[log] Ensemble des logs perdus ipcop 1.4.6... hack? (résolu)

[boozo]

bonjour,

je viens de m'appercevoir qu'entre hier et aujourd'hui l'ensemble de mes log a... disparu
pas m^ un tarballs de logrotate qui subsiste... rien de rien (alors que j'ai de la place encore)
depuis qques jours, j'avais pas mal de log de snort en "backdoor trojans :2182" alors bien que souvent il s'agit de faux positifs je checkais qd m^ un peu avec rkhunter et nmap et rien a l'horizon d'inquiétant
mais là je viens de regarder et plus aucun logs alors qu'en est-il exactement ? j'ai raté qqch dans les logrotate (qui rm -rf /var/log/ un peu partout ) me suis pas fait hacké qd m^
Si qqes unixiens ont de l'expérience pour investiguer mieux je suis preneur
merci par avance

[Franck78]

bonjour,

les logrotate (qui rm -rf /var/log/ un peu partout )

Hi,

Bon on ne va pas te demander les logs, mais par contre avec des phrases comme celle la, on ira pas bien loin dans les investigations...

[boozo]

rm -rf /var/log/ un peu partout

mais par contre avec des phrases comme celle la, on ira pas bien loin dans les investigations...

ben oui malheureusement c'est bien le pb justement
plus sérieusement vous avez déjà eu des retours de ce genre avec une perte quasi complête des logs et une/des causes probables/possibles

PS: Pour info maintenant que j'y pense, je venais de tester nessus dessus mais apparamment l'installation fût incomplête par rapport à la version pour ipcop-1.4.4 ( des sbin manquant et impossible de générer les certificats) bref j'ai désinstallé et rebooté la gw et c'est en vérifiant que tout allait bien et c'est là que j'ai pris connaissance du pb des logs

merci de ton éclairage

[Franck78]

Pas entendu parlé d'effacement de log. C'est pas discret, un pirate se contente d'effacer ses traces en laissant les logs 'propres'.
Nessus sur l'Ipcop, drole d'idée quand même. C'était censé vérifier quoi ? Par contre tester l'ipcop avec nessus depuis une autre machine, pas de problème, il résiste bien sans problème majeur !

De toute facon, une réinstall d'ipcop, sans addon superflu s'impose.

[boozo]

Pas entendu parlé d'effacement de log. C'est pas discret, un pirate se contente d'effacer ses traces en laissant les logs 'propres'

Effectivement tu as raison sur ce point c'est ce qui me fait douter de la chose aussi ;
toutefois je ne vois pas de mauvaises manips de ma part et dans le bash history je ne vois pas de traces autres... que les miennent et sans rattage de scripting alors... je ne vois pas la cause en toute honnêteté ou alors la rotation de logs que j'ai mal interprété... je veux bien me replonger dedans mais normalement en toute logique (et de mémoire) elle conserve des tarballs des logs en tous cas au moins un non donc je sêche lamentablement...

enfin merci de ta réponse je vais comme tu le suggères reinstaller le fw de novo et pis c'est la procédure qd on a un doute

ps: sinon pour ta question c'était juste pour tester un client spécifique par plusieurs endroits (et aussi pour essayer les addons que je n'utilise pas) car j'ai une autre gw derrière avant le LAN et ipcop ne sert juste que de fw voilà ...mais c'est vrai qu'en réfléchissant j'aurai pu procéder autrement... j'ai voulu la jouer facile

bon allez merci encore et @+

[Franck78]

Si ce n'est pas trop tard, ne touche pas à ton ipcop et laisse l'intru si y en a un. Il ne sait à priori pas qu'il est repéré. Bien sur tu ne laisse rien derrière l'ipcop ou tu surveilles méchament ce qui en sort.
Tu verras bien de quoi il en retourne.

L'effacement accidentel pourquoi pas, un bug logrotate, j'y crois pas.

D'ailleurs, au lieu de reformatter tout, essaies de converser le disque. Tu pourras faire des md5sum à loisir et comparer avec un ipcop 'clean'. Tu ainsi seras fixé.

[boozo]

bien vu merci des conseils d'autant que c'est facile c'est un client légé (je change juste de carte, je mets le clone et hop le tour est joué !) seulement si hack il y a (ce qui n'est pas sur du tout) c'est pas très discrêt m^ si c'est pas un rm -rf / mais bon les sommes md5 c'est une bonne idée à garder en tête pour la suite...
BTW en surveillance "méchante" de ce qui sort : tu entends quoi exactement comme procédure clean ? je vais pas devoir sniffer à pleins tube si ? parceque c'est lourd et fastidieux surtout si c'est pas infiltré