HELP !! (log)

par **nino_scibetta** » 12 Juin 2003 12:48

Salut g un petit pb : depuis le 8 juin notre MNF fait des trucs mystiques à heure régulière (vers 4h du mat') et se shutdown tout seul. Je suis obligé de le relancer tous les matins ... :/ C'est en train de $%#&! en l'air mon stage !! SVP si kk1 a une idée de ce qui peut bien se passer <IMG SRC="images/smiles/icon_bawling.gif"> Extrait de /var/log/boot.log : Jun 8 04:03:30 firewall : Jun 8 04:03:30 firewall : Security Warning: World Writeable files found : Jun 8 04:03:30 firewall : - /etc/ha.d/harc Jun 8 04:03:30 firewall : - /var/apache-mm Jun 8 04:03:30 firewall : Jun 8 04:03:30 firewall : Security Warning: These files belonging to packages are modified on the system : Jun 8 04:03:30 firewall : - /etc/rc.d/init.d/adsl Jun 8 04:03:30 firewall : - /usr/bin/pptp Jun 8 04:03:30 firewall : - /usr/lib/squid/errors/English/ERR_CUSTOM_ACCESS_DENIED Jun 8 04:03:30 firewall : - /usr/lib/squid/errors/French/ERR_CUSTOM_ACCESS_DENIED Jun 8 04:03:30 firewall : - /usr/lib/ssl/mod_ssl/gentestcrt.sh Jun 8 04:03:30 firewall : - /usr/share/msec/level.4 Jun 8 04:03:30 firewall : - /var/lib/naat/configuration Jun 8 04:03:30 firewall : - /var/log/dhcpcd.log Jun 8 04:03:30 firewall : - /var/log/squidGuard/squidGuard.log Jun 8 04:03:30 firewall : - /var/www-naat/html/en/secure/jar/jta20/applet.conf Jun 8 04:03:30 firewall : - /var/www-naat/html/fr/secure/jar/jta20/applet.conf Jun 8 04:03:30 firewall : Jun 8 04:03:30 firewall : Security Warning: These config files belonging to packages are modified on the system : Jun 8 04:03:30 firewall : - /etc/dansguardian/dansguardian.conf Jun 8 04:03:30 firewall : - /etc/dansguardian/template.html Jun 8 04:03:30 firewall : - /etc/diald/diald.conf Jun 8 04:03:30 firewall : - /etc/diald/diald.filter Jun 8 04:03:30 firewall : - /etc/freeswan/ipsec.conf Jun 8 04:03:30 firewall : - /etc/host.conf Jun 8 04:03:30 firewall : - /etc/hosts.allow Jun 8 04:03:30 firewall : - /etc/hosts.deny Jun 8 04:03:30 firewall : - /etc/httpd/conf/httpd-perl.conf Jun 8 04:03:30 firewall : - /etc/httpd/conf/httpd.conf Jun 8 04:03:30 firewall : - /etc/httpd/conf/ssl/server.crt Jun 8 04:03:30 firewall : - /etc/httpd/conf/ssl/server.key Jun 8 04:03:30 firewall : - /etc/httpd/conf/vhosts/httpd-naat.Vhosts.conf Jun 8 04:03:30 firewall : - /etc/info-dir Jun 8 04:03:30 firewall : - /etc/inittab Jun 8 04:03:30 firewall : - /etc/isdn/profile/card/mycard Jun 8 04:03:30 firewall : - /etc/isdn/profile/link/myisp Jun 8 04:03:30 firewall : - /etc/login.defs Jun 8 04:03:30 firewall : - /etc/modules.conf Jun 8 04:03:30 firewall : - /etc/named.conf Jun 8 04:03:30 firewall : - /etc/ntp.conf Jun 8 04:03:30 firewall : - /etc/pam.d/system-auth Jun 8 04:03:30 firewall : - /etc/php.ini Jun 8 04:03:30 firewall : - /etc/pingtest.conf Jun 8 04:03:30 firewall : - /etc/ppp/chap-secrets Jun 8 04:03:30 firewall : - /etc/ppp/options Jun 8 04:03:30 firewall : - /etc/ppp/pap-secrets Jun 8 04:03:30 firewall : - /etc/ppp/pppoe.conf Jun 8 04:03:30 firewall : - /etc/prelude/prelude-report.conf Jun 8 04:03:30 firewall : - /etc/rc.d/init.d/dhcpd Jun 8 04:03:30 firewall : - /etc/rndc.conf Jun 8 04:03:30 firewall : - /etc/rndc.key Jun 8 04:03:30 firewall : - /etc/securetty Jun 8 04:03:30 firewall : - /etc/shells Jun 8 04:03:30 firewall : - /etc/shorewall/blacklist Jun 8 04:03:30 firewall : - /etc/shorewall/hosts Jun 8 04:03:30 firewall : - /etc/shorewall/interfaces Jun 8 04:03:30 firewall : - /etc/shorewall/masq Jun 8 04:03:30 firewall : - /etc/shorewall/nat Jun 8 04:03:30 firewall : - /etc/shorewall/policy Jun 8 04:03:30 firewall : - /etc/shorewall/proxyarp Jun 8 04:03:30 firewall : - /etc/shorewall/rules Jun 8 04:03:30 firewall : - /etc/shorewall/shorewall.conf Jun 8 04:03:30 firewall : - /etc/shorewall/tcrules Jun 8 04:03:30 firewall : - /etc/shorewall/tos Jun 8 04:03:30 firewall : - /etc/shorewall/tunnels Jun 8 04:03:30 firewall : - /etc/shorewall/zones Jun 8 04:03:30 firewall : - /etc/snort/snort.conf Jun 8 04:03:30 firewall : - /etc/squid/squid.conf Jun 8 04:03:30 firewall : - /etc/ssh/sshd_config Jun 8 04:03:30 firewall : - /etc/sudoers Jun 8 04:03:30 firewall : - /etc/sysconfig/msec Jun 8 04:03:30 firewall : - /etc/sysconfig/network-scripts/ifcfg-ippp0 Jun 8 04:03:30 firewall : - /etc/sysconfig/network-scripts/ifdown-ippp Jun 8 04:03:30 firewall : - /etc/sysconfig/network-scripts/ifup-ippp Jun 8 04:03:30 firewall : - /etc/sysconfig/pcmcia Jun 8 04:03:30 firewall : - /etc/sysconfig/snort Jun 8 04:03:30 firewall : - /etc/sysctl.conf Jun 8 04:03:30 firewall : - /etc/syslog.conf Jun 8 04:03:30 firewall : - /var/www-naat/squidGuard/squidGuard.cgi jun 8 08:59:52 firewall ez-ipupdate: ez-ipupdate shutdown failed (...) (pareil pour le 9/06) Jun 11 04:03:20 firewall : Jun 11 04:03:20 firewall : Security Warning: There are modifications for port listening on your machine : Jun 11 04:03:20 firewall : - Opened ports : tcp 0 0 *:sunrpc *:* LISTEN 8 90/portmap Jun 11 04:03:20 firewall : - Opened ports : tcp 0 0 firewall.setecte:domain *:* LISTEN 3 257/named Jun 11 04:03:20 firewall : - Opened ports : tcp 0 0 firewall.setecte:domain *:* LISTEN 3 257/named Jun 11 04:03:20 firewall : - Opened ports : tcp 0 0 localhost.locald:domain *:* LISTEN 3 257/named Jun 11 04:03:20 firewall : - Opened ports : tcp 0 0 *:ssh *:* LISTEN 3 280/sshd Jun 11 04:03:20 firewall : - Opened ports : tcp 0 0 localhost.localdom:rndc *:* LISTEN 3 257/named Jun 11 04:03:20 firewall : - Opened ports : tcp 0 0 *:8443 *:* LISTEN 3 567/httpd-naat Jun 11 04:03:20 firewall : - Opened ports : tcp 0 0 localhost.localdom:8444 *:* LISTEN 3 567/httpd-naat Jun 11 04:03:20 firewall : - Opened ports : udp 0 0 *:domain *:* 3 257/named Jun 11 04:03:20 firewall : - Opened ports : udp 0 0 firewall.setecte:domain *:* 3 257/named Jun 11 04:03:20 firewall : - Opened ports : udp 0 0 firewall.setecte:domain *:* 3 257/named Jun 11 04:03:20 firewall : - Opened ports : udp 0 0 localhost.locald:domain *:* 3 257/named Jun 11 04:03:20 firewall : - Opened ports : udp 0 0 *:sunrpc *:* 8 90/portmap Jun 11 04:03:20 firewall : - Opened ports : udp 0 0 AMontsouris-108-:isakmp *:* 3 203/pluto Jun 11 04:03:20 firewall : - Closed ports : tcp 0 0 *:sunrpc *:* LISTEN 8 93/portmap Jun 11 04:03:20 firewall : - Closed ports : tcp 0 0 firewall.setecte:domain *:* LISTEN 2 898/named Jun 11 04:03:20 firewall : - Closed ports : tcp 0 0 firewall.setecte:domain *:* LISTEN 2 898/named Jun 11 04:03:20 firewall : - Closed ports : tcp 0 0 localhost.locald:domain *:* LISTEN 2 898/named Jun 11 04:03:20 firewall : - Closed ports : tcp 0 0 *:ssh *:* LISTEN 2 921/sshd Jun 11 04:03:20 firewall : - Closed ports : tcp 0 0 localhost.localdom:rndc *:* LISTEN 2 898/named Jun 11 04:03:20 firewall : - Closed ports : tcp 0 0 *:8443 *:* LISTEN 3 208/httpd-naat Jun 11 04:03:20 firewall : - Closed ports : tcp 0 0 localhost.localdom:8444 *:* LISTEN 3 208/httpd-naat Jun 11 04:03:20 firewall : - Closed ports : udp 0 0 *:domain *:* 2 898/named Jun 11 04:03:20 firewall : - Closed ports : udp 0 0 firewall.setecte:domain *:* 2 898/named Jun 11 04:03:20 firewall : - Closed ports : udp 0 0 firewall.setecte:domain *:* 2 898/named Jun 11 04:03:20 firewall : - Closed ports : udp 0 0 localhost.locald:domain *:* Jun 11 04:03:20 firewall : - Closed ports : udp 0 0 localhost.locald:domain *:* 2 898/named Jun 11 04:03:20 firewall : - Closed ports : udp 0 0 *:sunrpc *:* 8 93/portmap Jun 11 04:03:20 firewall : Jun 11 04:03:20 firewall : Security Warning: These files belonging to packages have changed of status on the system : Jun 11 04:03:20 firewall : - newly modified : /usr/lib/ssl/openssl.cnf Jun 11 04:03:22 firewall : Jun 11 04:03:22 firewall : Security Warning: World Writeable files found : Jun 11 04:03:22 firewall : - /etc/ha.d/harc Jun 11 04:03:22 firewall : - /var/apache-mm Jun 11 04:03:22 firewall : Jun 11 04:03:22 firewall : Security Warning: These files belonging to packages are modified on the system : Jun 11 04:03:22 firewall : - /etc/rc.d/init.d/adsl Jun 11 04:03:22 firewall : - /usr/bin/pptp Jun 11 04:03:22 firewall : - /usr/lib/squid/errors/English/ERR_CUSTOM_ACCESS_DENIED Jun 11 04:03:22 firewall : - /usr/lib/squid/errors/French/ERR_CUSTOM_ACCESS_DENIED Jun 11 04:03:22 firewall : - /usr/lib/ssl/mod_ssl/gentestcrt.sh Jun 11 04:03:22 firewall : - /usr/lib/ssl/openssl.cnf Jun 11 04:03:22 firewall : - /usr/share/msec/level.4 Jun 11 04:03:22 firewall : - /var/lib/naat/configuration Jun 11 04:03:22 firewall : - /var/log/dhcpcd.log Jun 11 04:03:22 firewall : - /var/log/squidGuard/squidGuard.log Jun 11 04:03:22 firewall : - /var/www-naat/html/en/secure/jar/jta20/applet.conf Jun 11 04:03:22 firewall : - /var/www-naat/html/fr/secure/jar/jta20/applet.conf Jun 11 04:03:22 firewall : Jun 11 04:03:22 firewall : Security Warning: These config files belonging to packages are modified on the system : Jun 11 04:03:22 firewall : - /etc/dansguardian/dansguardian.conf Jun 11 04:03:22 firewall : - /etc/dansguardian/template.html Jun 11 04:03:22 firewall : - /etc/diald/diald.conf Jun 11 04:03:22 firewall : - /etc/diald/diald.filter Jun 11 04:03:22 firewall : - /etc/freeswan/ipsec.conf Jun 11 04:03:22 firewall : - /etc/host.conf Jun 11 04:03:22 firewall : - /etc/hosts.allow Jun 11 04:03:22 firewall : - /etc/hosts.deny Jun 11 04:03:22 firewall : - /etc/httpd/conf/httpd-perl.conf Jun 11 04:03:22 firewall : - /etc/httpd/conf/httpd.conf Jun 11 04:03:22 firewall : - /etc/httpd/conf/ssl/server.crt Jun 11 04:03:22 firewall : - /etc/httpd/conf/ssl/server.key Jun 11 04:03:22 firewall : - /etc/httpd/conf/vhosts/httpd-naat.Vhosts.conf Jun 11 04:03:22 firewall : - /etc/info-dir Jun 11 04:03:22 firewall : - /etc/inittab Jun 11 04:03:22 firewall : - /etc/isdn/profile/card/mycard Jun 11 04:03:22 firewall : - /etc/isdn/profile/link/myisp Jun 11 04:03:22 firewall : - /etc/login.defs Jun 11 04:03:22 firewall : - /etc/login.defs Jun 11 04:03:22 firewall : - /etc/modules.conf Jun 11 04:03:22 firewall : - /etc/named.conf Jun 11 04:03:22 firewall : - /etc/ntp.conf Jun 11 04:03:22 firewall : - /etc/pam.d/system-auth Jun 11 04:03:22 firewall : - /etc/php.ini Jun 11 04:03:22 firewall : - /etc/pingtest.conf Jun 11 04:03:22 firewall : - /etc/ppp/chap-secrets Jun 11 04:03:22 firewall : - /etc/ppp/options Jun 11 04:03:22 firewall : - /etc/ppp/pap-secrets Jun 11 04:03:22 firewall : - /etc/ppp/pppoe.conf Jun 11 04:03:22 firewall : - /etc/prelude/prelude-report.conf Jun 11 04:03:22 firewall : - /etc/rc.d/init.d/dhcpd Jun 11 04:03:22 firewall : - /etc/rndc.conf Jun 11 04:03:22 firewall : - /etc/rndc.key Jun 11 04:03:22 firewall : - /etc/securetty Jun 11 04:03:22 firewall : - /etc/shells Jun 11 04:03:22 firewall : - /etc/shorewall/blacklist Jun 11 04:03:22 firewall : - /etc/shorewall/hosts Jun 11 04:03:22 firewall : - /etc/shorewall/interfaces Jun 11 04:03:22 firewall : - /etc/shorewall/masq Jun 11 04:03:22 firewall : - /etc/shorewall/nat Jun 11 04:03:22 firewall : - /etc/shorewall/policy Jun 11 04:03:22 firewall : - /etc/shorewall/proxyarp Jun 11 04:03:22 firewall : - /etc/shorewall/rules Jun 11 04:03:22 firewall : - /etc/shorewall/shorewall.conf Jun 11 04:03:22 firewall : - /etc/shorewall/tcrules Jun 11 04:03:22 firewall : - /etc/shorewall/tos Jun 11 04:03:22 firewall : - /etc/shorewall/tunnels Jun 11 04:03:22 firewall : - /etc/shorewall/zones Jun 11 04:03:22 firewall : - /etc/snort/snort.conf Jun 11 04:03:22 firewall : - /etc/squid/squid.conf Jun 11 04:03:22 firewall : - /etc/ssh/sshd_config Jun 11 04:03:22 firewall : - /etc/sudoers Jun 11 04:03:22 firewall : - /etc/sysconfig/msec Jun 11 04:03:22 firewall : - /etc/sysconfig/network-scripts/ifcfg-ippp0 Jun 11 04:03:22 firewall : - /etc/sysconfig/network-scripts/ifdown-ippp Jun 11 04:03:22 firewall : - /etc/sysconfig/network-scripts/ifup-ippp Jun 11 04:03:22 firewall : - /etc/sysconfig/pcmcia Jun 11 04:03:22 firewall : - /etc/sysconfig/snort Jun 11 04:03:22 firewall : - /etc/sysctl.conf Jun 11 04:03:22 firewall : - /etc/syslog.conf Jun 11 04:03:22 firewall : - /var/www-naat/squidGuard/squidGuard.cgi jun 11 08:35:30 firewall ez-ipupdate: ez-ipupdate shutdown failed (...) (pareil pour le 12/06)

par **nino_scibetta** » 12 Juin 2003 13:38

Extrait de /var/log/security.log : (Même chose depuis la mise en place du FW) *** Security Check, Thu Jun 12 04:03:40 CEST 2003 *** Security Warning: World Writeable files found : - /etc/ha.d/harc - /var/apache-mm Security Warning: These files belonging to packages are modified on the system : - /etc/rc.d/init.d/adsl - /usr/bin/pptp - /usr/lib/squid/errors/English/ERR_CUSTOM_ACCESS_DENIED - /usr/lib/squid/errors/French/ERR_CUSTOM_ACCESS_DENIED - /usr/lib/ssl/mod_ssl/gentestcrt.sh - /usr/lib/ssl/openssl.cnf - /usr/share/msec/level.4 - /var/lib/naat/configuration - /var/log/dhcpcd.log - /var/log/squidGuard/squidGuard.log - /var/www-naat/html/en/secure/jar/jta20/applet.conf - /var/www-naat/html/fr/secure/jar/jta20/applet.conf Security Warning: These config files belonging to packages are modified on the system : - /etc/dansguardian/dansguardian.conf - /etc/dansguardian/template.html - /etc/diald/diald.conf - /etc/diald/diald.filter - /etc/freeswan/ipsec.conf - /etc/host.conf - /etc/hosts.allow - /etc/hosts.deny - /etc/httpd/conf/httpd-perl.conf - /etc/httpd/conf/httpd.conf - /etc/httpd/conf/ssl/server.crt - /etc/httpd/conf/ssl/server.key - /etc/httpd/conf/vhosts/httpd-naat.Vhosts.conf - /etc/info-dir - /etc/inittab - /etc/isdn/profile/card/mycard - /etc/isdn/profile/link/myisp - /etc/login.defs - /etc/modules.conf - /etc/named.conf - /etc/ntp.conf - /etc/pam.d/system-auth - /etc/php.ini - /etc/pingtest.conf - /etc/ppp/chap-secrets - /etc/ppp/options - /etc/ppp/pap-secrets - /etc/ppp/pppoe.conf - /etc/prelude/prelude-report.conf - /etc/rc.d/init.d/dhcpd - /etc/rndc.conf - /etc/rndc.key - /etc/securetty - /etc/shells - /etc/shorewall/blacklist - /etc/shorewall/hosts - /etc/shorewall/interfaces - /etc/shorewall/masq - /etc/shorewall/nat - /etc/shorewall/policy - /etc/shorewall/proxyarp - /etc/shorewall/rules - /etc/shorewall/shorewall.conf - /etc/shorewall/tcrules - /etc/shorewall/tos - /etc/shorewall/tunnels - /etc/shorewall/zones - /etc/snort/snort.conf - /etc/squid/squid.conf - /etc/ssh/sshd_config - /etc/sudoers - /etc/sysconfig/msec - /etc/sysconfig/network-scripts/ifcfg-ippp0 - /etc/sysconfig/network-scripts/ifdown-ippp - /etc/sysconfig/network-scripts/ifup-ippp - /etc/sysconfig/pcmcia - /etc/sysconfig/snort - /etc/sysctl.conf - /etc/syslog.conf - /var/www-naat/squidGuard/squidGuard.cgi These are the ports listening on your machine : Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 *:sunrpc *:* LISTEN 880/portmap tcp 0 0 firewall.setecte:domain *:* LISTEN 3245/named tcp 0 0 firewall.setecte:domain *:* LISTEN 3245/named tcp 0 0 localhost.locald:domain *:* LISTEN 3245/named tcp 0 0 *:ssh *:* LISTEN 3270/sshd tcp 0 0 localhost.localdom:rndc *:* LISTEN 3245/named tcp 0 0 *:8443 *:* LISTEN 3557/httpd-naat tcp 0 0 localhost.localdom:8444 *:* LISTEN 3557/httpd-naat udp 0 0 *:domain *:* 3245/named udp 0 0 firewall.setecte:domain *:* 3245/named udp 0 0 firewall.setecte:domain *:* 3245/named udp 0 0 localhost.locald:domain *:* 3245/named udp 0 0 *:sunrpc *:* 880/portmap udp 0 0 ***.***.*.*:isakmp *:* 3193/pluto C koi ces 'World Writeable files found' ??

par **nino_scibetta** » 12 Juin 2003 14:11

Même pas une ptite piste à explorer ?? <IMG SRC="images/smiles/icon_confused.gif">

par **eol** » 12 Juin 2003 14:16

tu n'aurais pas installe ou active tripwire ? <IMG SRC="images/smiles/icon_confused.gif">

par **nino_scibetta** » 12 Juin 2003 14:21

Non non... je t'assure J'ai vu sur le net des users ayant à peu de choses près le même pb (surtout le 'Security Warning: World Writeable files found' et le 'Security Warning: These files belonging to packages are modified on the system' à 4h du mat), et pas nécessairement à cause du MNF lui même, mais de tte façons g pas trouvé de réponses... =(

par **eol** » 12 Juin 2003 14:26

tu as un process de verification de tes fichier qui ce lance... bon c'est pas tripwire mais autre chose peut etre regarde dans la config des tes crons quels sont les taches qui sont lancees a 4 heure du mat... <IMG SRC="images/smiles/icon_rolleyes.gif">

par **nino_scibetta** » 12 Juin 2003 15:46

Moi je trouve ça bizarre qd même : > cat /var/log/cron/info Jun 8 04:03:00 firewall CROND[7023]: (root) CMD ( /usr/share/msec/promisc_che ck.sh) Jun 8 04:04:00 firewall CROND[7419]: (root) CMD ( /usr/share/msec/promisc_che ck.sh) Jun 8 04:05:00 firewall CROND[7429]: (root) CMD ( /usr/share/msec/promisc_che ck.sh) Jun 8 04:05:00 firewall CROND[7432]: (root) CMD ( /usr/sbin/monitoring.pl) Jun 8 04:06:01 firewall CROND[7448]: (root) CMD ( /usr/share/msec/promisc_che ck.sh) Jun 8 04:07:00 firewall CROND[7457]: (root) CMD ( /usr/share/msec/promisc_che ck.sh) Jun 8 04:08:00 firewall CROND[7466]: (root) CMD ( /usr/share/msec/promisc_che ck.sh) Jun 8 04:09:00 firewall CROND[7475]: (root) CMD ( /usr/share/msec/promisc_che ck.sh) Jun 8 04:10:00 firewall CROND[7485]: (root) CMD ( /usr/share/msec/promisc_che ck.sh) Jun 8 04:10:00 firewall CROND[7488]: (root) CMD ( /usr/sbin/monitoring.pl) Jun 8 04:11:00 firewall CROND[7504]: (root) CMD ( /usr/share/msec/promisc_che ck.sh) Jun 8 04:12:00 firewall CROND[7513]: (root) CMD ( /usr/share/msec/promisc_che ck.sh) (...) Je n'ai jamais activé le mode Promiscuous !! (d'ailleurs comment on le désactive ?) comme le log ne commence qu'au 8, je ne sais pas si c comme ça depuis la mise en place du fw... De toute façons, si ça ne faisait planter des services (web pour ne citer que lui), ça ne me gênerait pas !

par **nino_scibetta** » 12 Juin 2003 17:06

Bon je pense que c pas très grave en fait... Je pensais qu'on était victime d'une intrusion avec ces ports ouverts à 4h du mat' mais apparemment qd on compare open_port.today et open.port.yesterday, le PID change, je pense que c'est à cause d'un reboot sauvage après une coupure de courant survenue dimanche, donc le cron.daily du crontab, reteste les ports tous les jours (à 4h02, merci pour la lisibilité du crontab) puisqu'il voit des différences... C pas très clair mais ça me semble logique... [root@firewall security]# less open_port.diff --- /var/log/security/open_port.yesterday Wed Jun 11 04:02:03 2003 +++ /var/log/security/open_port.today Thu Jun 12 04:02:13 2003 @@ -1,16 +1,16 @@ Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name -tcp 0 0 *:sunrpc *:* LISTEN 890/portmap -tcp 0 0 firewall.setecte:domain *:* LISTEN 3257/named -tcp 0 0 firewall.setecte:domain *:* LISTEN 3257/named -tcp 0 0 localhost.locald:domain *:* LISTEN 3257/named -tcp 0 0 *:ssh *:* LISTEN 3280/sshd -tcp 0 0 localhost.localdom:rndc *:* LISTEN 3257/named -tcp 0 0 *:8443 *:* LISTEN 3567/httpd-naat -tcp 0 0 localhost.localdom:8444 *:* LISTEN 3567/httpd-naat -udp 0 0 *:domain *:* 3257/named -udp 0 0 firewall.setecte:domain *:* 3257/named -udp 0 0 firewall.setecte:domain *:* 3257/named -udp 0 0 localhost.locald:domain *:* 3257/named -udp 0 0 *:sunrpc *:* 890/portmap -udp 0 0 AMontsouris-108-:isakmp *:* 3203/pluto +tcp 0 0 *:sunrpc *:* LISTEN 880/portmap +tcp 0 0 firewall.setecte:domain *:* LISTEN 3245/named +tcp 0 0 firewall.setecte:domain *:* LISTEN 3245/named +tcp 0 0 localhost.locald:domain *:* LISTEN 3245/named +tcp 0 0 *:ssh *:* LISTEN 3270/sshd +tcp 0 0 localhost.localdom:rndc *:* LISTEN 3245/named +tcp 0 0 *:8443 *:* LISTEN 3557/httpd-naat +tcp 0 0 localhost.localdom:8444 *:* LISTEN 3557/httpd-naat +udp 0 0 *:domain *:* 3245/named +udp 0 0 firewall.setecte:domain *:* 3245/named +udp 0 0 firewall.setecte:domain *:* 3245/named +udp 0 0 localhost.locald:domain *:* 3245/named +udp 0 0 *:sunrpc *:* 880/portmap +udp 0 0 ***.***.*.* :isakmp *:* 3193/pluto Par contre ça me dit toujours pas pourquoi et quand le FW se déconnecte du web...

par **Jacques-** » 12 Juin 2003 20:02

Le test qui est fait (voir dans /etc/cron.hourly) est un script de sécurité fait par mandrake (msec). Il est paramétrable (voir la doc sur le site de mandrake) et test tout un tas de choses (entre autre et en vrac : les fichiers modifiables par tout le monde (worls writeable files), les ports TCP/UDP ouverts et avec qui, les fichiers qui ont été modifiés depuis leur installation (changement du checksum), les process qui ont redémarrés ou disparus depuis la veille (même heure), etc... Les informations sont envoyés à root par mail et stockés dans le log. Sinon, le test qui se fait toutes les minutes est un test du mode de fonctionnement de ta carte réseau, si elle passe en mode promiscuité, c'est qu'elle sert à sniffer. Et si ce n'est pas toi qui a activé le sniffer (par démarrage de snort ou prelude), c'est mieux de le savoir a temps.... En même temps, il peut y avoir un test ping qui est fait sur l'adresse que tu as mis dans la MNF pour vérifier la connexion. Si cette réponse ne vient pas, on relance la connexion PPPoE. De plus, vérifie si c'est ta machine qui shutdown, ce dont je doute, ou ta connexion PPP (je n'ai plus le log sous les yeux en répondant). Ta session PPP est coupée de toute façon au bout de 24h, et elle est relancée automatiquement par la MNF si tu as demandé une connexion permanente. Jacques

par **nino_scibetta** » 13 Juin 2003 11:30

Salut En fait je me suis mal expliqué, et tu as raison, c pas la machine qui shutdown, c le ppp... Apparement, d'après un script que j'ai fait tourner cette nuit, la connexion se ferme aux alentours de 6h40. Dans le log on voit clairement à cette heure-ci : Jun 13 04:03:31 firewall : - /var/www-naat/squidGuard/squidGuard.cgi jun 13 06:42:00 firewall ez-ipupdate: ez-ipupdate shutdown failed jun 13 09:16:52 firewall random: Initializing random number generator: succeeded (... Relance machine ...) Je ne sais pas trop à quoi ça correspond, je vais me documenter... :/ C marrant, personne n'a connu ce genre de pb ??

par **nino_scibetta** » 16 Juin 2003 10:39

Salut KK1 sait comment faire pour que ce foutu ez-ipupdate ne se lance plus ? (c vrai quoi je l'ai pas installé !) Merci a+

HELP !! (log)

Qui est en ligne ?