Envoyer les logs en urgence en cas d'attaque

[Nello]

Bonjour,

on le sait bien, en cas d'attaque et d'intrusion, la première chose dont l'attaquant se préoccupe est d'effacer ses traces. Il s'attaque donc aux fichiers logs. Difficile après coup d'analyser quoi que ce soit.

Pour ma part, j'utilise un script qui m'envoie tous les logs par mail toutes les 4 heures. Malheureusement, si un attaquant modifie les logs dans l'intervalle, ce dispositif ne me servira à rien.

Comme j'utilise mod_security et fail2ban, je me demandais s'il existe un programme de ce type (ou basé sur des règles similaires, ou même une bidouille quelconque) qui enverrait tous les logs en cours dès qu'une intrusion serait détectée.

Merci d'avance

PS : je parle de mails car je ne dispose pas d'autre machine pour "pomper" les logs régulièrement (sinon ce serait facile et je ferais un backup en quasi temps réel).

[jdh]

"pomper les logs" ?

Les logs de toutes les applications (noyau compris) passe par le daemon syslogd.

Or il est possible de configurer syslogd pour qu'il envoie lui-même les logs au fur et à mesure à un serveur syslog(d) (en sus de les écrire localement).

Cela se passe dans /etc/syslog.conf et cela utilise udp/514.

Au pire, dès l'entrée du trublion, celui ci peut couper ce lien, cela sera au moins daté. (Il peut aussi jouer à remplir les logs du serveur syslog avec de faux messages, ah ah !)

[Nello]

Salut,

je vois un peu le système de syslogd, je ne connaissais pas

Cela dit, je cherche plutôt un script qui envoie au "cas par cas". Car, comme je l'ai dit, je ne dispose pas de deuxième machine pour réceptionner le flux. Alors qu'un mail avec tous les logs en pièce jointe permettrait au moins d'avoir l'ip, le point et l'heure d'entrée de l'attaquant (avant un hypothétique mais toujours probable #rm -Rf / )