Borrar LOGS sin parar servicios ¿¡?

temaqueja · #1 (**permalink**) 30/05/2003, 17:44

Saludos, tal vez esto sea sencillisimo de hacer pero antes de "lanzarme" consulto a los expertos ..

El archivo httpd access.log en mi servidor ya tiene casi 1 giga!! y el comando df me arroja que la partición está el 97%. No sé que hacer, se me ha ocurrido 3 posibilidades:

1. Parar apache, cargarme el archivo crear uno con el mismo nombre (pero vacio) y volver a iniciar apache.

2. editar el archivo, seleccionar desde el inicio hasta el final ¿de 1 giga? borrar la selección, grabar el archivo (ya vacio) y no se necesite parar apache aunque por la gracia de abrir un archivo de 1 giga tal vez cause peores problemas.

3. Preguntarles cómo es que hacen ustedes para vaciar los logs que ya pesan demasiado. (

en lo posible sin parar el server)

Por favor, necesito respuesta urgente porque no sé que va a pasar si /var llega a llenarse al 100%

Ferdy · #2 (**permalink**) 30/05/2003, 17:55

Utiliza rotatelog, aunque eso si, en algún momento tienes que reiniciar el servicio.

Salu2.Ferdy

temaqueja · #3 (**permalink**) 30/05/2003, 18:23

rotatelog? buscaré a ver que hace... y díganme si la partición llega al 100% linux se cuelga? ó se paran los servicios??

no pienso dejar que llegue

hrxnet · #4 (**permalink**) 30/05/2003, 20:28

cat /dev/null > /var/log/httpd/access.log

Según los gurú de Unix con este comando puedes poner a 0 los archivos de Log más grande y sin temor a ocacionar conflictos con los procesos que lo generan aún estando estos arriba.

Hasta puedes crear rutinas de vaciado automatico así no se llena tanto.

Ferdy · #5 (**permalink**) 31/05/2003, 04:53

hrxnet, pero los logs deben conservarse durante un tiempo, por eso le he comentado lo de rotatelog

Salu2.Ferdy

hrxnet · #6 (**permalink**) 31/05/2003, 10:41

Bueno bueno... primero lo primero, el señor acá pregunto como vaciar los logs sin tener que tumbar el proceso que los genera, por eso le respondi de esa manera, en ningún momento se especifico si se querian conservar o no.

Ferdy · #7 (**permalink**) 31/05/2003, 16:52

Ya ya, pero que directamente di la solución así porque creo que es lo más conveniente, mantenerlos.

Si no los quiere mantener lo mejor es que haga lo que le has dicho

Salu2.Ferdy

temaqueja · #8 (**permalink**) 31/05/2003, 19:21

Pues gracias a ambos

Por urgencia preferí vaciar el log y la partición está ahora al 9% (y eso que dejé el log de errores que tiene como 400 megas de sucios ¿y estúpidos? intentos de acceso no autorizado a través de apache (ver abajo) .

Ahora que estoy mas tranquilo aprenderé a usar logrotate (o al revés)

Ejemplo de intentos de acceso (obviamente creen que están ante un NT):
...../scripts/root.exe
...../MSADC/root.exe
...../c/winnt/system32/cmd.exe
...../d/winnt/system32/cmd.exe
...../scripts/..%5c../winnt/system32/cmd.exe
...../_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
...../_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
lt.ida
...../msadc/..%5c../..%5c../..%5c/..Á^\../..Á^\../..Á^\../winnt/system32/cmd.exe
...../scripts/..Á^\../winnt/system32/cmd.exe
...../scripts/..À¯../winnt/system32/cmd.exe
...../scripts/..Áœ../winnt/system32/cmd.exe
...../scripts/..%5c../winnt/system32/cmd.exe
...../scripts/..%2f../winnt/system32/cmd.exe

P.D.: Tambien hay muchas busquedas de un archivo default.ida (que ya leí por ahí que es el CODE-RED infectado de alguien que me está atacando el servidor)

Ahora una última pregunta: ¿de que manera te deshaces de esos ataques? me preocupa pensar que me acaban el ancho de banda innecesariamente

hrxnet · #9 (**permalink**) 31/05/2003, 20:38

No es que crean que estas en un NT, puede ser cualquiera con un scanneador tipo Shadown Scan buscando la conocida fallas del servidor IIS usando un rango de Ip. Para parar los "ataques" de este tipo pues se me ocurre que sea por filtrado de paquetes desde el host que esta haciendo eso, la verdad que nunca me documente al respecto, veamos que nos sugiere ferdy.

||Dj|| · #10 (**permalink**) 01/06/2003, 03:27

Me parece que es un gusano bastante conocido que explota un buffer overflow de una dll en IIS, no recuerdo el nombre ahora, y como te decian, seguramente no fue un ataque directo a tu server.

Saludos.

Ferdy · #11 (**permalink**) 01/06/2003, 05:01

Por allí leí que con una discriminación de la variable User-Agent podías deshacerte de estas peticiones; pero ahora mismo no recuerdo ni como, ni donde.

Salu2.Ferdy

_-------------
EDITADO
-------------

Por ahí encontré esto http://tux.cl/ver_tip.php?id=051 no es exactamente lo que yo recordaba pero tambien te tiene que servir.

Salu2.Ferdy

hrxnet · #12 (**permalink**) 01/06/2003, 11:02

uhmmm lo de discriminación de la variable User-Agent ahora recuerdo que leí algo sobre eso en linuxparatodos.com en la sección de configurar a pache web server, fijate que por hay dicen como evitar agentes indeseables y hasta disponen de un script en php para hacerlo.

temaqueja · #13 (**permalink**) 02/06/2003, 17:31

GRACIAS POR AYUDARME CON ESAS DUDAS, TENGO MATERIAL PARA INVESTIGAR BUEN TIEMPO