Re: rsyslog stoppe son travail
Bonjour, Le vendredi 03 février 2012, Laurent RAYSSIGUIER a écrit... Si je relance /etc/init.d/rsyslog restart, les logs repartent correctement, mais stoppent au bout de quelques minutes. Et rsyslog tourne toujours ? (/etc/init.d/rsyslog status) kern.log est il affecté ? Il y a qqch dans /proc/kmsg ? J'ai peur que la machine soit hackée, qu'en pensez-vous ? As tu essayé de voir avec fuser quels étaient les processus qui écrivent sur les fichiers ? Lancé un testeur de rootkit ? Essayé de comparer les sommes md5 de certains utilitaires qui pourraient|devraient avoir été modifiés (rsyslogd,netstat…) ? -- jm -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20120203114007.GE923@espinasse
Re: rsyslog stoppe son travail
Salut Jean-Michel, Et rsyslog tourne toujours ? (/etc/init.d/rsyslog status) Oui il est toujours marqué actif rsyslogd is running. Mais les logs ne s'incrivent pas. Par exemple avec /var/log/syslog : Feb 3 10:17:43 smtp postfix/smtpd[3777]: warning: 92.103.253.164: hostname reverse.completel.net verification failed: Name or service not known Feb 3 10:17:43 smtp postfix/smtpd[3777]: connect from unknown[92.103.253.164] Feb 3 10:17:43 smtp postfix/smtpd[3753]: warning: SASL authentication failure: realm changed: authentication aborted Feb 3 10:41:30 smtp kernel: imklog 4.6.4, log source = /proc/kmsg started. Feb 3 10:41:30 smtp rsyslogd: [origin software=rsyslogd swVersion=4.6.4 x-pid=4446 x-info=http://www.rsyslog.com;] (re)start Feb 3 10:41:41 smtp postfix/master[4410]: terminating on signal 15 Feb 3 10:41:41 smtp postfix/master[4553]: daemon started -- version 2.7.1, configuration /etc/postfix Feb 3 10:41:41 smtp postfix/qmgr[4560]: 7B53513C55: from=s.des...@impfrance.fr, size=156015, nrcpt=8 (queue active) Feb 3 10:41:44 smtp postfix/smtpd[4564]: connect from host80-159-static.9-188-b.business.telecomitalia.it[188.9.159.80] Feb 3 10:41:44 smtp postfix/smtpd[4564]: warning: SASL authentication failure: realm changed: authentication aborted Les logs stoppent à 10:17:43 et repartent lors de mon rsyslog restart à 10:41 kern.log est il affecté ? root@smtp:~# cat /var/log/kern.log Feb 3 10:41:30 smtp kernel: imklog 4.6.4, log source = /proc/kmsg started. Feb 3 10:51:42 smtp kernel: imklog 4.6.4, log source = /proc/kmsg started. Feb 3 11:09:34 smtp kernel: imklog 4.6.4, log source = /proc/kmsg started. Il y a qqch dans /proc/kmsg ? Un cat de ce truc ne me donner rien en tout cas. Je n'ai rien et cela ne rend pas la main. J'ai peur que la machine soit hackée, qu'en pensez-vous ? As tu essayé de voir avec fuser quels étaient les processus qui écrivent sur les fichiers ? root@smtp:~# lsof |grep /var/log/syslog rsyslogd 13038root1w REG 254,0 3589840 73131 /var/log/syslog root@smtp:~# lsof |grep /var/log/mail.log rsyslogd 13038root7w REG 254,0 3588630 73545 /var/log/mail.log root@smtp:~# fuser /var/log/syslog /var/log/syslog: 13038 Lancé un testeur de rootkit ? Non, mais si la machine est infectée, est-ce que cela va servir à quelque-chose ? Essayé de comparer les sommes md5 de certains utilitaires qui pourraient|devraient avoir été modifiés (rsyslogd,netstat…) ? Sur 2 debian que j'ai réinstalé hier j'ai ceci : root@relay1:~# md5sum -b /usr/sbin/rsyslogd d3a68e0b5c1de68abb857f4f21fa3963 */usr/sbin/rsyslogd root@nasmail:~# md5sum -b /usr/sbin/rsyslogd d3a68e0b5c1de68abb857f4f21fa3963 */usr/sbin/rsyslogd Sur la machine en question, j'ai ceci : root@smtp:~# md5sum -b /usr/sbin/rsyslogd b276d2a6ca5e588e45308f8937ba21b2 */usr/sbin/rsyslogd Pareil sur netstat, les valeurs sont identiques sur les 2 vms neuves et pas sur ce serveur smtp... :-( C'est pas cool, non ? -- Laurent Rayssiguier http://linuxtips.castres-wireless.org -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/4f2be21e$0$4177$426a7...@news.free.fr
Re: rsyslog stoppe son travail
Re, Lancé un testeur de rootkit ? chkrootkit me dit ceci : Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found: /usr/lib/pymodules/python2.6/.path /lib/init/rw/.ramfs J'ai pas trouvé grand chose dessus : root@smtp:~# file /lib/init/rw/.ramfs /lib/init/rw/.ramfs: empty root@smtp:~# file /usr/lib/pymodules/python2.6/.path /usr/lib/pymodules/python2.6/.path: ASCII text root@smtp:~# cat /usr/lib/pymodules/python2.6/.path /usr/lib/pymodules/python2.6 root@smtp:~# ll /usr/lib/pymodules/python2.6/.path -rw-r--r-- 1 root root 29 22 mars 2011 /usr/lib/pymodules/python2.6/.path Je ne suis vraiment pas à l'aise avec ce type de debug, désolé :-) A+ Laurent -- Laurent Rayssiguier http://linuxtips.castres-wireless.org -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/4f2be3a9$0$32605$426a7...@news.free.fr
Re: rsyslog stoppe son travail
Bonjour, je rencontre un problème qui ne me plait pas du tout... Je viens de constater que sur une VM Debian 6.0.4 j'ai un soucis de logs. Mes fichier /var/log/mail.log, /var/log/syslog et consorts ne se remplissent plus. Si je relance /etc/init.d/rsyslog restart, les logs repartent correctement, mais stoppent au bout de quelques minutes. J'ai eu l'appel d'une personne dont je n'ai hélas pas retenu le nom, désolé... Ce Monsieur m'a proposé d'exporter mes logs vers un serveur syslog externe, or je me suis rappellé à ce moment là que j'avais fait cela sur certaines machines. Et le serveur qui me posait problème en fait partie. J'ai constaté que la carte réseau du serveur syslog merde et que je perd une foultitude de paquets vers cette machine. Il est fort possible que cela soit le nombre trop important de connexions syslog perdues qui stoppent ou crashent le démon. J'ai désactivé le remote log en attendant de changer de carte réseau sur le syslog, et je verrai bien si cela a un lien. Je vais voir à l'usage ce que cela donne :-) Cordialement, Laurent -- Laurent Rayssiguier http://linuxtips.castres-wireless.org -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/4f2c004f$0$14940$426a7...@news.free.fr
Re: rsyslog stoppe son travail
Bonjour, Le vendredi 03 février 2012, Laurent RAYSSIGUIER a écrit... Il y a qqch dans /proc/kmsg ? Un cat de ce truc ne me donner rien en tout cas. Je n'ai rien et cela ne rend pas la main. Ben, c'est normal, surtout si il n'y a rien. Sur 2 debian que j'ai réinstalé hier j'ai ceci : root@relay1:~# md5sum -b /usr/sbin/rsyslogd d3a68e0b5c1de68abb857f4f21fa3963 */usr/sbin/rsyslogd root@nasmail:~# md5sum -b /usr/sbin/rsyslogd d3a68e0b5c1de68abb857f4f21fa3963 */usr/sbin/rsyslogd Sur la machine en question, j'ai ceci : root@smtp:~# md5sum -b /usr/sbin/rsyslogd b276d2a6ca5e588e45308f8937ba21b2 */usr/sbin/rsyslogd Pareil sur netstat, les valeurs sont identiques sur les 2 vms neuves et pas sur ce serveur smtp... :-( Ce sont des architectures identiques ? Si oui, Tu pourrais récupérer les binaires des bonnes pour les mettre sur la mauvaise. Eventuellement, faire une image disque de la machine suspectée, pour analyse future, surtout si tu la bouzilles pour la remettre à neuf. Avec les bons binaires, effectuer des comparaisons des sorties de ps, netstat, lsof. En cherchant sur les archives (mais il y a longtemps), tu pourrais trouver une petite appli créée par le sieur F. Boisson qui est peut-être toujours sur cette liste, qui va chercher les processus cachés. PS : les fichiers .ramfs et .path existent bien. -- jm -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20120203160745.GI923@espinasse
Re: rsyslog stoppe son travail
Bonjour, root@smtp:~# md5sum -b /usr/sbin/rsyslogd b276d2a6ca5e588e45308f8937ba21b2 */usr/sbin/rsyslogd Pareil sur netstat, les valeurs sont identiques sur les 2 vms neuves et pas sur ce serveur smtp... :-( Ce sont des architectures identiques ? Bien vu JM, ce ne sont pas les mêmes, d'où la différence de md5sum :-) Mes machine neuves sont en 64 bits et celle qui pose problème en 32. J'ai vu le soucis du remote log entre temps, je vais voir ce que cela donne. Merci pour tes pistes en tout cas :-) A+ -- Laurent Rayssiguier http://linuxtips.castres-wireless.org -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/4f2c082d$0$16214$426a7...@news.free.fr
