La congelación crea un patrón inusual en kern.log

Question

La congelación crea un patrón inusual en kern.log

#1 de Zardus (1 votos)

3

Mi servidor se bloqueó hace unos días. Después de reiniciar, inmediatamente revisé los registros y el único rastro que vi fueron algunos puntos en el kern.log. Para mi sorpresa, un día o dos más tarde, estos puntos desaparecieron del kern.log. ¿Debo sospechar que alguien arraigó la caja y cubrió sus pistas o rsyslogd de alguna manera mágicamente limpiar esto?

El original:

Sep 28 10:30:23 arokr kernel: [49322.004919] audit: type=1305 audit(1411893023.336:1253): auid=4294967295 ses=4294967295 op="remove rule" key="audittools" list=4 res=1
........................................Sep 28 10:30:48 arokr kernel: imklog 5.8.11, log source = /proc/kmsg started.
Sep 28 10:30:48 arokr kernel: [    0.000000] Initializing cgroup subsys cpuset

Pocos días después:

Sep 28 10:30:23 arokr kernel: [49322.004919] audit: type=1305 audit(1411893023.336:1253): auid=4294967295 ses=4294967295 op="remove rule" key="audittools" list=4 res=1
Sep 28 10:30:48 arokr kernel: imklog 5.8.11, log source = /proc/kmsg started.
Sep 28 10:30:48 arokr kernel: [    0.000000] Initializing cgroup subsys cpuset

system-compromise logging rootkits

pregunta Zoltan Zaikosz 30.09.2014 - 12:53

fuente

1 respuesta

Lea otras preguntas en las etiquetas system-compromise logging rootkits

Ofuscar las reglas de IDS ¿Cómo el malware enlaza los ASEP?

score 1 · Answer 1

Siempre que haya accedido al archivo de registro en una consola, ¿tenía algo ejecutándose en segundo plano en la misma consola? Si es así, es vagamente posible que lo que haya estado ejecutando en segundo plano imprima los puntos, y se mezcló con su vista del archivo de registro.

De lo contrario, lo tomaría como una mala señal. Los archivos de registro generalmente no se modifican de forma retroactiva ...