Cron <root@sme01> /usr/local/bin/relaunch-snor

[romain138]

Bonsoir à toutes et tous

Depuis quelque jour je reçois environ 80 fois par jour ce courriel avec pour titre :

Cron <root@sme01> /usr/local/bin/relaunch-snort &

à l'intérieur du message il y a ceci :

Code: Tout sélectionner

Stopping snort: [   OK   ] Starting snort: [   OK   ]


J'ai beau chercher dans mes log, je ne comprend pas pourquoi et comment une tache stop et relance snort plusieurs fois par jour.

Avez vous une idée ?

D'avance merci.

[jibe]

Salut,

Apparemment, c'est une tâche cron... Elle n'est pas venue toute seule (ça, tu t'en doutes ), alors essaie de savoir comment elle est arrivée ici : le plus probable est que ce soit suite à une fausse manip lors d'une install ou modification quelconque. Réfléchis à ce qui a été fait peu avant que les messages apparaissent.

Mais il peut y avoir des tas d'autres raisons, entre autres une intrusion sur ton serveur, venant de l'intérieur de ton lan (voire directement sur le serveur si l'accès physique n'est pas interdit de manière sûre) ou de l'internet...

Pour t'aider à retrouver ce qui a pu se passer, essaie de localiser le début des messages dans /var/log/messages et regarde ce qui s'est passé avant, entre autres si tu as des traces d'install, et qui s'est loggé disons dans l'heure qui a précédé... Remonte plus si tu ne trouves rien de suspect : quelqu'un a pu se logger longtemps avant !

Bonne chance (il t'en faudra !) et bon courage !

[MasterSleepy]

Salut,

C'est un ajout que j'avais fais dans la dernière version du RPM pour snort sur la SME.
Car suite à une expérience perso, j'ai du placer se genre de stratagème en place pour être sur que snort soit toujours up.
Mais ce qui est bizarre c'est que chez toi il le relance même si il fonctionne toujours.

Je vais regarder cela, aujourd'hui peut-être.

A+

[MasterSleepy]

Re-Salut,

Je viens de vérifier et normalement le problème ne devrait pas arriver.
Alors il y a deux possibilités pour le résoudre.

• Soit du désintalle la contrib, puis tu l'as réinstalle. On sait jamais ça pourrait réssoudre le soucis.
• Soit tu effaces le fichier /etc/cron.d/snort et /etc/e-smith/templates-custom/etc/cron.d/snort

Je sais c'est un peu léger mais j'ai rien d'autre.

A+

[romain138]

Salut,

Merci à vous deux, je vais tenter de supprimer les fichiers que tu m'as donné.

Mais quel impact auras cette suppression ?

[romain138]

Salut jibe

entre autres une intrusion sur ton serveur, venant de l'intérieur de ton lan (voire directement sur le serveur si l'accès physique n'est pas interdit de manière sûre)

C'est mon serveur perso et à part ma chère et tendre il n'y a personne d'autre dans mon chez moi . Par contre je l'ai installé chez plusieurs clients et j'ai le même message sur 50 % des serveurs

ou de l'internet...

Pourquoi pas

Pour t'aider à retrouver ce qui a pu se passer, essaie de localiser le début des messages dans /var/log/messages et regarde ce qui s'est passé avant, entre autres si tu as des traces d'install, et qui s'est loggé disons dans l'heure qui a précédé... Remonte plus si tu ne trouves rien de suspect : quelqu'un a pu se logger longtemps avant !

Bonne chance (il t'en faudra !) et bon courage !

Ca fait déjà plusieurs jours que je recherche dans mes log mais je ne vois rien d'anormal. Par contre je ne sais pas paramétrer

Code: Tout sélectionner

cron

si je pouvais supprimer cette tâche ...

Bref, je vais tenter la suppression des fichiers que MasterSleepy m'a indiqué et je vous tiens au courrant.

Encore Merci.

[jibe]

Salut,

Ce que t'a indiqué MasterSleepy devrait supprimer la tâche qui te chagrine. Par contre, j'aurais fait ensuite un

Code: Tout sélectionner

/sbin/e-smith/expand-template /etc/crontab
service crond restart


non, MasterSleepy ?

Pour paramétrer cron, tu as la contrib de MasterSleepy
Sinon, sur SME, c'est un peu délicat à cause des templates. Pour le principe de base, man cron et man crontab devraient te renseigner, de même que la belle Léa.

[MasterSleepy]

Salut Jibe,

Ce n'est pas necessaire de faire

Code: Tout sélectionner

/sbin/e-smith/expand-template /etc/crontab
service crond restart


simplement effacer le fichier suffira.
mais ça ne fait pas de mal

A+

[jibe]

Salut,

Ah bon... Tu connais sûrement mieux cette contrib que moi qui ne l'ai jamais installée

Je fais toujours un expand-template dans un pareil cas : comme tu dis, ça ne peut pas faire de mal, et c'est souvent utile lorsqu'on bricole les templates.

Quoi qu'il en soit, toutes mes excuses pour t'avoir soupçonné d'omission

[romain138]

Merci à vous.

J'ai supprimé les fichiers sur toutes les SME qui avait ce problème et je n'ai plus ces messages.

Par contre il faudra que je prenne le temps de désinstaller completement le contrib et de la reinstaller partout.

En tout cas, merci àvous deux.

[romain138]

Re salut à vous

Catastrophe ....

Je pense que je me suis fais pirater ... Ou alors j'y comprend plus rien...

Mon serveur s'affole complétement, il sature à 100 % CPU ....

Les messages on repris de plus bel après la suppression (cf post avant)

Code: Tout sélectionner

rm: cannot remove `/var/lock/subsys/relauch_snort': No such file or directory


ou alors

Code: Tout sélectionner

Stopping snort: [   OK   ] Starting snort: [   OK   ]


Stopping snort: [ ECHOUE ] Starting snort: [ OK ] rm: cannot remove `/var/lock/subsys/relauch_snort': No such file or directory

et cela n'arrette pas en boucle .... ( 66 en 4 H 00)

de plus deux autre message sont arrivés ... Lié ou pas ? je n'en sais rien :

fetchmail: un autre fetchmail, au premier plan, est en exécution sur 21123.
fetchmail: un autre fetchmail, au premier plan, est en exécution sur 21123.
fetchmail: un autre fetchmail, au premier plan, est en exécution sur 21123.
fetchmail: un autre fetchmail, au premier plan, est en exécution sur 21123.
fetchmail: un autre fetchmail, au premier plan, est en exécution sur 21123.
fetchmail: un autre fetchmail, au premier plan, est en exécution sur 21123.
fetchmail: un autre fetchmail, au premier plan, est en exécution sur 21123.

et

The message has been quarantined as
427cfb5d-54c9.msg

The corresponding logfile has been written to 427cfb5d-54c9.log


------------------------------------------------------------------------
Message headers follow:
Received: from localhost (127.0.0.1)
by sme01.actiome.com (127.0.0.1) with ESMTP; 07 May 2005 17:30:57 -0000
X-Original-To: XXXX@XXXX.com
Delivered-To: YYYY@XXXXX.com
Received: from pop.XXXXX.com
by localhost with POP3 (fetchmail-5.9.0)
for gilles@mail.ZZZZZZ.com (single-drop); Sat, 07 May 2005 19:30:57 +0200 (CEST)
Received: from mspool1.st2.lyceu.net (mspool1.st2.lyceu.net [212.78.206.46])
by mdeliver1.st2.lyceu.net (Postfix) with ESMTP id D309AF1AD6
for <leticia@socera.com>; Sat, 7 May 2005 16:40:43 +0200 (CEST)
Received: from 200-32-4-129.prima.net.ar (200-32-4-133.prima.net.ar [200.32.4.133])
by mspool1.st2.lyceu.net (Postfix) with SMTP id 62DBA37150B
for <XXXX@XXXX.com>; Sat, 7 May 2005 16:40:41 +0200 (CEST)
To: YYYY@XXXXX.com
Subject: ¡Nuevos Ringtones, iniciales y tarjetas electronicas!
From: "Novedades en TuParada.com" <novedades@edicionesveronica.com>
Reply-To: "Novedades en TuParada.com" <novedades@edicionesveronica.com>
Errors-To: bounces@mailtrack.com.ar
MIME-Version: 1.0
Date: Thu, 05 May 2005 16:16:01 -0300
X-Mailer: ELM [version 2.4 PL23]"
X-Mailid: 143_42214990
Content-Type: multipart/alternative;
boundary="=_ffb199894e3023092ab1482b18b498d3"
Message-Id: <20050507144041.62DBA37150B@mspool1.st2.lyceu.net>

Ce dernier message à pour sujet :

Message put into problems directory

Alors je me suis dis que j'allais les desinstaller (SNORT et ACID) et refaire une install propre, mais lorsque je fais

Code: Tout sélectionner

[root@sme01 SNORT]# rpm -e sme-acid-0.2-1.noarch.rpm
error: package sme-acid-0.2-1.noarch.rpm is not installed


alors je fais un

Code: Tout sélectionner


service --status_all | grep snort



j'ai

Code: Tout sélectionner



snort est mort mais subsys est verrouillé



Qu'en pensez vous ?????
parce que la moi je sais plus faire !!!
Merci [/code]

[MasterSleepy]

Salut,

Je ne crois pas que tu t'ais fais hacker, je pense plus à un soucis avec le script qui relance snort.

Peux-tu vérifier qu'elles sont les process qui bouffe tout le temps machine??

Effectivemment c'est peut-être ue bonne chose de tout désinstaller de recommencer, mais pour désinstaller un rpm il ne faut pas mentionné l'extension rpm ni même l'architecture du rpm.
Donc dans ton cas rpm -e sme-acid-0.2-1 devrait désinstaller sme-acid.

A+

[romain138]

Salut,



Peux-tu vérifier qu'elles sont les process qui bouffe tout le temps machine??

Apparement c'est Squid qui bloque tout

Donc dans ton cas rpm -e sme-acid-0.2-1 devrait désinstaller sme-acid.

Quel imbessil je fais

Merci.

Je vien de le reinstaller en entier snort et acid

La suite au prochain épisode.

Encore merci.

[OverCiv]

J'ai eu le même problème que toi avec snort, j'ai dû entièrement désinstaller puis reinstaller en prenant soin de supprimer le fichier snort dans /etc/cron.d

Apparament dans mon cas, snort bouclait sur la creation de fichiers log dans /var/log, il m'a créé approximativement des centaines de milliers de fichiers ! La commande rm s'en est même retrouvé dépassé en capacité.

Pour l'instant tout va bien aussi de mon côté que la force soit avec snort ^^

[MasterSleepy]

Salut à tous,

je vais donc modifier ma contrib pour virer ce truc.
Je n'avais eu aucun retour, maintenant c'est fais.

Merci à vous deux.

A+