scanner Result
ADMINUSLabs Clean site
AlienVault Clean site
Antiy-AVL Clean site
Avira Clean site
BitDefender Clean site
C-SIRT Clean site
CLEAN MX Clean site
Comodo Site Inspector Clean site
Dr.Web Clean site
ESET Clean site
Fortinet Unrated site
Google Safebrowsing Clean site
K7AntiVirus Clean site
Malc0de Database Clean site
Malekal Clean site
MalwareDomainList Clean site
MalwarePatrol Clean site
Minotaur Clean site
Netcraft Clean site
Opera Clean site
ParetoLogic Clean site
Phishtank Clean site
Quttera Clean site
SCUMWARE.org Clean site
SecureBrain Unrated site
Sophos Unrated site
SpyEyeTracker Clean site
Sucuri SiteCheck Clean site
URLQuery Unrated site
VX Vault Clean site
Websense ThreatSeeker Unrated site
Wepawet Unrated site
Yandex Safebrowsing Clean site
ZDB Zeus Clean site
ZeusTracker Clean site
zvelo Clean site

 

 

And no, don't tell me it's because it's a PUA, and therefore it's not reported in the main view...!  The "additional information" tab says:

 

Websense ThreatSeeker URL category
Uncategorized.
Quttera domain information
See Quttera report
Sucuri SiteCheck domain information
Full threat report
Webutation domain information 
 Verdict..................: unsure Adult content............: no Safety score.............: 70

Take a look at the full Webutation review.

URL after redirects
http://joealdeguer.com/backing-up-and-restoring-esxi-virtual-machines/
Network location to IP address resolution
108.56.209.3
Response code
200
Response headers 
 via: HTTP/1.1 GWA
 x-powered-by: PHP/5.3.10-1ubuntu3.6
 x-google-cache-control: remote-fetch
 vary: Accept-Encoding
 server: Apache/2.2.22
 link: <http://wp.me/p2SbCr-cs>; rel=shortlink
 date: Sun, 24 Mar 2013 16:15:36 GMT
 content-type: text/html; charset=UTF-8
 x-pingback: http://joealdeguer.com/xmlrpc.php
Response content SHA-256
82132433d7fe11cacada4b1a9573c9f2b292702ed7198b89e7078d9a35e1dcf5
Google trends for the term joealdeguer:

See full report
Alexa daily reach
Estimated percentage of global internet users who visit joealdeguer.com:

 

 

Here, OK the URL by itself is not categorized as "malicious", but at least one AV engine (Clam) should trigger a warning on VT, if it really matches the AV regular behavior.

 

In a nutshell, you may want to try VirusTotal for URL scan, but even if it does not give you any result, I do suggest you to manually download the content targetted by the URL, and then upload it to VirusTotal, to double check.

 

 

Small update:

 

if you download the webpage, save it as " web archive" in IE, and upload that to VT, here are the results:

https://www.virustotal.com/en/file/1d9df59ad8b58e5101361b45b2a4ae06fcea2f9e814acedcc3c335c7a178cc6c/analysis/1364142725/

Yes, there you see that Clam does detect a PUA (additional information tab).

Partager cet article
Repost0
Published by Philippe V. - dans Veille sécurité
commenter cet article
18 mars 2013 1 18 /03 /mars /2013 00:45

VirusTotal n'est pas toujours exact dans ses résultats...

Cela faisait un moment que je le suspectais, cette fois-ci j'ai un exemple clair et objectif pour l'étayer.

VirusTotal peut vous indiquer qu'un moteur antivirus ne détecte pas un échantillon alors qu'en fait, si.

 

Voici l'exemple :

SHA256 de l'échantillon : f1c03fbd8633cbbdf96fea9501d89d8022d58eb5e762b620349757002e53710e

Date d'analyse : 2013-03-12 16:05:05 UTC (il y a 5 jours, 7 heures)

Antivirus Résultat Mise à jour
Agnitum - 20130312
AntiVir - 20130312
Antiy-AVL - 20130312
Avast - 20130312
AVG - 20130312
BitDefender - 20130312
ByteHero - 20130310
CAT-QuickHeal - 20130312
ClamAV - 20130312
Commtouch - 20130312
Comodo - 20130312
DrWeb - 20130312
Emsisoft Trojan.Spy.Win32.Zbot.jlgr.AMN (A) 20130312
eSafe - 20130307
ESET-NOD32 - 20130312
F-Prot - 20130312
F-Secure - 20130312
Fortinet W32/Zbot.JLGR!tr 20130312
GData - 20130312
Ikarus Trojan-Spy.Win32.Zbot 20130312
Jiangmin - 20130311
K7AntiVirus - 20130311
Kaspersky Trojan-Spy.Win32.Zbot.jlgr 20130312
Kingsoft - 20130311
Malwarebytes - 20130312
McAfee PWS-Zbot.gen.ad 20130312
McAfee-GW-Edition PWS-Zbot.gen.ad 20130312
Microsoft - 20130312
MicroWorld-eScan - 20130312
NANO-Antivirus - 20130312
Norman ZBot.FYSN 20130312
nProtect - 20130312
Panda - 20130312
PCTools - 20130312
Sophos Mal/Generic-S 20130312
SUPERAntiSpyware - 20130312
Symantec - 20130312
TheHacker - 20130312
TotalDefense - 20130312
TrendMicro - 20130312
TrendMicro-HouseCall TROJ_GEN.F47V0307 20130312
VBA32 - 20130312
VIPRE - 20130312
ViRobot Trojan.Win32.S.Zbot.341724 20130312

 

 


Il me semblait pourtant, de tête, que Clam détectait l'échantillon. J'ai donc voulu leur soumettre, du coup, l'échantillon non détecté.

Le formulaire de clamav.net (http://cgi.clamav.net/sendvirus.cgi) m'a indiqué, au moment de l'envoi, que l'échantillon était déjà détecté !

Recommançant quelques jours plus tard, voici les résultats de VirusTotal (ce soir, nuit du 17 au 18/03) :

 

Date d'analyse : 2013-03-17 23:39:44 UTC (il y a 0 minute)
Antivirus Résultat Mise à jour
Agnitum - 20130317
AhnLab-V3 Spyware/Win32.Zbot 20130317
AntiVir - 20130317
Antiy-AVL - 20130317
Avast - 20130318
AVG - 20130317
BitDefender - 20130318
ByteHero - 20130315
CAT-QuickHeal - 20130316
ClamAV - 20130317
Commtouch - 20130317
Comodo - 20130317
DrWeb - 20130318
Emsisoft Trojan.Spy.Win32.Zbot.jlgr.AMN (A) 20130318
eSafe - 20130313
ESET-NOD32 - 20130317
F-Prot - 20130317
F-Secure - 20130317
Fortinet W32/Zbot.JLGR!tr 20130317
GData - 20130317
Ikarus Trojan-Spy.Win32.Zbot 20130317
Jiangmin - 20130317
K7AntiVirus - 20130315
Kaspersky Trojan-Spy.Win32.Zbot.jlgr 20130317
Kingsoft - 20130311
Malwarebytes - 20130317
McAfee PWS-Zbot.gen.ad 20130318
McAfee-GW-Edition PWS-Zbot.gen.ad 20130318
Microsoft - 20130318
MicroWorld-eScan - 20130317
NANO-Antivirus - 20130317
Norman ZBot.FYSN 20130317
nProtect - 20130317
Panda Trj/OCJ.D 20130317
PCTools - 20130315
Sophos Mal/Generic-S 20130317
SUPERAntiSpyware - 20130317
Symantec - 20130318
TheHacker - 20130315
TotalDefense - 20130317
TrendMicro - 20130318
TrendMicro-HouseCall TROJ_GEN.F47V0307 20130318
VBA32 - 20130315
VIPRE Trojan.Win32.Generic!BT 20130317
ViRobot Trojan.Win32.S.Zbot.341724 20130317

 

 

Toujours pas de détection par Clam, selon VT !

La version indiquée de mise à jour des signatures de clam est bien celle du 17/03...

Pourtant, voici le message sur leur site, quand on leur soumet l'échantillon :

Capture_Clam_deja-detect_188313.PNG

 

Conclusion ?

Si vous voulez réellement surveiller des moteurs, je vous recommande de fairecomme moi sur ma propre architecture de veille perso :

- machines virtuelles XP Pro SP3

- 1 antivirus "classique" par machine virtuelle 

- possibilité de cumul avec Clamn Immunet, Panda Cloud, et d'autres moteurs à la demande comme MalwareBytes.

 

Mise à jour du 24/03:

 

Des gens de VirusTotal ont réagi sur mon blog (cf. commentaire) et sur mon compte Twitter. La réponse était (traduite en Français) "il s'agit d'une détection PUA de Clam, et sur demande de l'éditeur, cela figure dans l'onglet informations additionnelles".

Au-delà du fait que cela manque un peu de clarté selon moi, à savoir les cas où le résultat est affiché en onglet principal ou sinon en infos additionnelles, il y a tout de même un petit problème.

Je vois mal en effet ClamAV catégorizer ce code en PUA (Application Potentiellement Indésirable), car d'après leur site et la capture plus haut de leur message, il s'agit de :

Win.Trojan.Spy.Zbot-43!!

Je ne vois pas le lien avec un PUA, et connaissant un peu le code Zbot, cela me semble incohérent. D'autre part, la convention de nommage de Clam ne mentionne pas PUA ici, alors que c'est le cas pour un script trouvé plus récemment sur le net (cf. mon article du jour, plus haut).

En résumé, non, il crois bien qu'il y a un problème entre les résultats affichés par VirusTotal et les résultats réels de certains moteurs.

Partager cet article
Repost0
Published by Philippe V. - dans Veille sécurité
commenter cet article
12 mars 2013 2 12 /03 /mars /2013 01:06

Ubuntu apt-get : Fausse erreur d'espace disque

Sous Ubuntu 11, vous pourriez rencontrer le problème ci-après, d'où mon article. De nuit, en production, juste en accès distant SSH, c'est toujours sympa...

Lors d'un classique apt-get update  puis apt-get upgrade, vous avez une erreur : un packetage de sources noyau semble mal installé.

 

Puis, en lançant apt-get -f install, vous obtenez des erreurs de type :

 

 

(Lecture de la base de données... 471398 fichiers et répertoires déjà  installés.)

Dépaquetage de linux-image-3.2.0-38-generic (à  partir de .../linux-image-3.2.0-38-generic_3.2.0-38.61_i386.deb) ...

Done.

dpkg : erreur de traitement de /var/cache/apt/archives/linux-image-3.2.0-38-generic_3.2.0-38.61_i386.deb (--unpack) :

 impossible de créer « /lib/modules/3.2.0-38-generic/kernel/net/netfilter/nf_tproxy_core.ko.dpkg-new » (pendant le traitement de « ./lib/modules/3.2.0-38-generic/kernel/net/netfilter/nf_tproxy_core.ko »): Aucun espace disponible sur le périphérique

dpkg-deb : erreur : le sous-processus coller a été tué par le signal (Relais brisé (pipe))

Examining /etc/kernel/postrm.d .

run-parts: executing /etc/kernel/postrm.d/initramfs-tools 3.2.0-38-generic /boot/vmlinuz-3.2.0-38-generic

run-parts: executing /etc/kernel/postrm.d/zz-update-grub 3.2.0-38-generic /boot/vmlinuz-3.2.0-38-generic

Dépaquetage de linux-headers-3.2.0-38 (à  partir de .../linux-headers-3.2.0-38_3.2.0-38.61_all.deb) ...

dpkg : erreur de traitement de /var/cache/apt/archives/linux-headers-3.2.0-38_3.2.0-38.61_all.deb (--unpack) :

 impossible de créer « /usr/src/linux-headers-3.2.0-38/include/net/caif/cfpkt.h.dpkg-new » (pendant le traitement de « ./usr/src/linux-headers-3.2.0-38/include/net/caif/cfpkt.h »): Aucun espace disponible sur le périphérique

dpkg-deb : erreur : le sous-processus coller a été tué par le signal (Relais brisé (pipe))

Dépaquetage de linux-headers-3.2.0-38-generic (à  partir de .../linux-headers-3.2.0-38-generic_3.2.0-38.61_i386.deb) ...

dpkg : erreur de traitement de /var/cache/apt/archives/linux-headers-3.2.0-38-generic_3.2.0-38.61_i386.deb (--unpack) : erreur pendant la création du répertoire « ./usr/src/linux-headers-3.2.0-38-generic/include/config/fb/pm2/fifo »: Aucun espace disponible sur le périphérique

dpkg-deb : erreur : le sous-processus coller a été tué par le signal (Relais brisé (pipe))

Des erreurs ont été rencontrées pendant l'exécution :

 /var/cache/apt/archives/linux-image-3.2.0-38-generic_3.2.0-38.61_i386.deb /var/cache/apt/archives/linux-headers-3.2.0-38_3.2.0-38.61_all.deb

 /var/cache/apt/archives/linux-headers-3.2.0-38-generic_3.2.0-38.61_i386.deb

Log ended: 2013-03-11  01:57:24

Evidemment, le apt-get autoremove n'y fait rien. Ni même, le apt-ger remove   du paquet en erreur, puisqu'il n'est pas encore installé.

 

En fait, le disque n'est pas plein (même si la place dispo n'est pas chiffrée en Gigas!

 

df -h /dev/sda1

Sys. de fichiers Taille Utilisé Dispo Uti% Monté sur

/dev/sda1          7,4G    5,0G  2,1G  71% /

J'ai suspecté l'erreur disque.

 

Ne pouvant facilement redémarrer le serveur pour raisons de prod (hé oui...), le e2fsck ne me semblait pas facile... D'autant plus que je suis en SSH et il me semble avoir décelé que dans /boot, l'installation de certaines images noyau serait partielle (il manque des fichiers correspondants selon certaines versions du noyau).

 

En fait, j'ai opté pour une ruse (et pour les fonctions d'auto-réparation d'erreurs d'APT) : le problème semble résider dans /usr/src : faisons le ménage !

Après avoir enlevé nombre de linux-headers-3.2.0-XX où XX remontait à 20, je relance l'installation, et là, miracle, APT aboutit.

Il y avait donc bien quelque part un problème avec l'accès dans /usr/src, par APT ou DPKG...

Si cela peut servir à d'autres...

PS : n'oubliez pas de "réparer" les fichiers source noyau, en réinstallant les paquetages des versions de noyau que vous utilisez, au cas où... (et en faisant le ménage avec apt-get remove linux-image-3xxxxx 

 

 

Partager cet article
Repost0
Published by Philippe V. - dans Bidouille informatique
commenter cet article
1 mars 2013 5 01 /03 /mars /2013 21:22

"Arnaque" appli Facebook Are You Interested?

Le concept du "truc clignotant" qui incite à cliquer, n'est pas nouveau...

 

Pas très loin, le coup de la "demande d'application", est monnaie courante sur Facebook.

Ce coup-ci, c'est la (fameuse) "Are You Interested?" qui m'a interpelée.

 

Ainsi donc, d'après la demande j'avais 3 messages via "Are You Interested". Vérifions en détail...

 

 

arnaque_AYI_010313.PNG

 

 

Tiens donc...  je vois en petit, en gris : "you haven't received any mail yet."

 

CQFD :)

 

Partager cet article
Repost0
Published by Philippe V. - dans Bidouille informatique
commenter cet article