RootForum Community

Posted: **2004-01-26 17:58**

Dann wird das wohl ein bug sein... der Tritt immer dann auf, wenn Du kein In-Traffic hattest...

Ist in der aktuellen Version behoben.
http://www.sourceforge.net/projects/srvreport/

Posted: **2004-01-26 18:26**

kajo0011 wrote:
Code: Select all
file = /usr/bin/grep "my pattern" /var/log/messages |

Ok, danke. Und wie mach ich das mit 2 Begriffen? Mit Komma oder so abtrennen?
Edit: Jetzt zeigts aber nur den gegreppten Begriff an!?

Posted: **2004-01-26 18:30**

kajo0011 wrote:Deinen letzten Eintrag verstehe ich gerade gar nicht ...

Nee, hat sich ja geklärt. Mea culpa. Falsche Pfade benutzt. Ist jetzt ok.

Posted: **2004-01-26 18:55**

Für mehrere Stichworte (see also "man egrep"):

Code: Select all

file = /usr/bin/egrep 'kernel|warn' /var/log/messages |

Posted: **2004-01-26 21:04**

hm diesen fehler hats noch nicht gegeben (v 0.29)

# /usr/bin/perl /root/srvreport-0.29/bin/srvreport.pl --test=3
/usr/bin/strings: /usr/sbin/tcpd: No such file or directory
Illegal division by zero at /root/srvreport-0.29/bin/lib/perl/SRVREPORT/HttpdReport.pm line 218.

Posted: **2004-01-26 21:10**

Mensch... wie bekommt ihr denn das alles hin ?
Also gut... auch dieses ist ein Bug (der eigentlich auch nie vorkommt, es sei denn, der Traffic konnta gar nicht ausgelsen werden oder ist 0).

Eine neue Version (0.31) gibt es unter
http://osdn.dl.sourceforge.net/sourcefo ... t-0.31.tgz

PS: Ich hab jetzt mal alle '/' gesucht und jetzt das war wirklich die letzte div 0...

Den Fehler mit

No such file or directory

brauch ich ja nicht zu erklären, oder?

Posted: **2004-01-26 21:23**

bin/srvreport.pl
Argument "r" isn't numeric in numeric ge (>=) at /root/srvreport-0.30/bin/lib/pe
rl/SRVREPORT/HttpdReport.pm line 168, <F_LOG_FILE> line 51.
Argument "_" isn't numeric in numeric ge (>=) at /root/srvreport-0.30/bin/lib/pe
rl/SRVREPORT/HttpdReport.pm line 168, <F_LOG_FILE> line 53.
Argument "b" isn't numeric in numeric ge (>=) at /root/srvreport-0.30/bin/lib/pe
rl/SRVREPORT/HttpdReport.pm line 168, <F_LOG_FILE> line 54.
Argument "_" isn't numeric in numeric ge (>=) at /root/srvreport-0.30/bin/lib/pe
rl/SRVREPORT/HttpdReport.pm line 168, <F_LOG_FILE> line 55.
Argument "b" isn't numeric in numeric ge (>=) at /root/srvreport-0.30/bin/lib/pe
rl/SRVREPORT/HttpdReport.pm line 168, <F_LOG_FILE> line 56.

Folgende Fehlermeldung krieg ich beim Aufruf, ich weiß nicht mehr weiter. in httpd.conf hab ich folgendes gesetzt:

LogFormat "%v "%{Host}i" %h %t "%r" %>s %b" srvreport
CustomLog |/root/srvreport-x.xx/bin/pipelog.pl srvreport

Kann mir da jemand weiterhelfen?
Danke, Flo

P.S.: Achso, das ganze auf Fedora Core 1, Pfad zu Logfiles soweit angepasst

Posted: **2004-01-26 21:28**

Du solltest vielleicht noch zumindest ein paar Zeilen (51-56) aus dem Logfile posten...
Wie sieht der Konfig-Eintrag für den HttpdReport aus?

Du hast hoffentlich das x.xx im folgenden ersetzt (sonst hängt sich irgendwann Dein Webserver auf):

CustomLog |/root/srvreport-x.xx/bin/pipelog.pl srvreport

Posted: **2004-01-26 21:43**

kajo0011 wrote:Du solltest vielleicht noch zumindest ein paar Zeilen (51-56) aus dem Logfile posten...
Wie sieht der Konfig-Eintrag für den HttpdReport aus?

Du hast hoffentlich das x.xx im folgenden ersetzt (sonst hängt sich irgendwann Dein Webserver auf):
CustomLog |/root/srvreport-x.xx/bin/pipelog.pl srvreport

Ja, hab ich ;-)

Das Log hat nur ca. 20 Zeilen... Warum er da in ner 50ten gucken will?!?

Posted: **2004-01-26 22:11**

TobiasKa wrote:
# /usr/bin/perl /root/srvreport-0.29/bin/srvreport.pl --test=3
/usr/bin/strings: /usr/sbin/tcpd: No such file or directory

chkrootkit kommt vermutlich mit Deinem OS nicht klar... da musst Du dich schon an die Entwickler von "chkrootkit" wenden...

Posted: **2004-01-26 22:15**

ja stimmt hier liegt das problem:

Checking `tcpd'... /usr/bin/strings: /usr/sbin/tcpd: No such file or directory
not infected

muss ich da was aus dem script löschen oder einfach eine datei erstellen?

Posted: **2004-01-26 22:19**

Da bin ich leider überfragt... da musst Du Dich schon an die entsprechenden chkrootkit-Leute wenden (oder jemand der sich damit auskennt)

Posted: **2004-01-26 22:20**

hab grad ne Mail vom Script bekommen:

warning, got bogus unix line.

??

Posted: **2004-01-26 22:25**

Posted: **2004-01-26 22:30**

:-D ich meinte, ob jemand weiss, was das bedeutet?

Posted: **2004-01-26 22:33**

vermutlich hab ich aus versehen die Dateien mit CR/LF beendet... :(
aber da soll sich Dein Unix nicht so anstellen (die meisten ignorieren das)... oder du änderst es halt (es gibt glauch auch irgendein Befehl der das macht)... :?

Posted: **2004-01-26 22:40**

kajo0011 wrote:... oder du änderst es halt (es gibt glauch auch irgendein Befehl der das macht)... :?

ja, :set fileformat=unix aber wo? In der srvreport.pl? Und ausserdem hab ich bis jetzt nur eine Mail bekommen.

Posted: **2004-01-26 22:46**

normalerweise bekommst Du erst heute nach um 0:01 Uhr eine Mail... also beklag Dich nicht darüber... die Mail hast Du vermutlich bekommen, weil Du das Script mit --test=1 aufgerufen hast...

Vermutlich hängt das ganze

warning, got bogus unix line.

mit chkrootkit zusammen...
Führe dies mitte mal direkt aus...

Siehe auch: http://lists.debian.org/debian-security ... 00207.html (unter Punkt 3)

Posted: **2004-01-26 22:56**

kajo0011 wrote:normalerweise bekommst Du erst heute nach um 0:01 Uhr eine Mail... also beklag Dich nicht darüber...

nein Du hast mich falsch verstanden. :) Ich meinte diese Meldung kam nur einmal.

die Mail hast Du vermutlich bekommen, weil Du das Script mit --test=1 aufgerufen hast...

nein, hab ich nicht

Vermutlich hängt das ganze mit chkrootkit zusammen...

Ja, das wird so sein. Ich erinnere mich dunkel .. Danke.

EDIT: .... "warning, got bogus unix line". It is the output of netstat
when the status of a unix socket changes as it is read by netstat ..

Posted: **2004-01-27 12:01**

Hallo kajo0011,

habe dein feine Tool installiert und bin hochbegeistert. Läuft auch alles wunderbar, ich erhalte jedoch auch beim Aufruf von srvreport.pl (als Cronjob) eine eMail mit dem einzigen Inhalt:

"warning, got bogus unix line."

Diese Zeile erhielt ich früher auch, als ich chkrootkit noch einzeln als Cronjob aufrief und das Ergebnis in eine Mail gepiped hatte... Scheinbar aber immer nur, wenn INFECTED gemeldet wurde...

Wenn ich das Tool auf einem vServer einsetze kommt übrigens die Meldung:

Use of uninitialized value in concatenation (.) or string at ./srvreport.pl line 278.

Erst, wenn ich dort den hostnamen von Hand einsetze, klappt alles...

Kann man gegen die 2 Probs was machen?

Ansonsten: Danke für das klasse Tool!

Grüsse
Punga

Posted: **2004-01-27 12:31**

Für das 2. Problem könntest Du das folgende mal für mich testen ?

Ã?ndere in srvreport.p, die folgenden Zeilen (ca. ab 275)

Code: Select all

    use Net::Domain qw(hostname hostfqdn hostdomain);
    # now generate mail
    my $msg = MIME::Lite->new(
      From    => '"'.hostname().'" <'.$mailReport.'>',
      To      => $mailReport,
      Subject => '[SrvReport] Your daily mail from your server',
      Type    => 'multipart/related'
    );

nach

Code: Select all

    use Net::Domain qw(hostname hostfqdn hostdomain);
    my $host_name = hostname();
    if (!(defined $host_name)) {
     $host_name = "Your Server";
    }
    # now generate mail
    my $msg = MIME::Lite->new(
      From    => '"'.$host_name.'" <'.$mailReport.'>',
      To      => $mailReport,
      Subject => '[SrvReport] Your daily mail from your server',
      Type    => 'multipart/related'
    );

und sag mir Bescheid, wenn es dann klappt...

Für das Erste Problem gibt es zwei Lösungen:
1. füge im cron-Eintrag noch ganz hinten 2>/dev/nul hinzu
2. füge im file-Eintrag in der srvreport.conf ein 2>/dev/nul bei chkrottkit ein:

Code: Select all

file = /root/scripts/chkrootkit-0.43/chkrootkit 2>/dev/nul |

Greetings
Jochen

Posted: **2004-01-27 13:03**

hi,

vieleicht stell ich mich aber auch nur zu blöd an...
ich möchte das script nicht unbedingt als root ausführen
lassen. Frech gesagt "Vertraue niemanden ;)"

Jetzt habe ich mir zwar das ganze als ein anderen User zu laufen,
habe aber immer das Problem, das er z.b. die xferlog nicht lesen kann...
ist ja eigendlich logisch weil der user keine Leserrechte darüber verfügt...

Hat da sich schonmal jemand mit beschäftigt ?! bzw. gibt es eine möglichkeit die Logfiles auch lesbar für eine andere gruppe zu machen ohne das es gleich als "Flickschusterei" endet.

Will nicht gleich rw...r.. draus machen, dann kann es ja jeder lesen :(

Gruß Dennis

Posted: **2004-01-27 13:20**

Hallo Jochen,

mit deinen Ã?nderungen funktioniert das Script auf dem vServer nun ohne Probleme. Bzgl. der 2ten Problematik habe ich den Cronjob nun geändert - danke für die Tips!

Grüsse
Punga

Posted: **2004-01-27 17:28**

Hi!

Konntest du was wg. meinem Fehler finden?

Gruß,
Floker

Posted: **2004-01-27 17:50**

Kannst Du mir Dein OS und perl-Version zukommen lassen?

Code: Select all

perl --version

RootForum Community

[ANN]: Tägliche Mail vom Server

Re: [ANN]: Tägliche Mail vom Server

Re: [ANN]: Tägliche Mail vom Server

Re: [ANN]: Tägliche Mail vom Server

Re: [ANN]: Tägliche Mail vom Server

Re: [ANN]: Tägliche Mail vom Server

Re: [ANN]: Tägliche Mail vom Server

Re: [ANN]: Tägliche Mail vom Server

Re: [ANN]: Tägliche Mail vom Server

Re: [ANN]: Tägliche Mail vom Server

Re: [ANN]: Tägliche Mail vom Server

Re: [ANN]: Tägliche Mail vom Server

Re: [ANN]: Tägliche Mail vom Server

Re: [ANN]: Tägliche Mail vom Server

Re: [ANN]: Tägliche Mail vom Server

Re: [ANN]: Tägliche Mail vom Server

Re: [ANN]: Tägliche Mail vom Server

Re: [ANN]: Tägliche Mail vom Server

Re: [ANN]: Tägliche Mail vom Server

Re: [ANN]: Tägliche Mail vom Server

Re: [ANN]: Tägliche Mail vom Server

Re: [ANN]: Tägliche Mail vom Server

Als anderen User ausführen ?!

Re: [ANN]: Tägliche Mail vom Server

Re: [ANN]: Tägliche Mail vom Server

Re: [ANN]: Tägliche Mail vom Server