Bonsoir à tous,

J'aimerai qu'on m'éclaire et peut être d'autres personnes nouvelles au partages.

Qu'elles sont les lignes qui doivent apparaître dans ce fichier?

Car on parle beaucoup des lignes qui ne doivent pas être là comme "root1" et "ftpuser". Est ce que les autres lignes sont sans risque?

Merci à vous pour vos réponses les amis.

Plaisir

Salut plaisir je te connait pas encore. Mais c'est quoi au juste ta question ? de quel fichiers parle tu ? c'est ton user et puits to pass. tu peux m'éclairé plus merci

salut pere Nno,

C'est au sujet du fichier "passwd" qui se trouve pour enigma2 dans ect/ ...

C'est dans ce fichier que les pirates vient y mettre une ligne de code genre 'root1:azeazé$é$é$...."

Je voulais savoir donc qu'elles sont les lignes qui doivent être inscite impérativement

merci à toi

salut plaisir moi j'ai mit un passw en telenet au niveau du linux de la vu+ plus un autre dans le webif du fichier oscam.conf je vais regarder pour celui dans /ETC

Est ce que une autre personne saurait m'en dire plus?

Voici ce que j'ai dans mon fichier passwd


root::0:0:root:/home/root:/bin/sh
daemon:*:1:1:daemon:/usr/sbin:/bin/sh
bin:*:2:2:bin:/bin:/bin/sh
sys:*:3:3:sys:/dev:/bin/sh
sync:*:4:65534:sync:/bin:/bin/sync
games:*:5:60:games:/usr/games:/bin/sh
man:*:6:12:man:/var/cache/man:/bin/sh
lp:*:7:7:lp:/var/spool/lpd:/bin/sh
mail:*:8:8:mail:/var/mail:/bin/sh
news:*:9:9:news:/var/spool/news:/bin/sh
uucp:*:10:10:uucp:/var/spool/uucp:/bin/sh
proxy:*:13:13:proxy:/bin:/bin/sh
www-data:*:33:33:www-data:/var/www:/bin/sh
backup:*:34:34:backup:/var/backups:/bin/sh
list:*:38:38:Mailing List Manager:/var/list:/bin/sh
irc:*:39:39:ircd:/var/run/ircd:/bin/sh
gnats:*:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh
nobody:*:65534:65534:nobody:/nonexistent:/bin/sh
messagebus:x:100:1000:Linux User,,,:/var/run/dbus:/bin/false
avahi:x:101:1002:Avahi:/var/run/avahi-daemon:/bin/false
vsftpd:x:102:101:Linux User,,,:/usr/share/vsftpd/chroot:/bin/false
ftp:x:103:1003:Linux User,,,:/var/lib/ftp:/bin/false
sshd:x:104:1000:Linux User,,,:/var/run/sshd:/bin/false

Tous les jours, j'ai une ligne Gbox: qui s'ajoute à la fin.

Merci pour votre aide

Salut plaisr
je pose la question a un spécialiste de linux ici au bureau et je te reviens @+

Re salut Plaisir

comme promis voila

etc/passwd et autres fichiers d'informations
La base de données utilisateurs d'un système UNIX est le fichier texte /etc/passwd (appelé le fichier password), qui énumère tous les usernames valides avec les informations qui leur sont associées. Ce fichier possède une ligne par username, divisée en sept champs délimités par le caractère `:' :

1.
Username.
2.
Mot de passe, encrypté.
3.
user id numérique.
4.
group id numérique.
5.
Nom complet ou autre description du compte.
6.
Répertoire d'accueil.
7.
Shell de login (programme lancé au login).
Le format est expliqué plus en détail dans passwd(5).
Tout utilisateur du système peut lire le fichier password pour, par exemple, connaître le nom d'un autre utilisateur. Ceci signifie que le mot de passe (le second champ) est aussi diponible pour tout le monde. Le fichier password chiffre le mot de passe et donc, en théorie, il n'y a pas de problème. Cependant, le chiffrement est décryptable, surtout si le mot de passe est mal choisi (court ou présent dans un dictionnaire). Il n'est donc pas souhaitable d'avoir le mot de passe dans le fichier password.

Beaucoup de systèmes Linux utilisent les shadow passwords. Il s'agit d'une autre méthode de stockage des mots de passe : ceux-ci sont stockés chiffrés dans un fichier séparé, /etc/shadow, qui ne peut être lu que par root. Le fichier /etc/passwd ne contient qu'un marqueur spécial dans le second champ. Tout programme ayant besoin de vérifier un utilisateur est setuid, et peut donc accéder au fichier shadow password. Les programmes normaux, qui n'utilisent que les autres champs du fichier password, ne peuvent pas accéder au mot de passe8.2.

je te conseil quand meme de pas toucher a ce fichier c'est la config complete de ta dream.
La ligne Gbox je crois que c'est ton routeur
Petit détail du na pas de passord sur ta dream juste un user
Voila j'éspere t'avoir pus t'aider
@+ Père nno

Merci à toi pour ta grande explication et avoir pris le tous le temps necessaire pour m'informer.

Pour la ligne Gbox ce n'est pas mon routeur , et lorsque cette ligne s'ajoute j'ai également d’énorme freeze.

Maintenant je vois vers la fin , tu me dis que je n'ai pas de password alors que je l'ai changé via telnet sur DCC. Comment puis je ajouté donc un password supplémentaire?

merci encore a toi

Plaisir

salut plaisir

Si tu la fais en telnet par Dcc c'est ok alors. vérifie si tu as un fichier shadow passwords
Beaucoup de systèmes Linux utilisent.

C'est quoi ton routeur ?

il y a utilisateur qui s'Install au démarrage. note un peut la phrase exact.

@+ bonne journée

bonjour à toi,

j'ai comme routeur un belkin. En ce qui concernent les fichiers shadow ou -shadow ils sont vide.

J'ai cette ligne qui vient tous les jours et que je passe mon temps a supprimé deux a 3 fois par jours

gbox:$1$KkhV.rP0$b7o/2P35FeNzKvk1Km5xm/:0:0::/:/bin/sh

Bien à toi et merci

bonjour à toi,

j'ai comme routeur un belkin. En ce qui concernent les fichiers shadow ou -shadow ils sont vide.

J'ai cette ligne qui vient tous les jours et que je passe mon temps a supprimé deux a 3 fois par jours

gbox:$1$KkhV.rP0$b7o/2P35FeNzKvk1Km5xm/:0:0::/:/bin/sh

Bien à toi et merci

salut
C'est un hackeurs supprime et sécurise.

gbox:$1$KkhV.rP0$b7o/2P35FeNzKvk1Km5xm/:0:0::/:/bin/sh

C'est un virus qui se cache souvent dans cccam.cfg autrement il faut faire une recheche jusqu'à ce que tu le trouve

Bonsoir,

je l'a supprime a chaque fois,j'ai même changé l'adresse ip de la box 3 fois et le mot de passe en même temps.

J'ai regardé le fichier cccam.cfg de fond en combre avec la fonction recherche pour trouvé une ligne "F:" ou autre.

Peut être a t il mit un script a l'interieur de la box?

Merci encore une fois à toi

Bonsoir,

je l'a supprime a chaque fois,j'ai même changé l'adresse ip de la box 3 fois et le mot de passe en même temps.

J'ai regardé le fichier cccam.cfg de fond en combre avec la fonction recherche pour trouvé une ligne "F:" ou autre.

Peut être a t il mit un script a l'interieur de la box?

Merci encore une fois à toi

Salut Plaisir

Tu dois pas lâcher
Change des fichiers config comme Cccam et le prior pas des neufs efface également tout les fichiers log
Bonne chance

Salut Père nno,

t'en fait pas, je vais rien lâcher du tout tant que c'est pas lui qui abandonne!

Tu saurais m'en dire plus sur les fichiers log, leurs emplacement peut être?

Concernant les fichiers cccam.prio j'ai changé il y a pas longtemps (pris sur le site soirnet) et mon fichier cccam.cfg depuis mon image (TSimage)

Voilà pour ces infos

Merci à toi

Les fichiers log ce trouvent dans var ou usr/log tu peut les effacer ceux à la date du jour sans problème vérifie aussi les fichiers script. @+

J'ai effacé ce qui avait dans les fichiers log et j'ai donc pas supprimé le fichier en lui même car je suppose que ca affecterai la dream.

Je vais voir après ça si j'ai toujours ce fameux pirate...

Pour les scripts je n'ai pas encore regarder car je sais pas trop OU regarder en faite :XD:

Merci à toi

Salut Plaisir

Avec DCC en FTP dans usr/script mais pas effacer les fichiers sauf si tu vois un fichier bizarre tu me le montre avant.

Encore une fois plaisir ca serrait plus facile pour moi si tu m'étais ta signature a jour. "Dans Tableau de bord au dessus a droite"


Bonne journée

Salut père Nno,

Coté script je pense que tout est OK, j'ai regardé par rapport a la date de derniere modification et elles sont toutes intactes.

Pour ma signature, je viens de complété,je suppose que c'est les informations qu'il fallait noté.

Bien à toi

Qui c'est bon comme ca Plaisir

Autre solution fais un copier/coller de la ligne "gbox:$1$KkhV.rP0$b7o/2P35FeNzKvk1Km5xm/:0:0::/:/bin/sh" dans Google j'ai vu qu'il y en a beaucoup qui sont le même message que toi

@+

Déjà fait et pas beaucoup de solution à ça.

Il parle de fermer les ports 80,21,23 et si je les fermes je ne saurais pas accéder soit à la box par ftp ou bien regarder en streaming sur l'ordi.

Je n'ai vu que ça comme solution et évidement changer les mot de passe chose que j'ai déjà faite mainte fois.

Si je fais un rester factory à la Box, est ce que j'aurais du mal à tous remettre en route ou bien le principe reste le même que le flash simple?

Bien à toi

Je connais pas bien la dreambox.

Apres le restore factory tu reflashe normale avec la nouvelle image et peut un boot

Je ferrais ca en tout dernier et pas sur que tu délogera l'intrus.

Continue les recherches. ( je vais relancer une recherches aussi)

Je sais pas si il existe des antivirus pour Linux ?

@+

Et moi j'y connais rien en Linux :D

Si on pouvait mettre un antivirus dans la dreambox on serai tous tranquille!

Moi aussi je vais continuer à regarder un peu partout si une solution se débloque.

Encore merci et merci à toi

vas voir ici Plaisir "Sécuriser votre dreambox contre les hackeur " ici plus haut dans emigna II

tu en as pour l'après midi :p

Je te souhaite bien du plaisir

Oui oui déjà vu ceci...

Ca n'a rien changé chez moi :-)

Bien à toi

Déjà fait et pas beaucoup de solution à ça.

Il parle de fermer les ports 80,21,23 et si je les fermes je ne saurais pas accéder soit à la box par ftp ou bien regarder en streaming sur l'ordi.

Je n'ai vu que ça comme solution et évidement changer les mot de passe chose que j'ai déjà faite mainte fois.

Si je fais un rester factory à la Box, est ce que j'aurais du mal à tous remettre en route ou bien le principe reste le même que le flash simple?

Bien à toi

Salut plaisir

Contrairement à ce que je t'ai dit.

Lui il dit que le meilleur moyens d'en être quitte c'est restore factory et changé aussi les ports d'entrées.

Bon courage

Salut père Nno,

Aujourd'hui j'ai changé d'image et j'ai encore changé de mot de passe de la dreambox.

Pour le moment tout va bien ! OUff

J'attends encore un jour ou deux pour crier victoire...

Je pense aussi avoir fait une mauvaise manoeuvre au niveau du fichier passwd, je m'explique:

Une fois que j'avais modifié le mot de passe via telnet, j'avais vu que juste a coté de root: j'avais une série de lettre et de chiifre. Je pensais donc que ceci était le pirate et j'effacais tout et remettais root:00 00 ect...

Et je pense bien que mon erreur vient de là,je pense que ces chiffres et lettre dans le désordre sont en faite mon mot de passe façon crypté.

Si ma théorie est correcte, le problème serait résolu.

J'espère que j'ai été assez claire sur mon explication :-)

Bonne soirée et encore merci