Re: rsyslog stoppe son travail

[Jean-Michel OLTRA <jm.oltra.antispam@espinasse.net>]

    Bonjour,


Le vendredi 03 février 2012, Laurent RAYSSIGUIER a écrit...


> >Il y a qqch dans /proc/kmsg ?
> Un cat de ce truc ne me donner rien en tout cas.
> Je n'ai rien et cela ne rend pas la main.

Ben, c'est normal, surtout si il n'y a rien.

> Sur 2 debian que j'ai réinstalé hier j'ai ceci :

> root@relay1:~#  md5sum -b /usr/sbin/rsyslogd
> d3a68e0b5c1de68abb857f4f21fa3963 */usr/sbin/rsyslogd

> root@nasmail:~#  md5sum -b /usr/sbin/rsyslogd
> d3a68e0b5c1de68abb857f4f21fa3963 */usr/sbin/rsyslogd

> Sur la machine en question, j'ai ceci :

> root@smtp:~#  md5sum -b /usr/sbin/rsyslogd
> b276d2a6ca5e588e45308f8937ba21b2 */usr/sbin/rsyslogd

> Pareil sur netstat, les valeurs sont identiques sur les 2 vms neuves
> et pas sur ce serveur smtp... :-(

Ce sont des architectures identiques ? Si oui, Tu pourrais récupérer les
binaires des bonnes pour les mettre sur la "mauvaise". Eventuellement,
faire une image disque de la machine suspectée, pour analyse future,
surtout si tu la bouzilles pour la remettre à neuf.

Avec les bons binaires, effectuer des comparaisons des sorties de ps,
netstat, lsof.

En cherchant sur les archives (mais il y a longtemps), tu pourrais
trouver une petite appli créée par le sieur F. Boisson qui est peut-être
toujours sur cette liste, qui va chercher les processus cachés.

PS : les fichiers .ramfs et .path existent bien.

-- 
jm