[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: rsyslog stoppe son travail

Salut Jean-Michel,


Et rsyslog tourne toujours ? (/etc/init.d/rsyslog status)

Oui il est toujours marqué actif "rsyslogd is running".
Mais les logs ne s'incrivent pas.

Par exemple avec /var/log/syslog :
Feb 3 10:17:43 smtp postfix/smtpd[3777]: warning: 92.103.253.164: hostname reverse.completel.net verification failed: Name or service not known Feb 3 10:17:43 smtp postfix/smtpd[3777]: connect from unknown[92.103.253.164] Feb 3 10:17:43 smtp postfix/smtpd[3753]: warning: SASL authentication failure: realm changed: authentication aborted Feb 3 10:41:30 smtp kernel: imklog 4.6.4, log source = /proc/kmsg started. Feb 3 10:41:30 smtp rsyslogd: [origin software="rsyslogd" swVersion="4.6.4" x-pid="4446" x-info="http://www.rsyslog.com";] (re)start 
Feb  3 10:41:41 smtp postfix/master[4410]: terminating on signal 15
Feb 3 10:41:41 smtp postfix/master[4553]: daemon started -- version 2.7.1, configuration /etc/postfix Feb 3 10:41:41 smtp postfix/qmgr[4560]: 7B53513C55: from=<s.desson@impfrance.fr>, size=156015, nrcpt=8 (queue active) Feb 3 10:41:44 smtp postfix/smtpd[4564]: connect from host80-159-static.9-188-b.business.telecomitalia.it[188.9.159.80] Feb 3 10:41:44 smtp postfix/smtpd[4564]: warning: SASL authentication failure: realm changed: authentication aborted
Les logs stoppent à 10:17:43 et repartent lors de mon rsyslog restart à 10:41 


kern.log est il affecté ?

root@smtp:~# cat /var/log/kern.log
Feb 3 10:41:30 smtp kernel: imklog 4.6.4, log source = /proc/kmsg started. Feb 3 10:51:42 smtp kernel: imklog 4.6.4, log source = /proc/kmsg started. Feb 3 11:09:34 smtp kernel: imklog 4.6.4, log source = /proc/kmsg started. 


Il y a qqch dans /proc/kmsg ?

Un cat de ce truc ne me donner rien en tout cas.
Je n'ai rien et cela ne rend pas la main.




J'ai peur que la machine soit hackée, qu'en pensez-vous ?


As tu essayé de voir avec fuser quels étaient les processus qui écrivent
sur les fichiers ?

root@smtp:~# lsof |grep /var/log/syslog
rsyslogd 13038 root 1w REG 254,0 3589840 73131 /var/log/syslog 
root@smtp:~# lsof |grep /var/log/mail.log
rsyslogd 13038 root 7w REG 254,0 3588630 73545 /var/log/mail.log 
root@smtp:~# fuser /var/log/syslog
/var/log/syslog:     13038


Lancé un testeur de rootkit ?
Non, mais si la machine est infectée, est-ce que cela va servir à quelque-chose ? 


Essayé de comparer les
sommes md5 de certains utilitaires qui pourraient|devraient avoir été
modifiés (rsyslogd,netstat…) ?

Sur 2 debian que j'ai réinstalé hier j'ai ceci :

root@relay1:~#  md5sum -b /usr/sbin/rsyslogd
d3a68e0b5c1de68abb857f4f21fa3963 */usr/sbin/rsyslogd

root@nasmail:~#  md5sum -b /usr/sbin/rsyslogd
d3a68e0b5c1de68abb857f4f21fa3963 */usr/sbin/rsyslogd

Sur la machine en question, j'ai ceci :

root@smtp:~#  md5sum -b /usr/sbin/rsyslogd
b276d2a6ca5e588e45308f8937ba21b2 */usr/sbin/rsyslogd
Pareil sur netstat, les valeurs sont identiques sur les 2 vms neuves et pas sur ce serveur smtp... :-( 

C'est pas cool, non ?

--
Laurent Rayssiguier
http://linuxtips.castres-wireless.org
Reply to: