Re: Disparition de logs
Le 12468ième jour après Epoch,
Yann Autissier écrivait:
> Bonsoir,
>
> Je dispose actuellement sur Paris d'un serveur d'hébergement dédié
> sous debian, stable avec quelques paquetages "backportés" (iptables),
> ou "sherpyanisés" (php4).
C'est quoi "sherpyanisés" ??
> Jeudi, alors que, depuis une dixaine de minutes, le serveur semblait
> répondre difficilement, et que l'affichage des textes, en console ssh,
> n'était plus simultané à la frappe, j'ai totalement perdu le controle
> sur celui-ci.
>
> Après le reboot, il manque, dans les principaux logs, 2 bonnes heures...
> Je n'ai plus aucun log du Jeudi 19 Fev. entre 17h et 19h30 (heure du
> reboot).
> Logcheck ne m'a envoyé aucun mail pendant cette période.
>
> Est-ce normal ?
Oui, si ta machine a été hackée, c'est normal. En général on efface la
trace potentielle d'une intrusion quelconque.
> syslog:
> Feb 19 17:34:55 localhost pop3d-ssl: LOGOUT, user=xxxx, ip=[::ffff:],
> top=0, retr=0
> Feb 19 17:36:22 localhost ucd-snmp[240]: Connection from XXX.XXX.XXX.XXX
> Feb 19 17:36:23 localhost last message repeated 6 times
> Feb 19 19:30:09 localhost syslogd 1.4.1#10: restart.
> Feb 19 19:30:09 localhost kernel: klogd 1.4.1#10, log source =
> /proc/kmsg started.
Là, par contre, c'est un restart de log, genre la machine a rebooté ou
ses démons sont repartis. Voir éventuellement le uptime (modifiable
tout de même par un ver) pour être sûr.
> Que s'est-il passé ?
> Que vérifier ?
uptime
chkrootkit
coupure de courant chez l'hébergeur
> Dois-je demander une réinstallation ?
A toi de voir...
--
"By golly, I'm beginning to think Linux really *is* the best thing since
sliced bread."
(By Vance Petree, Virginia Power)
Reply to: