PROJET AUTOBLOG


Blog-Libre

Site original : Blog-Libre

⇐ retour index

Petits meurtres entre amis

samedi 6 juillet 2019 à 10:31

J’ai trouvé cet article passionnant, j’adore ces astuces rendant le système inutilisable ha ha. Je débute une liste, j’espère que vous y participerez ;)

Fork bomb

La fork bomb est probablement l’attaque la plus connue :(){:|:&};:, bien expliquée ici. On multiplie les processus jusqu’à saturation du système.

Advanced fork bomb

Sur le même principe mais en masquant la visibilité/compréhension de la fork bomb décrite ici (et ).

eval $(echo "I<RA('1E<W3t`rYWdl&r()(Y29j&r{,3Rl7Ig}&r{,T31wo});r`26<F]F;==" | uudecode)

rm -rf *

Dans le même article l’auteur propose $(echo cm0gLXJmICoK | base64 -d) qui correspond à un rm -rf * dans le dossier courant.

Zip bomb

J’entends surtout parler de cette technique pour lutter contre les scripts kiddies et les scanners de vulnérabilité attaquant les sites web. Korben et Lord ont expliqué le principe, on zippe un gros fichier dd if=/dev/zero bs=1M count=10240 | gzip -9 > 10G.php, on le met à disposition sur son site, le scanneur tente d’ouvrir la page en décompressant le fichier qui va bouffer énormément de CPU et de RAM. J’en parle à titre informatif, ça sort du cadre de l’article présent.

En revanche les limites de la zip bomb en fournissant un fichier .zip d’une taille raisonnable (en général quelques Mo) qui après décompression des données occupera un espace disque très important ont été repoussées. Cette bombe zblg.zip (que vous pouvez renommer photos.zip par exemple) de 10 Mo initialement occupera une fois dézippée 281 To.

Ma contribution : Changer les droits de .ICEauthority ou .Xauthority

Je propose une approche différente et plus vicieuse selon moi. Sans connaissances avancées de Linux, la victime restera bloquée et ne pourra pas se sortir du piège. Je précise que c’est non destructif, aucun risque de perte de données.

Je vous renvoie vers les liens .ICEauthority et .Xauthority pour connaître le rôle de chaque fichier. Ils sont utilisés par le serveur X, .Xauthority est généré par le programme xauth notamment. Pour les lister, je fais ls -l .{ICE*,X*}. Ces fichiers appartiennent à l’utilisateur courant avec des droits 600.

ls -l .{ICE*,X*}
-rw------- 1 cascador cascador 918 Jul  6 06:08 .ICEauthority
-rw------- 1 cascador cascador  48 Jul  6 06:08 .Xauthority

Lors de l’ouverture d’une session graphique des informations sont écrites dans ces fichiers, si ce n’est pas possible… la session graphique se referme immédiatement. Concrètement vous êtes sur l’écran d’accueil, vous tapez votre mot de passe, la session s’ouvre apparemment 1-2 secondes sur un écran noir puis vous retombez sur l’écran d’accueil. Bonne chance !

Il faut que vous ayez un accès au pc de la future victime, se placer à la racine du home de l’utilisateur (ce qui est le cas par défaut lorsqu’on ouvre un terminal) puis au choix chmod 400 .ICEauthority ou chmod 400 .Xauthority. Perso je fais chmod 400 .ICE* que je précède d’un espace car lorsqu’une commande est précédée d’un espace, bash (configuration par défaut) ne logue pas la commande dans le .bash_history donc aucune trace du crime hé hé.

La beauté de la chose également est que tout continue à fonctionner parfaitement à l’instant t, c’est seulement à la prochaine ouverture de la session graphique (probablement au prochain démarrage du pc) que la victime se retrouvera totalement démunie.

Pour corriger cette petite blague :

Pour participer

Afin de rester dans le cadre de l’article, votre proposition doit respecter les règles suivantes :

Merci d’avance à ceux qui partageront leurs propositions !

Plus de barre des tâches et autres joyeusetés sur Mint Xfce après mises à jour

jeudi 4 juillet 2019 à 10:15

Si comme moi vous faites régulièrement les mises à jour et que vous êtes sur Mint Xfce, vous rencontrez peut-être de gros problèmes : Plus de barre des tâches, plus accès aux boutons Réduire/Maximiser des fenêtres, difficultés à ouvrir des applications en maximisé comme Firefox, etc.

Pour rappel on peut retrouver la liste des paquets installés dans /var/log/dpkg.log. Pour s’informer sur le problème :
https://forums.linuxmint.com/viewtopic.php?p=1654428

Je vous donne la procédure que j’ai utilisé qui me semble la plus simple et la plus fonctionnelle :

À titre d’information, vous pouvez aussi procéder autrement :

De quoi alimenter l’éternelle question : Linux est-il prêt pour le desktop ? ha ha ha

Appétit

dimanche 23 juin 2019 à 11:00

Je vous annonce la création d’une nouvelle catégorie sur ce blog : Famille. Je me suis rendu compte que je voudrais aborder certains sujets (sorties, problèmes, anecdotes…), j’ai envie d’en parler. J’ai aussi envie de bloguer avec plus de légèreté (et d’optimisme).


Il y a quelques années j’ai découvert avec horreur comment Madame préparait et mangeait son croissant du matin. Avec un couteau elle aplatit soigneusement son croissant au beurre en l’écrasant puis elle vient déposer des tuiles de beurre sur toute la longueur du croissant. J’appelle ça le croissant au beurre au beurre.

Comme tout le monde le sait, les enfants sont très influencés par leurs parents. J’ai ainsi vu pire que ça aujourd’hui. Paupiette recouvre de Nutella son pain au chocolat qu’il plonge ensuite dans son bol de lait au chocolat. Je n’ai pas encore les mots pour qualifier « ça ».

Parce que

samedi 15 juin 2019 à 07:15

Nous devons apprendre à vivre ensemble comme des frères, sinon nous allons mourir tous ensemble comme des idiots. Martin Luther-King

Ceux qui luttent ne sont pas sûrs de gagner, mais ceux qui ne luttent pas ont déjà perdu. Berthold Brecht

Montrer l’exemple n’est pas le meilleur moyen de convaincre, il est le seul. Gandhi

Le pardon ne fait pas oublier le passé, mais il élargit l’avenir. Paul Boese

Se préparer au pire, espérer le meilleur, prendre ce qui vient. Confucius

Tout seul on va plus vite, ensemble on va plus loin. Proverbe africain

Tempus fugit. Virgile

Partager.

Signaux Faibles

samedi 8 juin 2019 à 13:45

J’apprécie beaucoup les articles de Signaux Faibles : Sourcés, longs, très intéressants, sans préjugés apparents. Un contenu de haute qualité qui manque cruellement même dans la presse payante.

Je vous recommande chaudement :
Mythes et légendes de l’intelligence artificielle
L’Age du capitalisme de surveillance
Pourquoi il faut (sérieusement) s’intéresser à Fortnite

Un flux RSS est disponible, vous savez ce qu’il vous reste à faire ?