Il se trouve qu’EC2 fonctionne pas mal du tout, même avec une instance micro (2.27Ghz, 600Mo) et 100Go de disque en plus. Ca met un temps dingue pour compiler mais à l’usage j’ai l’impression que c’est plus réactif que l’ancien serveur chez OVH.

Question prix, j’appréhende un peu mais j’ai espoir que ça soit moins cher que chez OVH, y compris en tenant compte du taux de change et des frais que cette saloperie de banque va m’imposer.

Pour info, mon instance me coûte 0.02$ / heure, mes 100Go 0.125$ / Go, et une somme ridicule pour les entrées sorties sur le disque (l’utilisation brute, en quelque sorte)

Et j’ai un peu plus confiance en Amazon question pérennité, en plus l’interface est plus jolie, et je peux rajouter des Go si je veux quand je veux. Brefle : tout buen.

Et vu qu’aujourd’hui mon Nagios est tout vert, ça veut dire que tout fonctionne comme sur l’ancien serveur.

Migré, baby

Toujours garder un œil sur le ciel …

Depuis environ vendredi midi jusqu’à dimanche environ midi ce serveur a été hors ligne.

Ce serveur est un RPS chez OVH (un serveur physique, pour faire simple) installé avec Gentoo. Je le met à jour quotidiennement, environ, et je le redémarre une fois par mois. Il se trouve que vendredi il a crashé, d’où redémarrage… qui n’a pas fonctionné.

Après avoir testé les différentes méthodes de sauvetage proposées par OVH (kvm, mode rescue), après avoir fait appel au service technique (qui ne m’a jamais aidé depuis le temps que je suis chez eux), j’ai trouvé la cause : la mise à jour d’openrc.

Jouons aux 5 Pourquois, tiens :

• Pourquoi la mise à jour d’openrc n’a pas fonctionné ? Je suppose leur noyau (2.6.32) trop vieux.
• Pourquoi le noyau est-il trop vieux ? Parce qu’ils n’ont jamais pris la peine d’en fournir un plus récent
• Pourquoi n’ont-ils jamais pris cette peine ? Parce soit c’est des gros cons, soit je ne sais pas.

Hop, fin des 5 Pourquois.

J’avais eu des déboires, dans le temps, avec udev : une version plus récente que la 151 était incompatible avec leur noyau.

Brefl, le support technique m’a dit « L’offre RPS est en fin de vie, remplacée par VPS » Je teste VPS. Ca m’a l’air sexy, bien que l’interface soit incroyablement lente et qu’ils m’ait réinstallé le serveur sans me demander comme ça en loucedé sous le manteau bande de bâtards.

Au boulot je m’ouvre à ces soucis métaphysique, on m’aiguille vers l’offre EC2 d’Amazon. Elle consiste en la création de serveurs virtuels à la vitesse de la lumière, ou pas loin : clic, clic, clic, hop le serveur est en ligne. Le prix ? Ca dépend … de l’utilisation (cpu, bande passante, … ) En d’autres termes : vous avez un compte chez Amazon (pour commander des bouquins) hop en quelques clics vous avez un serveur environ gratos, sur lequel vous êtes maître du monde.

En plus de ça un collègue de moi a fabriqué une image pour avoir Gentoo sur EC2. Il n’en fallait pas plus : je teste l’EC2 d’Amazon.

Tout ça pour dire que ce serveur va migrer, soit vers un VPS de chez OVH, soit vers EC2 chez Amazon. Ca risque donc de secouer un peu d’ici la fin du mois.

Préambule

Mon serveur est sous Linux Debian à jour. Le noyau est home made (3.1.0-rc3)

Mon firewall était un OpenBSD. « Était » parce qu’il est HS et je l’ai remplacé avant le jour de l’an par mon point d’accès wifi. Ce dernier fait donc passerelle Wan. Je l’ai configuré pour qu’entrent les ports habituels (http, https, ssh, … ) Avec mon OpenBSD je contrôlais quelles ip entraient en ssh chez moi. Évidemment ce n’est plus le cas avec le point d’accès.

Ma base de comptes utilisateurs est en ldap, sur une autre machine. Dans cette base ldap existent quelques comptes ‘applicatifs’ dont un : ‘upload’

Récit

Je découvre dans les logs (j’ai toujours un shell qui a un oeil sur les logs) que l’utilisateur ‘upload’ fait des choses :

pam_unix(cron:session): session opened for user upload by (uid=0)
pam_unix(cron:session): session opened for user www-data by (uid=0)
pam_unix(cron:session): session closed for user upload

En deux mots : cron lance des choses de cet utilisateur. Or ce compte me servait de compte-pot-de-miel pour un serveur ftp. Je vous le donne en mille : le mot de passe est ‘upload’. Et cet utilisateur n’est pas censé avoir de crontab.

La commande ‘w’ m’indique que l’utilisateur upload est connecté, et que la commande qu’il est en train de lancer est ‘sh’. Cet utilisateur n’est pas censé être loggé, et encore moins lancer un shell.

Un ‘ps -aufx’ m’indique des processus à lui : ./ntpd, ./init, sh et pop3-mail

Le chemin en ‘./’ des binaires m’informe qu’il sont lancés depuis le répertoire où ils demeurent, ce qui n’est pas normal pour ces processus (ntpd et init existent bien sur ma machine mais leur nom quand je fais ‘ps’ est ntpd et init). Quant à pop3-mail, il n’a rien à faire ici.

Je suis donc en présence d’un petit piratin qui a installé et lancé des choses chez moi. Et ça ne me plaît pas. Je soupçonne qu’un rootkit ait été installé. ‘lsmod’ ne m’indique rien de fâcheux (ce qui ne prouve rien, étant donné qu’un rootkit modifie justement lsmod pour qu’il n’indique rien de fâcheux)

Je récupère les pid des process et ‘ls -al /proc/<pid>/exe’ me donne le chemin absolu des executables : /tmp/.bash/[...] Intrusion confirmée.

Un saut dans ce répertoire :
 512 ./
 0 ../
 24K CHANGES
 4,0K config.h
 20K COPYING
 4,0K FAQ
 512 .h/
 12K hdparm
 5,0K help/
 733K .h.tgz
 0 lang/
 0 log/
 4,0K Makefile
 4,0K makefile.out
 8,0K makesalt
 0 menuconf/
 0 motd/
 436K ntpd
 4,0K psybncchk
 4,0K psybnc.conf
 4,0K psybnc.conf.old
 577K psybnc-linux-ro.tgz
 4,0K psybnc.md5sum
 4,0K psybnc.pid
 36K README
 4,0K README.ro
 4,0K salt.h
 16K SCRIPTING
 0 scripts/
 1,5K src/
 4,0K targets.mak
 4,0K TODO
 512 tools/
 512 webmail/

psybnc est un robot client irc …

Et je trouve dans /tmp:

4,0K libno_ex.so.1.0
8,0K suid
8,0K udev

Ces deux derniers ne tournent pas. A posteriori, là, je soupçonne ces binaires de servir à exploiter une faille du noyau. Google me confirme : http://securityvulns.com/Vdocument698.html

Je tue les process en question, je bouge le répertoire /tmp/.bash et les binaires de /tmp, je supprime le compte upload et je lance une recompilation du noyau.

Dans les logs, je vois :

pam_unix(cron:account): could not identify user (from getpwnam(upload))

Une crontab de upload est toujours lancée par cron. ‘lsof’ ne m’indique pourtant aucun fichier ouvert appartenant à upload.

Je lance chkrootkit et rkhunter, qui ne m’indiquent rien de probant (à part les faux positifs habituels) Je fais presque entièrement confiance à ces outils, et couplé au fait que je mette à jour mon serveur régulièrement et que mon noyau soit fait maison, ça me fait dire qu’un rootkit a bien peu de chances d’avoir été installé.

Indice supplémentaire : s’il y en a avait eu un, je n’aurais jamais vu les process que j’ai découvert.

Un reboot plus tard (ne JAMAIS faire de reboot : vous risquez de perdre des preuves et d’aggraver les choses, mais en l’occurrence, sur un serveur perso…) et upload ne lance plus de cron. Je récupère tout de même sa crontab (dans /var/spool/cron/crontabs/)

Moralités

Les mauvaises idées :

• Laisser trainer de comptes applicatifs à mot de passe faible, et possédant un shell
• Ne pas faire de copier d’écran, ne pas lancer ‘script’ (qui enregistre tout ce que vous tapez) afin de garder plus de preuves.
• Monter /tmp sans le bit ‘no-executable’ (ce qui était le cas chez moi)

Les bonnes idées :

• Toujours avoir un œil sur les logs.
• Avoir un firewall qui filtre les accès ssh
• Avoir des serveurs à jour tant au niveau appli que noyau.
• Avoir des sauvegardes (pour vérifier les faux positifs de rkhunter)
• Avoir rkhunter et chkrootkit sous la main
• Connaître ps, lsmod, lsof, ‘ls -al /proc/<pid>/’

Si certain veulent jouer, voilà tout le matériel que j’ai récupéré :
intrusion1.tgz

L’ip d’où s’est connecté le script 222.186.29.69 (Chine)
L’ip qui était connectée à mon serveur 176.9.68.53 (Allemagne)

Je ne comprends plus ce que je fais et pourquoi je le fais. Je vois des mots, leurs mots, mais il n’y plus de sens derrière. Dès que je les lis hop un store se tire et me masque la vue du sens. Ce n’est pas le cas du reste de la phrase, au demeurant.

Quand je les entends le matin je me dis « mais quelle langue parlent-ils ? » Je ne comprends plus leur vocabulaire. Je le pourrais mais il faut que je fasse des efforts et me plonge dans mon dictionnaire interne. Au lieu de ça ils m’étourdissent, m’obscurcissent l’esprit comme quand je suis en colère. Ils me voilent la vue. Ma tête refuse de s’y accrocher.

Mais alors, pourquoi je ne les comprends plus ? Parce qu’ils ne sont plus de mon monde ?

Exact, mais l’ont-ils été ? Je crois n’avoir jamais été aussi peu motivé qu’en ce moment. Je ne vois plus le sens de ce que je fais. Il y avait du fun, avant, de la motivation, une grande envie de participer. Mais il n’y a plus.

J’ai le cerveau qui vibre, comme quand l’alcool monte. Engourdi ? Hypoglycémie ?

Je vois tout en décalé, comme dans une cage de verre dépoli. Les images sont là, présentent, mais le sens n’y est plus.

Alors échappée. Parenthèse enneigée. Des nuages, encore, mais blancs. D’autres préoccupations et si je ne vois plus rien, alors, ce n’est plus la faute de l’esprit !

Je joue les garde du corps et reste à distance, participe de loin et reste dans son ombre. Elle danse, je compte les points. Je sais ce qu’elle fait, je sais comment ça va se terminer. Dans ma cage de verre, je regarde et je m’en fou. Je ne bouge pas une oreille, je sais qu’elle va faire le boulot. Je me repose … Au moins n’attend-on rien de moi, dans ce coin-là du monde.

Back to the real world, l’atterrissage est difficile. Il n’a pas changé ce putain de monde, pense-tu. Tout au plus ai-je emmagasiné un peu de bonne énergie, quelques précieux conseils et de bons souvenirs. Je n’y ai pas laissé de traces, je ne pense pas, je n’eut pas voulu …

La piste n’est plus si droite, si uniforme. Le temps est haché, il n’est plus possible de se concentrer plus de 2 min sur un sujet. Elle est là la différence entre le temps du voyage et le temps du travail.

Je ne comprends pas plus le sens de leurs mots, leurs motivations m’échappe toujours et j’ai toujours le cerveau qui vibre de temps à autre. Je mets la musique à font : elle couvre le bruit de mes doigts qui tapent et me déconcentrent de ce que je pense.

Je voudrais du calme et du temps.

Tracklist :

• « One Step Closer », de Linkin Park. Parce que le « break » à la fin est la parole que j’avais en tête en partant. Et ma foi, en fait, les paroles collent bien !

Le repique, ou repinique, est un instrument à percussion (ah ouais ? ) de 8, 10 ou 12″ de diamètre sur 22 ou 30cm de haut. Comme tous les autres « tambours » il est constitué d’un fût (bien souvent en alu) fermé par deux peaux, bien souvent en plastique, reliées par des tirants au nombre de 6, 8, ou 12.

Dans le Samba Enredo, la peau est frappée par une baguette en bois et par la main (c’est la fameuse claque, tout comme le tamborim a son fameux retourné) . C’est un peu étrange mais on s’y fait, sans quasiment jamais se taper sur les doigts (mais en finissant par bien se tuer la main, que ça soit à force de taper sur la peau ou en se l’empalant sur les tirants). Le repique est suspendu au bout d’une sangle, comme la caixa ou le surdo. La baguette est à bouts rond ; pas comme les baguettes de batterie ou de caixa, qui ont une sort d’ogive. Il n’est pas rare de briser sa baguette et qu’un bout fuse à travers la bateria.

Dans le Samba Reggae, la peau est fouettée par deux baguettes souples (en plastique), et le repique est maintenue par une ceinture.

La phrase de base du repique est celle-ci (en Samba Enredo) : centre, bord, bord, main, centre, bord, bord, main, … Sachant que ‘centre’ et ‘bord’ veulent dire : taper avec la baguette au centre ou sur le bord. Et ‘main’, bah faut donner une claque sur la peau du repique. Le temps est sur ‘centre’

Le repique est aussi un instrument qui a l’air facile d’accès, mais qui a une richesse inimaginable. Une bateria est composée d’une section de repique, qui comprend un ou deux premiers repique. Les branleurs, c’est eux : ils ne jouent jamais, sauf pour faire les appels, des breaks, ou les questions-réponses. Ce sont les plus doués de la section, et pour cause : un appel foiré et c’est toute la bateria qui démarre en bordel, une question-réponse merdique et c’est tout le publique qui se fait chier. Tout comme certaines choses de la vie, les appels et les questions-réponses doivent être faites par un seul repique. Parfois le premier repique condescend à jouer avec vous, mais c’est généralement pour coller des variations ou des solos de furieux qu’il ne vaut mieux pas trop suivre au risque de vous perdre (mais de l’extérieur ça sonne p* grave).

L’appel … l’appel repique auquel tout sambiste répond au quart de tour … Ca devient réflexe avant d’avoir un an de samba dans les mains. L’appel est donc lancé par le premier repique. C’est l’appel qui donne la cadence de toute la bateria. Il en existe plusieurs standards, mais le premier repique peut varier : en inventer, broder sur ceux de base, … Mais il faut qu’il se termine toujours de la même manière, reconnue par tous les sambistes de l’univers, sans quoi la bateria ne démarrera pas. Un appel repique peut aussi lancer un break (break funk, break de Mocidade, … )

De même pour les questions-réponses. Le repique fait une certaine séquence (la question) et toute la bateria répond par une autre séquence. Et ce deux fois (au cas où certains ne connaîtraient pas la réponse). A force les questions-réponses se gravent dans vos mains, tout comme le démarrage qui suit à l’appel repique. Elles n’ont pas de nom ; pour les citer, chantez-les. La plupart des questions-réponses sont connues de tous les sambistes. Et des non-sambistes : question : « toum. toum. toum. » Réponse ?¹

Une baguette, une main, et vous pouvez varier les plaisirs à l’infini. C’est l’instrument qui se prête le plus à l’improvisation (à part le pandeiro, hé hé ). Variation de la phrase de base, taper au centre plutôt que sur le bord (ou vice-versa), décaler d’un quart de temps, frisé, rimshot, roulement, … Vous êtes le roi du pétrole.

Le repique forme la « couleur » de la musique. Une bonne section repique vous donne le sourire et vous fait danser. Une variation ou un solo et vous avez la banane et tendez l’oreille pour apprécier.

Muni de cet instrument vous pouvez vous entraîner à la caixa (suffit d’une baguette de plus) ou au surdo. Vous pouvez essayer de jouer du tamborim mais vous risquez de vous blesser.

Un repique vaut au moins 100€. 175€ pour un 12″ 8 tirants chez Contemporanêa, par exemple.

1. « PAMPAM »

Ou le déclic « je suis une tanche »

Autant j’ai vaguement une réponse pour les deux premières, autant je ne savais pas vraiment répondre à la dernière …

Quoi qu’il soit, comment dire … J’ai explosé de rire, jeudi dernier, sur les Champs, en prenant conscience, bienheureuse révélation, que je suis une quiche, une tanche intersidérale.

En quoi ? En quelques domaines sans grandes importance : prise de Grandes Décisions, pêche à la girelle, gestion de relations proches (dont, au moins, celle entre moi et moi-même, mais surtout avec les gens qui me touchent). Je suis une indéniable truffe dans au moins ces domaines. Et cette révélation est en faite merveilleuse : courge finie, je n’ai pas de point de comparaison donc pas de pression, pas de modèle, pas de chemin donc pas de peur de me tromper.

Liberté absolue, le kif.

Rien à perdre (je ne peux pas régresser, hé ! ), mon niveau est le zéro absolu dans ces domaines. Je ne peux pas tomber plus bas, tout progrès est une cerise sur le gâteau, une victoire éphémère, un cadeau bonux.

Poireau complet, tous les espoirs me sont donc permis.

Tracklist : « Sweet Charlemagne », de Misteur Valaire (ce que je peux adorer Misteur Valaire … ) pour le rythme de ces phrases : « 1 : je grossi. 2 : je ne maigri pas. 3 : je ne réfléchi pas à ce que fais. 4 : je ne fini pas ce que je commence. 5 : je perds mon temps à l’université », qui ressemble à celui de celles du titre de ce billet.

Un script shell tout simple. Prenez l’image que vous voulez dans la vidéo (par exemple la jaquette de l’album, récupérée chez Amazon.com) et laissez le script faire :

any2yoube -jpg /tmp/cover-golden-bombay-mv-300d.jpg -i ’05 – Dan Dan.ogg’

La fichier vidéo sera dans /tmp, son nom sera basé sur le nom du fichier audio.

Le script a besoin de bash pour tourner. Ainsi que ogginfo et mp3info pour trouver la durée de la chanson, et de ffmpeg pour encoder.

Et continuer dans une cave voûtée à se laisser charmer par une voix. Et ne pas la regarder parce que ce n’est pas utile, en fait. Continuer à planer et en vouloir à mort à ceux essaient de vous faire descendre.

Tracklist :

• « Fatigante », de Louise Attaque, pour « tout danse autour de moi »

• « Le sel de mon âme », de Soem, pour le rythme des paroles.