Accès Premium
GNT sans publicité, site mobile, fonctionnalitées exclusives...
Rejoignez-nous !
Forums Linux Linux Debian

rsyslog stoppe son travail

Le
Laurent RAYSSIGUIER
Bonjour,

je rencontre un problème qui ne me plait pas du tout
Je viens de constater que sur une VM Debian 6.0.4 j'ai un soucis de
logs.

Mes fichier /var/log/mail.log, /var/log/syslog et consorts ne se
remplissent plus.

Si je relance /etc/init.d/rsyslog restart, les logs repartent
correctement, mais stoppent au bout de quelques minutes.

L'espace disque est bon :
root@smtp:~# df -h
Sys. de fichiers Taille Uti. Disp. Uti% Monté sur
/dev/mapper/relay2-root
7,3G 1,5G 5,5G 21% /
tmpfs 252M 0 252M 0% /lib/init/rw
udev 247M 92K 247M 1% /dev
tmpfs 252M 0 252M 0% /dev/shm
/dev/sda1 228M 17M 199M 8% /boot

J'ai peur que la machine soit hackée, qu'en pensez-vous ?

Cordialement

Laurent

--
Laurent Rayssiguier
http://linuxtips.castres-wireless.org

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4f2bb461$0$4198$426a74cc@news.free.fr
Lire les 7 réponses

Questions / Réponses high-tech
Poser une question
Vidéos High-Tech et Jeu Vidéo
Plus de vidéos
Téléchargements
Plus de téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Jean-Michel OLTRA
Le #24217591
Bonjour,


Le vendredi 03 février 2012, Laurent RAYSSIGUIER a écrit...


Si je relance /etc/init.d/rsyslog restart, les logs repartent
correctement, mais stoppent au bout de quelques minutes.



Et rsyslog tourne toujours ? (/etc/init.d/rsyslog status)
kern.log est il affecté ? Il y a qqch dans /proc/kmsg ?

J'ai peur que la machine soit hackée, qu'en pensez-vous ?



As tu essayé de voir avec fuser quels étaient les processus qui écrivent
sur les fichiers ? Lancé un testeur de rootkit ? Essayé de comparer les
sommes md5 de certains utilitaires qui pourraient|devraient avoir été
modifiés (rsyslogd,netstat…) ?

--
jm

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Répondre en citant
Laurent RAYSSIGUIER
Le #24218021
Salut Jean-Michel,

Et rsyslog tourne toujours ? (/etc/init.d/rsyslog status)


Oui il est toujours marqué actif "rsyslogd is running".
Mais les logs ne s'incrivent pas.

Par exemple avec /var/log/syslog :
Feb 3 10:17:43 smtp postfix/smtpd[3777]: warning: 92.103.253.164:
hostname reverse.completel.net verification failed: Name or service not
known
Feb 3 10:17:43 smtp postfix/smtpd[3777]: connect from
unknown[92.103.253.164]
Feb 3 10:17:43 smtp postfix/smtpd[3753]: warning: SASL authentication
failure: realm changed: authentication aborted
Feb 3 10:41:30 smtp kernel: imklog 4.6.4, log source = /proc/kmsg
started.
Feb 3 10:41:30 smtp rsyslogd: [origin software="rsyslogd"
swVersion="4.6.4" x-pid="4446" x-info="http://www.rsyslog.com"]
(re)start
Feb 3 10:41:41 smtp postfix/master[4410]: terminating on signal 15
Feb 3 10:41:41 smtp postfix/master[4553]: daemon started -- version
2.7.1, configuration /etc/postfix
Feb 3 10:41:41 smtp postfix/qmgr[4560]: 7B53513C55:
from= Feb 3 10:41:44 smtp postfix/smtpd[4564]: connect from
host80-159-static.9-188-b.business.telecomitalia.it[188.9.159.80]
Feb 3 10:41:44 smtp postfix/smtpd[4564]: warning: SASL authentication
failure: realm changed: authentication aborted

Les logs stoppent à 10:17:43 et repartent lors de mon rsyslog restart à
10:41

kern.log est il affecté ?


:~# cat /var/log/kern.log
Feb 3 10:41:30 smtp kernel: imklog 4.6.4, log source = /proc/kmsg
started.
Feb 3 10:51:42 smtp kernel: imklog 4.6.4, log source = /proc/kmsg
started.
Feb 3 11:09:34 smtp kernel: imklog 4.6.4, log source = /proc/kmsg
started.

Il y a qqch dans /proc/kmsg ?


Un cat de ce truc ne me donner rien en tout cas.
Je n'ai rien et cela ne rend pas la main.


J'ai peur que la machine soit hackée, qu'en pensez-vous ?



As tu essayé de voir avec fuser quels étaient les processus qui écrivent
sur les fichiers ?


:~# lsof |grep /var/log/syslog
rsyslogd 13038 root 1w REG 254,0 3589840 73131
/var/log/syslog
:~# lsof |grep /var/log/mail.log
rsyslogd 13038 root 7w REG 254,0 3588630 73545
/var/log/mail.log
:~# fuser /var/log/syslog
/var/log/syslog: 13038

Lancé un testeur de rootkit ?


Non, mais si la machine est infectée, est-ce que cela va servir à
quelque-chose ?

Essayé de comparer les
sommes md5 de certains utilitaires qui pourraient|devraient avoir été
modifiés (rsyslogd,netstat…) ?


Sur 2 debian que j'ai réinstalé hier j'ai ceci :

:~# md5sum -b /usr/sbin/rsyslogd
d3a68e0b5c1de68abb857f4f21fa3963 */usr/sbin/rsyslogd

:~# md5sum -b /usr/sbin/rsyslogd
d3a68e0b5c1de68abb857f4f21fa3963 */usr/sbin/rsyslogd

Sur la machine en question, j'ai ceci :

:~# md5sum -b /usr/sbin/rsyslogd
b276d2a6ca5e588e45308f8937ba21b2 */usr/sbin/rsyslogd

Pareil sur netstat, les valeurs sont identiques sur les 2 vms neuves et
pas sur ce serveur smtp... :-(

C'est pas cool, non ?

--
Laurent Rayssiguier
http://linuxtips.castres-wireless.org

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/4f2be21e$0$4177$
Répondre en citant
Laurent RAYSSIGUIER
Le #24218061
Re,

Lancé un testeur de rootkit ?


chkrootkit me dit ceci :
Searching for suspicious files and dirs, it may take a while... The
following suspicious files and directories were found:
/usr/lib/pymodules/python2.6/.path /lib/init/rw/.ramfs

J'ai pas trouvé grand chose dessus :
:~# file /lib/init/rw/.ramfs
/lib/init/rw/.ramfs: empty
:~# file /usr/lib/pymodules/python2.6/.path
/usr/lib/pymodules/python2.6/.path: ASCII text
:~# cat /usr/lib/pymodules/python2.6/.path
/usr/lib/pymodules/python2.6
:~# ll /usr/lib/pymodules/python2.6/.path
-rw-r--r-- 1 root root 29 22 mars 2011
/usr/lib/pymodules/python2.6/.path

Je ne suis vraiment pas à l'aise avec ce type de debug, désolé :-)

A+
Laurent

--
Laurent Rayssiguier
http://linuxtips.castres-wireless.org

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/4f2be3a9$0$32605$
Répondre en citant
Jean-Michel OLTRA
Le #24218301
Bonjour,


Le vendredi 03 février 2012, Laurent RAYSSIGUIER a écrit...


>Il y a qqch dans /proc/kmsg ?
Un cat de ce truc ne me donner rien en tout cas.
Je n'ai rien et cela ne rend pas la main.



Ben, c'est normal, surtout si il n'y a rien.

Sur 2 debian que j'ai réinstalé hier j'ai ceci :

:~# md5sum -b /usr/sbin/rsyslogd
d3a68e0b5c1de68abb857f4f21fa3963 */usr/sbin/rsyslogd

:~# md5sum -b /usr/sbin/rsyslogd
d3a68e0b5c1de68abb857f4f21fa3963 */usr/sbin/rsyslogd

Sur la machine en question, j'ai ceci :

:~# md5sum -b /usr/sbin/rsyslogd
b276d2a6ca5e588e45308f8937ba21b2 */usr/sbin/rsyslogd

Pareil sur netstat, les valeurs sont identiques sur les 2 vms neuves
et pas sur ce serveur smtp... :-(



Ce sont des architectures identiques ? Si oui, Tu pourrais récupérer les
binaires des bonnes pour les mettre sur la "mauvaise". Eventuellement,
faire une image disque de la machine suspectée, pour analyse future,
surtout si tu la bouzilles pour la remettre à neuf.

Avec les bons binaires, effectuer des comparaisons des sorties de ps,
netstat, lsof.

En cherchant sur les archives (mais il y a longtemps), tu pourrais
trouver une petite appli créée par le sieur F. Boisson qui est peut-être
toujours sur cette liste, qui va chercher les processus cachés.

PS : les fichiers .ramfs et .path existent bien.

--
jm

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Répondre en citant
Laurent RAYSSIGUIER
Le #24218291
Bonjour,

je rencontre un problème qui ne me plait pas du tout...
Je viens de constater que sur une VM Debian 6.0.4 j'ai un soucis de logs.

Mes fichier /var/log/mail.log, /var/log/syslog et consorts ne se remplissent
plus.

Si je relance /etc/init.d/rsyslog restart, les logs repartent correctement,
mais stoppent au bout de quelques minutes.



J'ai eu l'appel d'une personne dont je n'ai hélas pas retenu le nom,
désolé...

Ce Monsieur m'a proposé d'exporter mes logs vers un serveur syslog
externe, or je me suis rappellé à ce moment là que j'avais fait cela
sur certaines machines.
Et le serveur qui me posait problème en fait partie.

J'ai constaté que la carte réseau du serveur syslog merde et que je
perd une foultitude de paquets vers cette machine.
Il est fort possible que cela soit le nombre trop important de
connexions syslog perdues qui stoppent ou crashent le démon.
J'ai désactivé le remote log en attendant de changer de carte réseau
sur le syslog, et je verrai bien si cela a un lien.

Je vais voir à l'usage ce que cela donne :-)

Cordialement,
Laurent

--
Laurent Rayssiguier
http://linuxtips.castres-wireless.org

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/4f2c004f$0$14940$
Répondre en citant
Publicité
Suivre les réponses
Poster une réponse
Anonyme