rsyslog stoppe son travail

Bonjour,


Le vendredi 03 février 2012, Laurent RAYSSIGUIER a écrit...

Si je relance /etc/init.d/rsyslog restart, les logs repartent
correctement, mais stoppent au bout de quelques minutes.

Et rsyslog tourne toujours ? (/etc/init.d/rsyslog status)
kern.log est il affecté ? Il y a qqch dans /proc/kmsg ?

J'ai peur que la machine soit hackée, qu'en pensez-vous ?

As tu essayé de voir avec fuser quels étaient les processus qui écrivent
sur les fichiers ? Lancé un testeur de rootkit ? Essayé de comparer les
sommes md5 de certains utilitaires qui pourraient|devraient avoir été
modifiés (rsyslogd,netstat…) ?

--
jm

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20120203114007.GE923@espinasse

Salut Jean-Michel,

Et rsyslog tourne toujours ? (/etc/init.d/rsyslog status)

Oui il est toujours marqué actif "rsyslogd is running".
Mais les logs ne s'incrivent pas.

Par exemple avec /var/log/syslog :
Feb 3 10:17:43 smtp postfix/smtpd[3777]: warning: 92.103.253.164:
hostname reverse.completel.net verification failed: Name or service not
known
Feb 3 10:17:43 smtp postfix/smtpd[3777]: connect from
unknown[92.103.253.164]
Feb 3 10:17:43 smtp postfix/smtpd[3753]: warning: SASL authentication
failure: realm changed: authentication aborted
Feb 3 10:41:30 smtp kernel: imklog 4.6.4, log source = /proc/kmsg
started.
Feb 3 10:41:30 smtp rsyslogd: [origin software="rsyslogd"
swVersion="4.6.4" x-pid="4446" x-info="http://www.rsyslog.com"]
(re)start
Feb 3 10:41:41 smtp postfix/master[4410]: terminating on signal 15
Feb 3 10:41:41 smtp postfix/master[4553]: daemon started -- version
2.7.1, configuration /etc/postfix
Feb 3 10:41:41 smtp postfix/qmgr[4560]: 7B53513C55:
from=<s.desson@impfrance.fr>, size6015, nrcpt=8 (queue active)
Feb 3 10:41:44 smtp postfix/smtpd[4564]: connect from
host80-159-static.9-188-b.business.telecomitalia.it[188.9.159.80]
Feb 3 10:41:44 smtp postfix/smtpd[4564]: warning: SASL authentication
failure: realm changed: authentication aborted

Les logs stoppent à 10:17:43 et repartent lors de mon rsyslog restart à
10:41

kern.log est il affecté ?

root@smtp:~# cat /var/log/kern.log
Feb 3 10:41:30 smtp kernel: imklog 4.6.4, log source = /proc/kmsg
started.
Feb 3 10:51:42 smtp kernel: imklog 4.6.4, log source = /proc/kmsg
started.
Feb 3 11:09:34 smtp kernel: imklog 4.6.4, log source = /proc/kmsg
started.

Il y a qqch dans /proc/kmsg ?

Un cat de ce truc ne me donner rien en tout cas.
Je n'ai rien et cela ne rend pas la main.

J'ai peur que la machine soit hackée, qu'en pensez-vous ?

As tu essayé de voir avec fuser quels étaient les processus qui écrivent
sur les fichiers ?

root@smtp:~# lsof |grep /var/log/syslog
rsyslogd 13038 root 1w REG 254,0 3589840 73131
/var/log/syslog
root@smtp:~# lsof |grep /var/log/mail.log
rsyslogd 13038 root 7w REG 254,0 3588630 73545
/var/log/mail.log
root@smtp:~# fuser /var/log/syslog
/var/log/syslog: 13038

Lancé un testeur de rootkit ?

Non, mais si la machine est infectée, est-ce que cela va servir à
quelque-chose ?

Essayé de comparer les
sommes md5 de certains utilitaires qui pourraient|devraient avoir été
modifiés (rsyslogd,netstat…) ?

Sur 2 debian que j'ai réinstalé hier j'ai ceci :

root@relay1:~# md5sum -b /usr/sbin/rsyslogd
d3a68e0b5c1de68abb857f4f21fa3963 */usr/sbin/rsyslogd

root@nasmail:~# md5sum -b /usr/sbin/rsyslogd
d3a68e0b5c1de68abb857f4f21fa3963 */usr/sbin/rsyslogd

Sur la machine en question, j'ai ceci :

root@smtp:~# md5sum -b /usr/sbin/rsyslogd
b276d2a6ca5e588e45308f8937ba21b2 */usr/sbin/rsyslogd

Pareil sur netstat, les valeurs sont identiques sur les 2 vms neuves et
pas sur ce serveur smtp... :-(

C'est pas cool, non ?

--
Laurent Rayssiguier
http://linuxtips.castres-wireless.org

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4f2be21e$0$4177$426a74cc@news.free.fr

Re,

Lancé un testeur de rootkit ?

chkrootkit me dit ceci :
Searching for suspicious files and dirs, it may take a while... The
following suspicious files and directories were found:
/usr/lib/pymodules/python2.6/.path /lib/init/rw/.ramfs

J'ai pas trouvé grand chose dessus :
root@smtp:~# file /lib/init/rw/.ramfs
/lib/init/rw/.ramfs: empty
root@smtp:~# file /usr/lib/pymodules/python2.6/.path
/usr/lib/pymodules/python2.6/.path: ASCII text
root@smtp:~# cat /usr/lib/pymodules/python2.6/.path
/usr/lib/pymodules/python2.6
root@smtp:~# ll /usr/lib/pymodules/python2.6/.path
-rw-r--r-- 1 root root 29 22 mars 2011
/usr/lib/pymodules/python2.6/.path

Je ne suis vraiment pas à l'aise avec ce type de debug, désolé :-)

A+
Laurent

--
Laurent Rayssiguier
http://linuxtips.castres-wireless.org

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4f2be3a9$0$32605$426a74cc@news.free.fr

Bonjour,


Le vendredi 03 février 2012, Laurent RAYSSIGUIER a écrit...

>Il y a qqch dans /proc/kmsg ?
Un cat de ce truc ne me donner rien en tout cas.
Je n'ai rien et cela ne rend pas la main.

Ben, c'est normal, surtout si il n'y a rien.

Sur 2 debian que j'ai réinstalé hier j'ai ceci :

root@relay1:~# md5sum -b /usr/sbin/rsyslogd
d3a68e0b5c1de68abb857f4f21fa3963 */usr/sbin/rsyslogd

root@nasmail:~# md5sum -b /usr/sbin/rsyslogd
d3a68e0b5c1de68abb857f4f21fa3963 */usr/sbin/rsyslogd

Sur la machine en question, j'ai ceci :

root@smtp:~# md5sum -b /usr/sbin/rsyslogd
b276d2a6ca5e588e45308f8937ba21b2 */usr/sbin/rsyslogd

Pareil sur netstat, les valeurs sont identiques sur les 2 vms neuves
et pas sur ce serveur smtp... :-(

Ce sont des architectures identiques ? Si oui, Tu pourrais récupérer les
binaires des bonnes pour les mettre sur la "mauvaise". Eventuellement,
faire une image disque de la machine suspectée, pour analyse future,
surtout si tu la bouzilles pour la remettre à neuf.

Avec les bons binaires, effectuer des comparaisons des sorties de ps,
netstat, lsof.

En cherchant sur les archives (mais il y a longtemps), tu pourrais
trouver une petite appli créée par le sieur F. Boisson qui est peut-être
toujours sur cette liste, qui va chercher les processus cachés.

PS : les fichiers .ramfs et .path existent bien.

--
jm

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20120203160745.GI923@espinasse

Bonjour,

je rencontre un problème qui ne me plait pas du tout...
Je viens de constater que sur une VM Debian 6.0.4 j'ai un soucis de logs.

Mes fichier /var/log/mail.log, /var/log/syslog et consorts ne se remplissent
plus.

Si je relance /etc/init.d/rsyslog restart, les logs repartent correctement,
mais stoppent au bout de quelques minutes.

J'ai eu l'appel d'une personne dont je n'ai hélas pas retenu le nom,
désolé...

Ce Monsieur m'a proposé d'exporter mes logs vers un serveur syslog
externe, or je me suis rappellé à ce moment là que j'avais fait cela
sur certaines machines.
Et le serveur qui me posait problème en fait partie.

J'ai constaté que la carte réseau du serveur syslog merde et que je
perd une foultitude de paquets vers cette machine.
Il est fort possible que cela soit le nombre trop important de
connexions syslog perdues qui stoppent ou crashent le démon.
J'ai désactivé le remote log en attendant de changer de carte réseau
sur le syslog, et je verrai bien si cela a un lien.

Je vais voir à l'usage ce que cela donne :-)

Cordialement,
Laurent

--
Laurent Rayssiguier
http://linuxtips.castres-wireless.org

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4f2c004f$0$14940$426a74cc@news.free.fr

Bonjour,

root@smtp:~# md5sum -b /usr/sbin/rsyslogd
b276d2a6ca5e588e45308f8937ba21b2 */usr/sbin/rsyslogd

Pareil sur netstat, les valeurs sont identiques sur les 2 vms neuves
et pas sur ce serveur smtp... :-(

Ce sont des architectures identiques ?

Bien vu JM, ce ne sont pas les mêmes, d'où la différence de md5sum :-)
Mes machine neuves sont en 64 bits et celle qui pose problème en 32.

J'ai vu le soucis du remote log entre temps, je vais voir ce que cela
donne.

Merci pour tes pistes en tout cas :-)

A+

--
Laurent Rayssiguier
http://linuxtips.castres-wireless.org

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4f2c082d$0$16214$426a74cc@news.free.fr

Le 03/02/2012 11:18:09, Laurent RAYSSIGUIER a écrit :

Mes fichier /var/log/mail.log, /var/log/syslog et consorts ne se
remplissent plus.

J’ai le même problème depuis quelques temps, les journaux ne se
remplissent plus à partir de 8h du matin environ.

nicolas patrois : pts noir asocial
--
RÉALISME

M : Qu'est-ce qu'il nous faudrait pour qu'on nous considère comme des
humains ? Un cerveau plus gros ?
P : Non... Une carte bleue suffirait...

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/1328289693.7140.8@new-host-2.home