Résultats de recherche pour bref

Rsyslog too many open files

Posté le de Aucun commentaire ↓

Bonjour à tous, aujourd’hui je voulais vous partager une erreur que j’ai rencontrée récemment avec une infra Splunk, plus exactement avec la couche de collecte Rsyslog (vous savez celle que je recommande dans mon podcast sur les 10 commandements du SIEM). Cette erreur qu’on a fini par identifier dans les journaux avec le message suivant « rsyslog too many open files » et plus précisément la ligne suivante :

May 06 05:47:13 myserver rsyslogd[6896]: file '/splunk-inputs/PROXY/myproxyhost/2022-05-06T03+02-PROD-PROXY.log': open error: Too many open files [v8.24.0-41.el7_7.2 try http://www.rsyslog.com/e/2433 ]

Le log d’erreur arrive dans /var/log/message à priori. Néanmoins, de mon côté on ne l’a vu que depuis la commande journalctl, quelques exemples qui m’ont permis de la mettre en avant :

journalctl --no-pager | tail -f
journalctl -u rsyslog
journalctl --no-pager > /tmp/rsyslogtmp.log

Par défaut, la limite pour rsyslog était à 1024 fichiers ouverts simultanément sur notre système. Pas bien clair sur le pourquoi car les limites systèmes (cf. fichier /etc/security/limits.conf) été bien à 64000 :

ulimit -Sn
64000

Pour autant notre processus rsyslog plafonné à 1024 fichiers. Ce qui causait une erreur bien zarb où on perdait 15min de log au début de chaque heure. Du coup, avec l’aide … Lire la suite

Flameshot

Posté le de Aucun commentaire ↓

Bonjour à tous, aujourd’hui je vous partage juste un pointeur vers un petit outil que les jeunes m’ont conseillé : Flameshot, et c’est par ici que ça se passe :

https://flameshot.org/

Du coup, l’outil complète (voir remplace) bien les capacités de l’outil Capture, présent sur Windows par défaut. Notamment avec une pelleté de raccourcis clavier, et surtout la capacité à éditer votre capture directement dans l’App (mettre des flèches, des encadrés, du texte, flouter un endroit ou surligner un autre).

En double effet kiss-cool, l’outil est open source, sous licence GPL3 qui oblige à conserver le code en open-source si vous voulez faire votre version quand même.

Et en cerise sur le gâteau, celui-ci est disponible pour Windows, Mac et Linux (et pilotable en ligne de commande). Tout ceci ce vous permet d’utiliser le même outil partout. Ce n’est pas négligeable si, comme moi, vous travaillez avec plusieurs OS au quotidien.

Flameshot

Bref, c’est plutôt pas mal du tout ce truc. Aussi je vous invite à regarder, l’essayer et probablement l’adopter. Pour les téléchargement, c’est sur le GitHub : https://github.com/flameshot-org/flameshot/releases/latest

Capturez bien !… Lire la suite

BlockList iptable avec Splunk et d’AbuseIPDB

Posté le de Aucun commentaire ↓

Bonjour à tous, aujourd’hui je continue avec un article qui suit ce qu’on avait fait avec la Blacklist Iptables AbuseIPDB la dernière fois. Cette fois on va voir comment construire une BlockList iptable avec Splunk et d’AbuseIPDB.

Qu’est ce que j’entends derrière ce titre ? Simplement que la blacklist ma dernière fois n’est pas très « maline ». Dans le sens, où on verrouille juste 10 000 IP comme des bourrins et sans trop se demander si les vulns ou services qu’elles checkent nous concerne en effet. Alors, ça ne sert pas à rien hein. C’est une bonne base à bloquer facilement mais ce n’est pas forcément utile dans le sens où ces 10 000 ne se connecterons pas forcément à votre site ou infra au final.

En effet, ce qu’on souhaiterai plus, notamment dans une optique de CTI (Cyber threat Intelligence) : c’est de bloquer (sinon détecter au moins) celles qui se connectent effectivement sur nos services (genre à la fail2ban). Le problème c’est que fail2ban c’est bien en protection mono instance. Mais, quand vous protégez tout un système d’information, ça ne passe pas super bien à échelle. Par exemple, je vous laisse imaginez quand vous … Lire la suite

Jump Lists – Forensgeek

Posté le de Aucun commentaire ↓

Bonjour à tous, aujourd’hui on continue la série Forensgeek avec l’usage des Jump Lists pour la forensics.

C’est quoi les Jump Lists ?

Alors vous voyez dans L’explorateur Windows quand vous cliquez avec le bouton droit sur un icône de la barre des tâches ? comme ci dessous ? bah c’est ça les jump lists simplement.

Jump Lists

Comme les jumps lists sont gérées automatiquement par le système d’exploitation. leur analyse permet de mettre en avant l’exécution de programme ou l’accès à des fichiers. Un petit peu comme pour les Windows Shortcut Files vu la semaine dernière vous récupérerez au passage un timestamp des accès ainsi qu’un chemin ? Comme pour les Lnk, ca fonctionne également si le fichier ou programme source à été supprimé d’où l’intérêt pour la forensics.

C’est où les jump lists ?

Les Jump lists sont stockées dans le repertoire C:\Users\$Username\AppData\Roaming\Microsoft\Windows\Recent

Comme pour les shortcuts pour ceux qui suivent… en fait pas tout à fait, les Jump Lists sont stockées dans 2 sous dossier cachés : AutomaticDestinations et CustomDestinations. Elle se présente sous la forme de fichier au extensions .automaticDestinations-ms et .customDestinations-ms.

Le nom du fichier avant l’extension est en fait un identifiant de l’application auxquel … Lire la suite