Syslog/messages/kern.log plus de 3x350 Mio en moins de 24h !

Salut,

Je n’ai jamais vu de tel logs!

Une install toute neuve d’hier (vers 18h00), chez ovh.
Il semblerait que cette situation perdure depuis cette heure là …

~ # du -h --max-depth=1 /var/log/* | sort -rh 358M /var/log/syslog 354M /var/log/messages 354M /var/log/kern.log ...
Pour alléger j’y suis allé à coup de “echo > /var/log/syslog” etc …

[code][root@yunohost] ~ # date
mardi 9 octobre 2012, 17:23:28 (UTC+0200)
[root@yunohost] ~ #

[root@yunohost] ~ # du -h --max-depth=1 /var/log/* | sort -rh

2,0M /var/log/syslog
1,7M /var/log/messages
1,7M /var/log/kern.log
…[/code]
Il se remplissent comme suit …

[quote][root@yunohost] ~ # tail -n 1 /var/log/kern.log && tail -n 1 /var/log/syslog && tail -n 1 /var/log/messages

Oct 9 17:47:30 yunohost kernel: [ 2853.047747] IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=Mon_IP_local DST=Mon_IP_OVH LEN=100 TOS=0x00 PREC=0x00 TTL=54 ID=48702 DF PROTO=TCP SPT=48006 DPT=22 WINDOW=62784 RES=0x00 ACK PSH URGP=0
Oct 9 17:47:30 yunohost kernel: [ 2853.047747] IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=Mon_IP_local DST=Mon_IP_OVH LEN=100 TOS=0x00 PREC=0x00 TTL=54 ID=48702 DF PROTO=TCP SPT=48006 DPT=22 WINDOW=62784 RES=0x00 ACK PSH URGP=0
Oct 9 17:47:30 yunohost kernel: [ 2853.047747] IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=Mon_IP_local DST=Mon_IP_OVH LEN=100 TOS=0x00 PREC=0x00 TTL=54 ID=48702 DF PROTO=TCP SPT=48006 DPT=22 WINDOW=62784 RES=0x00 ACK PSH URGP=0
[root@yunohost] ~ # [/quote]

[code][root@yunohost] ~ # date
mardi 9 octobre 2012, 17:52:00 (UTC+0200)

[root@yunohost] ~ # du -h --max-depth=1 /var/log/* | sort -rh

2,2M /var/log/syslog
1,9M /var/log/messages
1,9M /var/log/kern.log
…[/code]
Quel peut être l’origine de ce souci réseau …

Yunohost est la distro Debian qui automatise l’installation et la mise à jour d’un serveur personnel.
A priori, tu as un paquet qui bloque le processus.

Salut,

[quote=“Bidouille”]
A priori, tu as un paquet qui bloque le processus.[/quote]

???

Cela me surprend, j’ai deux autre machines (ayant une installation typique sur toutes) sous yuno, une en local et l’autre chez ovh, je n’ai jamais été confronter à cette situation.

Je sèche …

Ca ressemble à une règle de log dans iptables.
Sur le port 22 en plus.

Salut,

Correctif!

Je consulte mes archives (sauvegarde dd-externe)

Sur une ancienne install (l’un de mes tests) yuno, j’avais également des logs Monstrueux!

[code][root@pc-2-loreleil] ~ # ll /mnt/domaine.tld/racine/01102012_12h27/var/log
total 86764

drwxr-xr-x 16 root root 4096 1 oct. 06:26 .
drwxr-xr-x 15 root root 4096 11 août 20:37 …
-rw-r–r-- 1 loreleil loreleil 38846 1 oct. 12:06 addns.log
-rw-r–r-- 1 root root 0 1 oct. 06:25 alternatives.log
-rw-r–r-- 1 root root 282 3 sept. 16:56 alternatives.log.1
-rw-r–r-- 1 root root 2283 31 août 11:45 alternatives.log.2.gz
drwxr-x— 2 root adm 4096 30 sept. 06:34 apache2
drwxr-xr-x 2 root root 4096 1 oct. 06:25 apt
-rw-r–r-- 1 root root 0 1 oct. 06:25 aptitude
-rw-r–r-- 1 root root 1655 27 sept. 07:57 aptitude.1.gz
-rw-r–r-- 1 root root 6452 31 août 11:42 aptitude.2.gz
-rw-r----- 1 root adm 79530 1 oct. 12:39 auth.log
-rw-r----- 1 root adm 628868 30 sept. 06:30 auth.log.1
-rw-r----- 1 root adm 612911 9 sept. 06:26 auth.log.2
-rw-r----- 1 root adm 47442 23 sept. 06:27 auth.log.2.gz
-rw-r----- 1 root adm 394485 3 sept. 06:26 auth.log.3
-rw-r----- 1 root adm 21050 16 sept. 06:40 auth.log.3.gz
-rw-r----- 1 root adm 9008 20 sept. 11:35 boot
-rw-r----- 1 root adm 8952 19 sept. 07:47 boot.0
-rw-r----- 1 root adm 1904 17 sept. 15:41 boot.1.gz
-rw-r----- 1 root adm 1856 17 sept. 11:44 boot.2.gz
-rw-r----- 1 root adm 1832 16 sept. 19:13 boot.3.gz
-rw-r----- 1 root adm 1852 15 sept. 20:06 boot.4.gz
-rw-rw---- 1 root utmp 0 1 oct. 06:26 btmp
-rw-rw---- 1 root utmp 0 3 sept. 06:28 btmp.1
-rw-r–r-- 1 root root 377184 1 oct. 10:45 chercheprocess.log
drwxr-xr-x 2 root root 4096 3 mars 2010 chkrootkit
drwxr-xr-x 2 haldaemon bind 4096 30 sept. 06:35 clamav
-rw-r----- 1 root adm 65024 1 oct. 12:39 cron.log
-rw-r----- 1 root adm 512378 30 sept. 06:34 cron.log.1
-rw-r----- 1 root adm 31446 23 sept. 06:27 cron.log.2.gz
-rw-r----- 1 root adm 12954 16 sept. 06:41 cron.log.3.gz
-rw-r----- 1 root adm 27933 9 sept. 06:27 cron.log.4.gz
-rw-r----- 1 root adm 3188 1 oct. 12:05 daemon.log
-rw-r----- 1 root adm 17725 30 sept. 06:05 daemon.log.1
-rw-r----- 1 root adm 11074 23 sept. 06:05 daemon.log.2.gz
-rw-r----- 1 root adm 9399 16 sept. 06:42 daemon.log.3.gz
-rw-r----- 1 root adm 23161 9 sept. 06:05 daemon.log.4.gz
drwxr-xr-x 2 root root 4096 3 sept. 14:53 dbconfig-common
-rw-r----- 1 root adm 3158582 1 oct. 12:39 debug
-rw-r----- 1 root adm 16083220 30 sept. 06:35 debug.1
-rw-r----- 1 root adm 941676 23 sept. 06:28 debug.2.gz
-rw-r----- 1 root adm 483411 16 sept. 06:42 debug.3.gz
-rw-r----- 1 root adm 1000267 9 sept. 06:28 debug.4.gz
-rw-r----- 1 root adm 0 30 sept. 06:35 denyhosts
-rw-r----- 1 root adm 1059 23 sept. 06:28 denyhosts.1.gz
-rw-r----- 1 root adm 2535 22 sept. 13:33 denyhosts.2.gz
-rw-r----- 1 root adm 1966 15 sept. 20:38 denyhosts.3.gz
-rw-r----- 1 root adm 1357 5 sept. 09:14 denyhosts.4.gz
-rw-r–r-- 1 root root 3332 2 sept. 08:50 denyhosts.5.gz
-rw-r----- 1 root adm 30190 20 sept. 11:32 dmesg
-rw-r----- 1 root adm 29481 19 sept. 07:44 dmesg.0
-rw-r----- 1 root adm 9072 17 sept. 15:39 dmesg.1.gz
-rw-r----- 1 root adm 9078 17 sept. 11:42 dmesg.2.gz
-rw-r----- 1 root adm 9084 16 sept. 19:11 dmesg.3.gz
-rw-r----- 1 root adm 9090 15 sept. 20:04 dmesg.4.gz
-rw-r–r-- 1 root root 0 1 oct. 06:25 dpkg.log
-rw-r–r-- 1 root root 74799 24 sept. 07:55 dpkg.log.1
-rw-r–r-- 1 root root 36261 31 août 11:46 dpkg.log.2.gz
drwxr-s— 2 115 adm 4096 21 sept. 06:31 ejabberd
-rw-r----- 1 root adm 4952 1 oct. 06:26 fail2ban.log
-rw-r----- 1 root adm 9545 30 sept. 06:35 fail2ban.log.1
-rw-r----- 1 root adm 73623 9 sept. 06:27 fail2ban.log.2
-rw-r----- 1 root adm 25264 23 sept. 06:27 fail2ban.log.2.gz
-rw-r----- 1 root adm 255899 3 sept. 06:27 fail2ban.log.3
-rw-r----- 1 root adm 10954 15 sept. 20:15 fail2ban.log.3.gz
-rw-r–r-- 1 root root 24048 9 sept. 10:57 faillog
drwxr-xr-x 2 root root 4096 7 août 11:06 fsck
drwxr-xr-x 3 root root 4096 7 août 11:30 installer
-rw-r----- 1 root adm 2780 1 oct. 12:24 kern.log
-rw-r----- 1 root adm 181 24 sept. 14:46 kern.log.1
-rw-r----- 1 root adm 50148 22 sept. 19:03 kern.log.2.gz
-rw-r----- 1 root adm 31041 15 sept. 20:12 kern.log.3.gz
-rw-r----- 1 root adm 21276 9 sept. 04:16 kern.log.4.gz
-rw-rw-r-- 1 root utmp 294336 21 sept. 17:11 lastlog
-rw-r----- 1 root adm 0 7 août 11:32 lpr.log
-rw-r–r-- 1 loreleil loreleil 3402 21 sept. 11:01 mail_alert.log
-rw-r----- 1 root adm 0 17 sept. 06:28 mail.err
-rw-r----- 1 root adm 5714 16 sept. 19:07 mail.err.1
-rw-r----- 1 root adm 149 3 sept. 14:45 mail.err.2.gz
-rw-r----- 1 root adm 3012 31 août 11:33 mail.err.3.gz
-rw-r----- 1 root adm 3229584 1 oct. 12:39 mail.info
-rw-r----- 1 root adm 17482449 30 sept. 06:35 mail.info.1
-rw-r----- 1 root adm 1952069 23 sept. 06:28 mail.info.2.gz
-rw-r----- 1 root adm 1431332 16 sept. 06:41 mail.info.3.gz
-rw-r----- 1 root adm 2343191 9 sept. 06:26 mail.info.4.gz
-rw-r----- 1 root adm 3229584 1 oct. 12:39 mail.log
-rw-r----- 1 root adm 17482449 30 sept. 06:35 mail.log.1
-rw-r----- 1 root adm 1952069 23 sept. 06:28 mail.log.2.gz
-rw-r----- 1 root adm 1431332 16 sept. 06:41 mail.log.3.gz
-rw-r----- 1 root adm 2343191 9 sept. 06:26 mail.log.4.gz
-rw-r----- 1 root adm 0 23 sept. 06:28 mail.warn
-rw-r----- 1 root adm 32968 18 sept. 22:33 mail.warn.1
-rw-r----- 1 root adm 547 15 sept. 20:02 mail.warn.2.gz
-rw-r----- 1 root adm 448 5 sept. 09:12 mail.warn.3.gz
-rw-r----- 1 root adm 16566 2 sept. 18:22 mail.warn.4.gz
-rw-r----- 1 root adm 2477 1 oct. 12:24 messages
-rw-r----- 1 root adm 1544 30 sept. 06:35 messages.1
-rw-r----- 1 root adm 43988 23 sept. 06:28 messages.2.gz
-rw-r----- 1 root adm 27344 16 sept. 06:42 messages.3.gz
-rw-r----- 1 root adm 18971 9 sept. 06:28 messages.4.gz
drwxr-s— 2 bind adm 4096 1 oct. 06:25 mysql
-rw-r----- 1 bind adm 0 7 août 11:22 mysql.err
-rw-r----- 1 bind adm 0 1 oct. 06:25 mysql.log
-rw-r----- 1 bind adm 20 30 sept. 06:35 mysql.log.1.gz
-rw-r----- 1 bind adm 20 29 sept. 06:27 mysql.log.2.gz
-rw-r----- 1 bind adm 20 28 sept. 06:27 mysql.log.3.gz
-rw-r----- 1 bind adm 20 27 sept. 06:27 mysql.log.4.gz
-rw-r----- 1 bind adm 20 26 sept. 06:27 mysql.log.5.gz
-rw-r----- 1 bind adm 20 25 sept. 06:26 mysql.log.6.gz
-rw-r----- 1 bind adm 20 24 sept. 06:27 mysql.log.7.gz
drwxr-xr-x 2 root root 4096 7 août 11:32 news
drwxr-xr-x 2 117 winbindd_priv 4096 17 oct. 2010 ntpstats
drwxr-xr-x 2 root root 4096 30 sept. 06:35 proftpd
drwxr-xr-x 8 root root 4096 1 oct. 12:39 psad
-rw-r–r-- 1 root root 0 7 août 11:14 pycentral.log
-rw------- 1 root root 125125 1 oct. 06:29 rkhunter.log
-rw------- 1 root root 724082 29 sept. 06:30 rkhunter.log.1
-rw------- 1 root root 71472 22 sept. 06:30 rkhunter.log.2.gz
-rw------- 1 root root 29495 11 sept. 06:32 rkhunter.log.3.gz
-rw-r----- 1 root adm 84927 8 sept. 06:30 rkhunter.log.4.gz
-rw------- 1 root root 3308 30 sept. 06:47 rkhunter.log.old
-rw-r–r-- 1 root root 2697 20 sept. 11:34 rsyncd.log
drwxr-xr-x 2 root root 4096 30 avril 08:53 samba
-rw-r----- 1 root adm 1772900 1 oct. 12:39 syslog
-rw-r----- 1 root adm 4690725 1 oct. 06:25 syslog.1
-rw-r----- 1 root adm 294291 30 sept. 06:35 syslog.2.gz
-rw-r----- 1 root adm 334454 29 sept. 06:27 syslog.3.gz
-rw-r----- 1 root adm 340997 28 sept. 06:27 syslog.4.gz
-rw-r----- 1 root adm 340190 27 sept. 06:27 syslog.5.gz
-rw-r----- 1 root adm 333991 26 sept. 06:27 syslog.6.gz
-rw-r----- 1 root adm 324476 25 sept. 06:26 syslog.7.gz
-rw-r----- 1 root adm 0 23 sept. 06:28 user.log
-rw-r----- 1 root adm 1740 21 sept. 06:31 user.log.1
-rw-r----- 1 root adm 250 15 sept. 20:04 user.log.2.gz
-rw-r----- 1 root adm 209 6 sept. 12:30 user.log.3.gz
-rw-r----- 1 root adm 329 2 sept. 08:50 user.log.4.gz
-rw-rw-r-- 1 root utmp 0 1 oct. 06:26 wtmp
-rw-rw-r-- 1 root utmp 131712 21 sept. 17:11 wtmp.1
[root@pc-2-loreleil] ~ #
[/code]
…

[quote=“DjKlaus”]Ca ressemble à une règle de log dans iptables.
Sur le port 22 en plus.[/quote]

+1. C’est du log Iptables.

Salut,

[quote=“DjKlaus”]Ca ressemble à une règle de log dans iptables.
Sur le port 22 en plus.[/quote]

Et c’est tout à fait juste!

Voici les règles fauteuses de troubles.

# PSAD http://www.cipherdyne.org/psad/docs/fwconfig.html iptables -A INPUT -j LOG iptables -A FORWARD -j LOG

Un malencontreux copier/coller et un paquet non installer.

DjKlaus je t’en serre cinq, Merci!