From: Umut (php@kakalak.org)
Date: Tue 29 Jul 2003 - 20:46:15 EEST
> > Loglarima baktigimda 04:40 itibariyle tum kritik loglarin
> > (syslog, messages, cronlog...) sifirlandigini gordum...
> Slackware kullaniyordunuz dogru hatirliyorsam. Ontanimli olarak 4:40'da
> gunluk log rotasyonu var eger kaldirmadiysaniz.
Kessinlikkkle haklisiniz...
Sadece slackware degil, 1 redhat, 2 slackware production var.
evdeki coplukleri saymiycam... (5 tane oldular)
ama bilinmedik ne cok sey var...
Kissadan hisse: calisan/cronlu tum servisler icin
man <servisadi> yapmakta ve
gerekli tum README ve FAQ dosyalarina
goz gezdirmekte fayda var. :-)
vakti bol olanlar icin:
simdi musaade ederseniz paylasayim bu minik tecrubeyi.
paranoya + cahillik = kuruntu.
Benimkisi bundan ibaret. Olay logrotate sonucu olmus, ama bugune
kadar bu kadar dikkatli bakmayinca farketmemisim.
Yine de guzel bir tecrube oldu.
Production serverin basit bir replikasi evde calisiyor.
Dosyalari zaten ondan kontrol etmeye baslamistim ama
bunu da kandirabilir diye emin olamadim.
guncel bir nessus kurdum ve taradim.
nmap ile acik port aradim.
netstat ile iceriden taradim.
calisan diger servislerden 04:40 civarindaki loglara
baktim. (virtual domainler logrotate'e dahil degil, ama zaten
bilmiyordum daha) bir problemle karsilasmadim.
paranoya seviyemi arttiran asil faktor qmail'in email gondermemesiydi.
zaten loglara bu sebeple baktim ancak log gormeyince sasirdim.
bunu cozmemle birlikte rootkit vs konusundaki suphelerim
azaldi. (currentconcurrency dosyasinin icinde sadece 2 yaziyordu.
daha once 20 idi, sanirim bi ara farkinda olmadan sildim ve
birikmesine sebep oldum) onu 100 yapinca 3 saat icinde mailler
dagildi, benim mailim de listeye zaten o zaman ulasti.
yakin zamanda konsolda buyuk harf gormem gibi bu da
sasirtici bir tecrube oldu. "cok calismam gerek coook" :-)
Saygilar
Umut