Re: rsyslog stoppe son travail
Salut Jean-Michel,
Et rsyslog tourne toujours ? (/etc/init.d/rsyslog status)
Oui il est toujours marqué actif "rsyslogd is running".
Mais les logs ne s'incrivent pas.
Par exemple avec /var/log/syslog :
Feb 3 10:17:43 smtp postfix/smtpd[3777]: warning: 92.103.253.164:
hostname reverse.completel.net verification failed: Name or service not
known
Feb 3 10:17:43 smtp postfix/smtpd[3777]: connect from
unknown[92.103.253.164]
Feb 3 10:17:43 smtp postfix/smtpd[3753]: warning: SASL authentication
failure: realm changed: authentication aborted
Feb 3 10:41:30 smtp kernel: imklog 4.6.4, log source = /proc/kmsg
started.
Feb 3 10:41:30 smtp rsyslogd: [origin software="rsyslogd"
swVersion="4.6.4" x-pid="4446" x-info="http://www.rsyslog.com"]
(re)start
Feb 3 10:41:41 smtp postfix/master[4410]: terminating on signal 15
Feb 3 10:41:41 smtp postfix/master[4553]: daemon started -- version
2.7.1, configuration /etc/postfix
Feb 3 10:41:41 smtp postfix/qmgr[4560]: 7B53513C55:
from=<s.desson@impfrance.fr>, size=156015, nrcpt=8 (queue active)
Feb 3 10:41:44 smtp postfix/smtpd[4564]: connect from
host80-159-static.9-188-b.business.telecomitalia.it[188.9.159.80]
Feb 3 10:41:44 smtp postfix/smtpd[4564]: warning: SASL authentication
failure: realm changed: authentication aborted
Les logs stoppent à 10:17:43 et repartent lors de mon rsyslog restart à
10:41
kern.log est il affecté ?
root@smtp:~# cat /var/log/kern.log
Feb 3 10:41:30 smtp kernel: imklog 4.6.4, log source = /proc/kmsg
started.
Feb 3 10:51:42 smtp kernel: imklog 4.6.4, log source = /proc/kmsg
started.
Feb 3 11:09:34 smtp kernel: imklog 4.6.4, log source = /proc/kmsg
started.
Il y a qqch dans /proc/kmsg ?
Un cat de ce truc ne me donner rien en tout cas.
Je n'ai rien et cela ne rend pas la main.
J'ai peur que la machine soit hackée, qu'en pensez-vous ?
As tu essayé de voir avec fuser quels étaient les processus qui écrivent
sur les fichiers ?
root@smtp:~# lsof |grep /var/log/syslog
rsyslogd 13038 root 1w REG 254,0 3589840 73131
/var/log/syslog
root@smtp:~# lsof |grep /var/log/mail.log
rsyslogd 13038 root 7w REG 254,0 3588630 73545
/var/log/mail.log
root@smtp:~# fuser /var/log/syslog
/var/log/syslog: 13038
Lancé un testeur de rootkit ?
Non, mais si la machine est infectée, est-ce que cela va servir à
quelque-chose ?
Essayé de comparer les
sommes md5 de certains utilitaires qui pourraient|devraient avoir été
modifiés (rsyslogd,netstat…) ?
Sur 2 debian que j'ai réinstalé hier j'ai ceci :
root@relay1:~# md5sum -b /usr/sbin/rsyslogd
d3a68e0b5c1de68abb857f4f21fa3963 */usr/sbin/rsyslogd
root@nasmail:~# md5sum -b /usr/sbin/rsyslogd
d3a68e0b5c1de68abb857f4f21fa3963 */usr/sbin/rsyslogd
Sur la machine en question, j'ai ceci :
root@smtp:~# md5sum -b /usr/sbin/rsyslogd
b276d2a6ca5e588e45308f8937ba21b2 */usr/sbin/rsyslogd
Pareil sur netstat, les valeurs sont identiques sur les 2 vms neuves et
pas sur ce serveur smtp... :-(
C'est pas cool, non ?
--
Laurent Rayssiguier
http://linuxtips.castres-wireless.org
Reply to: