আমি একটি ডেবিয়ান সার্ভার চালিয়ে যাচ্ছি এবং কয়েক দিন আগে আমার আরএসল্লগ খুব অদ্ভুত আচরণ শুরু করেছিল, ডেমন চলছে তবে এটি কিছুই করার মতো মনে হচ্ছে না। অনেকে সিস্টেম ব্যবহার করেন তবে আমি (আইনী) মূল প্রবেশাধিকারের একমাত্র ব্যক্তি।
আমি ডিফল্ট আরএসল্লগ কনফিগারেশন ব্যবহার করছি (যদি আপনি প্রাসঙ্গিক মনে করেন তবে আমি এটি সংযুক্ত করব, তবে এটিই প্যাকেজটি নিয়ে আসে)।
আমি সমস্ত লগ ফাইলগুলি ঘোরানোর পরে সেগুলি খালি রয়েছে:
# ls -l /var/log/*.log
-rw-r--r-- 1 root root 0 Jun 27 00:25 /var/log/alternatives.log
-rw-r----- 1 root adm 0 Jun 26 13:03 /var/log/auth.log
-rw-r----- 1 root adm 0 Jun 26 13:03 /var/log/daemon.log
-rw-r--r-- 1 root root 0 Jun 27 00:25 /var/log/dpkg.log
-rw-r----- 1 root adm 0 Jun 26 13:03 /var/log/kern.log
-rw-r----- 1 root adm 0 Jun 26 13:03 /var/log/lpr.log
-rw-r----- 1 root adm 0 Jun 26 13:03 /var/log/mail.log
-rw-r----- 1 root adm 0 Jun 26 13:03 /var/log/user.log
লগ লেখার জন্য জোর করার যে কোনও প্রয়াসের কোনও প্রভাব নেই:
# logger hey
# ls -l /var/log/messages
-rw-r----- 1 root adm 0 Jun 26 13:03 /var/log/messages
লসফ দেখায় যে আরএসস্লগডে কোনও লগ ফাইল খোলা নেই:
# lsof -p 1855
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
rsyslogd 1855 root cwd DIR 202,0 4096 2 /
rsyslogd 1855 root rtd DIR 202,0 4096 2 /
rsyslogd 1855 root txt REG 202,0 342076 21649 /usr/sbin/rsyslogd
rsyslogd 1855 root mem REG 202,0 38556 32153 /lib/i386-linux-gnu/i686/cmov/libnss_nis-2.13.so
rsyslogd 1855 root mem REG 202,0 79728 32165 /lib/i386-linux-gnu/i686/cmov/libnsl-2.13.so
rsyslogd 1855 root mem REG 202,0 26456 32163 /lib/i386-linux-gnu/i686/cmov/libnss_compat-2.13.so
rsyslogd 1855 root mem REG 202,0 297500 1061058 /usr/lib/rsyslog/imuxsock.so
rsyslogd 1855 root mem REG 202,0 42628 32170 /lib/i386-linux-gnu/i686/cmov/libnss_files-2.13.so
rsyslogd 1855 root mem REG 202,0 22784 1061106 /usr/lib/rsyslog/imklog.so
rsyslogd 1855 root mem REG 202,0 1401000 32169 /lib/i386-linux-gnu/i686/cmov/libc-2.13.so
rsyslogd 1855 root mem REG 202,0 30684 32175 /lib/i386-linux-gnu/i686/cmov/librt-2.13.so
rsyslogd 1855 root mem REG 202,0 9844 32157 /lib/i386-linux-gnu/i686/cmov/libdl-2.13.so
rsyslogd 1855 root mem REG 202,0 117009 32154 /lib/i386-linux-gnu/i686/cmov/libpthread-2.13.so
rsyslogd 1855 root mem REG 202,0 79980 17746 /usr/lib/libz.so.1.2.3.4
rsyslogd 1855 root mem REG 202,0 18836 1061094 /usr/lib/rsyslog/lmnet.so
rsyslogd 1855 root mem REG 202,0 117960 31845 /lib/i386-linux-gnu/ld-2.13.so
rsyslogd 1855 root 0u unix 0xebe8e800 0t0 640 /dev/log
rsyslogd 1855 root 3u FIFO 0,5 0t0 2474 /dev/xconsole
rsyslogd 1855 root 4u unix 0xebe8e400 0t0 645 /var/spool/postfix/dev/log
rsyslogd 1855 root 5r REG 0,3 0 4026532176 /proc/kmsg
আমি এতটাই হতাশ হয়ে পড়েছিলাম যে এমনকি আরএসস্লগ প্যাকেজটি পুনরায় ইনস্টল করে তবে এটি কোনও কিছুতে লগ করতে অস্বীকার করে:
# apt-get remove --purge rsyslog
# apt-get install rsyslog
আমি ভেবেছিলাম কেউ সিস্টেম হ্যাক করেছে, সুতরাং নেটচ্যাট দ্বারা প্রদর্শিত পোর্টগুলির সাথে তুলনা করার জন্য একটি রিমোট হোস্টে লুকানো প্রক্রিয়া / বন্দরগুলি এবং এনএম্যাপ সন্ধানের প্রয়াসে rkunter, chkrootkit চালনা করুন। এবং আমি জানি এটির কোনও অর্থ নেই, তবে সমস্ত ঠিক আছে। সিস্টেমে একটি iptables ফায়ারওয়ালও রয়েছে যা আগত / বহির্গামী সংযোগগুলির সাথে খুব সীমাবদ্ধ।
এটি আমাকে পাগল করে দিচ্ছে, এখানে কি চলছে কোন ধারণা?
[সম্পাদনা - ডিস্ক স্থানের তথ্য]
# df -h
Filesystem Size Used Avail Use% Mounted on
rootfs 24G 22G 629M 98% /
/dev/root 24G 22G 629M 98% /
devtmpfs 10M 112K 9.9M 2% /dev
tmpfs 76M 48K 76M 1% /run
tmpfs 5.0M 0 5.0M 0% /run/lock
tmpfs 151M 40K 151M 1% /tmp
tmpfs 151M 0 151M 0% /run/shm
[সম্পাদনা - স্ট্রেস তথ্য]
স্ট্রেস আমার জন্য ঠিক আছে
[pid 28824] access("/var/log/auth.log", F_OK) = 0
[pid 28824] access("/var/log/syslog", F_OK) = 0
[pid 28824] access("/var/log/daemon.log", F_OK) = 0
[pid 28824] access("/var/log/kern.log", F_OK) = 0
[pid 28824] access("/var/log/lpr.log", F_OK) = 0
[pid 28824] access("/var/log/mail.log", F_OK) = 0
[pid 28824] access("/var/log/user.log", F_OK) = 0
[pid 28824] access("/var/log/mail.info", F_OK) = 0
[pid 28824] access("/var/log/mail.warn", F_OK) = 0
[pid 28824] access("/var/log/mail.err", F_OK) = 0
[pid 28824] access("/var/log/news/news.crit", F_OK) = 0
[pid 28824] access("/var/log/news/news.err", F_OK) = 0
[pid 28824] access("/var/log/news/news.notice", F_OK) = 0
[pid 28824] access("/var/log/debug", F_OK) = 0
[pid 28824] access("/var/log/messages", F_OK) = 0