consulta de logs messages
Estimados, A alguien le ha ocurrido esto? veo un salto de horario en los logs, y aparte que estoy buscando algun log informandome de un problema que ocurrio cerca de las 6 a 7 de la mañana y lo unico que me encuentro es esto! Jul 26 06:09:41 Principal snmpd[21309]: Connection from UDP: [172.20.1.2]:55233 Jul 26 06:09:41 Principal snmpd[21309]: Connection from UDP: [172.20.1.2]:55234 Jul 26 06:09:41 Principal snmpd[21309]: Received SNMP packet(s) from UDP: [172.20.1.2]:55234 Jul 26 06:09:41 Principal snmpd[21309]: Connection from UDP: [172.20.1.131]:55234 Jul 26 07:11:59 Principal kernel: device eth1 left promiscuous mode Jul 26 07:11:59 Principal kernel: device eth1 entered promiscuous mode Jul 26 06:12:46 Principal init: Id "rc" respawning too fast: disabled for 5 minutes Jul 26 06:13:46 Principal init: Id "rcc" respawning too fast: disabled for 5 minutes Jul 26 07:15:48 Principal kernel: device lo left promiscuous mode Jul 26 07:15:49 Principal kernel: device lo entered promiscuous mode Jul 26 06:17:50 Principal init: Id "rc" respawning too fast: disabled for 5 minutes Atento a sus amables comentarios. -- *Luis Araneda Cortés*
Re: consulta de logs messages
Hola, primero que nada si tu no pusiste eth1 en modo promiscuo alguien mas lo hizo. Los mensajes de init respecto a rc y rcc?? son mas sospechosos aún. revisa contra tu gestor de paquetes si hay modificaciones en tus binarios. cuéntanos como te va. Claudio Aracena C. "Amat victoria curam" El 28 de julio de 2014, 15:32, Luis Enrique Araneda escribió: > Estimados, > > A alguien le ha ocurrido esto? veo un salto de horario en los logs, y > aparte que estoy buscando algun log informandome de un problema que ocurrio > cerca de las 6 a 7 de la mañana y lo unico que me encuentro es esto! > > Jul 26 06:09:41 Principal snmpd[21309]: Connection from UDP: > [172.20.1.2]:55233 > Jul 26 06:09:41 Principal snmpd[21309]: Connection from UDP: > [172.20.1.2]:55234 > Jul 26 06:09:41 Principal snmpd[21309]: Received SNMP packet(s) from UDP: > [172.20.1.2]:55234 > Jul 26 06:09:41 Principal snmpd[21309]: Connection from UDP: > [172.20.1.131]:55234 > Jul 26 07:11:59 Principal kernel: device eth1 left promiscuous mode > Jul 26 07:11:59 Principal kernel: device eth1 entered promiscuous mode > Jul 26 06:12:46 Principal init: Id "rc" respawning too fast: disabled for 5 > minutes > Jul 26 06:13:46 Principal init: Id "rcc" respawning too fast: disabled for > 5 minutes > Jul 26 07:15:48 Principal kernel: device lo left promiscuous mode > Jul 26 07:15:49 Principal kernel: device lo entered promiscuous mode > Jul 26 06:17:50 Principal init: Id "rc" respawning too fast: disabled for 5 > minutes > > Atento a sus amables comentarios. > > > > > -- > > *Luis Araneda Cortés* >
Re: consulta de logs messages
last -20 revisa las ultimas conexiones al server. revisa tu firewall para verificar desde donde se pueden conectar. Busca todos los archivos que tengan fechas de modificacion o creacion la fecha del incidente incluye los archivos ocultos. cambia las claves de acceso. no permitar que el root se logue por consola, define solo un usuario que lo pueda hacer y unelo al grupo wheel. busca usuarios nuevos creados. escanea con antirootkit. Ponte en modo paranoico :D y como dice Claudio, si tu no pusistela eth1 en promiscuous alguien mas lo hizo. y recuerda que un buen intruso siempre borra sus huellas. Te recomiendo instalar ossec para problemas similares Suerte El 28 de julio de 2014, 16:35, Claudio Aracena Castex < claudio.arac...@gmail.com> escribió: > Hola, > > primero que nada si tu no pusiste eth1 en modo promiscuo alguien mas lo > hizo. Los mensajes de init respecto a rc y rcc?? son mas sospechosos aún. > > revisa contra tu gestor de paquetes si hay modificaciones en tus binarios. > > cuéntanos como te va. > > > Claudio Aracena C. > "Amat victoria curam" > > > > El 28 de julio de 2014, 15:32, Luis Enrique Araneda > escribió: > > > Estimados, > > > > A alguien le ha ocurrido esto? veo un salto de horario en los logs, y > > aparte que estoy buscando algun log informandome de un problema que > ocurrio > > cerca de las 6 a 7 de la mañana y lo unico que me encuentro es esto! > > > > Jul 26 06:09:41 Principal snmpd[21309]: Connection from UDP: > > [172.20.1.2]:55233 > > Jul 26 06:09:41 Principal snmpd[21309]: Connection from UDP: > > [172.20.1.2]:55234 > > Jul 26 06:09:41 Principal snmpd[21309]: Received SNMP packet(s) from UDP: > > [172.20.1.2]:55234 > > Jul 26 06:09:41 Principal snmpd[21309]: Connection from UDP: > > [172.20.1.131]:55234 > > Jul 26 07:11:59 Principal kernel: device eth1 left promiscuous mode > > Jul 26 07:11:59 Principal kernel: device eth1 entered promiscuous mode > > Jul 26 06:12:46 Principal init: Id "rc" respawning too fast: disabled > for 5 > > minutes > > Jul 26 06:13:46 Principal init: Id "rcc" respawning too fast: disabled > for > > 5 minutes > > Jul 26 07:15:48 Principal kernel: device lo left promiscuous mode > > Jul 26 07:15:49 Principal kernel: device lo entered promiscuous mode > > Jul 26 06:17:50 Principal init: Id "rc" respawning too fast: disabled > for 5 > > minutes > > > > Atento a sus amables comentarios. > > > > > > > > > > -- > > > > *Luis Araneda Cortés* > > >
Re: consulta de logs messages
Yo creo que debe revisar primaremente que proceso eesta correindo a esa hora , un cron o algo asi, si la maquina esta virtualizada o no ... suele pasar que si el host tiene problemas la vm tambien los tendra yo optaria por poner un cron cada una hora con ntp y volver a revisar si es un problema de hd o de algun proceso en particular Saludos El 28 de julio de 2014, 17:04, Pablo Alberto Flores escribió: > last -20 revisa las ultimas conexiones al server. > > revisa tu firewall para verificar desde donde se pueden conectar. > Busca todos los archivos que tengan fechas de modificacion o creacion la > fecha del incidente incluye los archivos ocultos. > cambia las claves de acceso. > no permitar que el root se logue por consola, define solo un usuario que lo > pueda hacer y unelo al grupo wheel. > busca usuarios nuevos creados. > escanea con antirootkit. > > Ponte en modo paranoico :D y como dice Claudio, si tu no pusistela eth1 en > promiscuous alguien mas lo hizo. > y recuerda que un buen intruso siempre borra sus huellas. > > > Te recomiendo instalar ossec para problemas similares > > Suerte > > El 28 de julio de 2014, 16:35, Claudio Aracena Castex < > claudio.arac...@gmail.com> escribió: > > > Hola, > > > > primero que nada si tu no pusiste eth1 en modo promiscuo alguien mas lo > > hizo. Los mensajes de init respecto a rc y rcc?? son mas sospechosos aún. > > > > revisa contra tu gestor de paquetes si hay modificaciones en tus > binarios. > > > > cuéntanos como te va. > > > > > > Claudio Aracena C. > > "Amat victoria curam" > > > > > > > > El 28 de julio de 2014, 15:32, Luis Enrique Araneda > > escribió: > > > > > Estimados, > > > > > > A alguien le ha ocurrido esto? veo un salto de horario en los logs, y > > > aparte que estoy buscando algun log informandome de un problema que > > ocurrio > > > cerca de las 6 a 7 de la mañana y lo unico que me encuentro es esto! > > > > > > Jul 26 06:09:41 Principal snmpd[21309]: Connection from UDP: > > > [172.20.1.2]:55233 > > > Jul 26 06:09:41 Principal snmpd[21309]: Connection from UDP: > > > [172.20.1.2]:55234 > > > Jul 26 06:09:41 Principal snmpd[21309]: Received SNMP packet(s) from > UDP: > > > [172.20.1.2]:55234 > > > Jul 26 06:09:41 Principal snmpd[21309]: Connection from UDP: > > > [172.20.1.131]:55234 > > > Jul 26 07:11:59 Principal kernel: device eth1 left promiscuous mode > > > Jul 26 07:11:59 Principal kernel: device eth1 entered promiscuous mode > > > Jul 26 06:12:46 Principal init: Id "rc" respawning too fast: disabled > > for 5 > > > minutes > > > Jul 26 06:13:46 Principal init: Id "rcc" respawning too fast: disabled > > for > > > 5 minutes > > > Jul 26 07:15:48 Principal kernel: device lo left promiscuous mode > > > Jul 26 07:15:49 Principal kernel: device lo entered promiscuous mode > > > Jul 26 06:17:50 Principal init: Id "rc" respawning too fast: disabled > > for 5 > > > minutes > > > > > > Atento a sus amables comentarios. > > > > > > > > > > > > > > > -- > > > > > > *Luis Araneda Cortés* > > > > > >
