[linux] server spadol, kde hladat pricinu?

Jarry guru jarry na gmx.net
Čtvrtek Únor 8 07:10:47 CET 2001


Caute linuxaci!

Dnes rano ma cakalo "prijemne" prekvapko: spadnuty (alebo
zmrznuty?) server. Ping sa neozyval, ziadna sluzba nebola
dostupna. Sadol som si za konzolu, logol sa ako root, zadal
heslo, a... Nic. Skoncilo to asi takto:

login: root
Password: 

Este last login (to sedelo, vcera z konzoly), ale prompt
som uz nedostal. Prepol som na iny terminal, logol sa ako
obycajny user a to iste: sekvencia login/password prebehla,
ale prompt ziaden a konzola stuhla. Co robit? Ctrl-Alt-Del
nefungovalo, tak teda len tvrdy restart.

fsck asi hodinu v manualnom mode, kopec "lost inode", "incorrect
size" a vselijakych inych hlaseni (zrele na preinstalovanie!),
ale napokon system nabehol.

Zahajil som obvyklu proceduru: logy, tripwire, rpm, skratka
ako sa patri, ale nic som nenasiel! Dokonca ani o case, kedy
zatuhol, som si nie isty. A uz vobec nie o pricine...

Vo /var/log/mail je prve podozrive hlasenie:
Feb  7 18:21:16 bliz sendmail[17120]: gethostbyaddr(moje_IP!) failed: 2
A potom uz len opakovane az do mojho restartu:
Feb  7 18:27:43 bliz sendmail[17138]: SAA17138: ruleset=check_mail,
... reject=451 ... Sender domain must resolve
Feb  7 18:31:17 bliz sendmail[17140]: gethostbyaddr (dake_IP) failed: 2
Zrejme od 18:21 uz nefachcil bind (bezi na tom istom serveri).

Vo /var/log/messages nie je v tom (ani v ziadnom inom case) nic
podozrive, len normalne hlasenia.

Vo /var/log/secure je tiez asi od toho isteho casu len:
Feb  7 18:21:23 bliz ipop3d[17125]: refused connect from (IPcky
z mojej siete)
To horesponduje, nechodil bind, nefungoval nameresolving, tak
ani pop3. Okrem toho uz len jedno hlasenie:
Feb  8 02:24:34 bliz portmap[19217]: connect from 211.34.29.131
to getport(status): request from unauthorized host

xferlog nic, lastlog takisto nic podozrive, apache nic, squid
tiez nic. Vo /var/spool/mail som nasiel pri jednom mailboxe:
user.lock (alebo lock.user?), 2 bajty, to som zmazal.

Okrem toho mi cez noc bezal este wget, startoval o 18:00, log sa
prestal zapisovat presne o 5:00, kedy som ho z crontabu zhodil
(aby rano kolegovia nesomrali, ze som im nechal zapchatu linku).

Tak, a teraz budme mudri! Co z tohto vyplyva? Bind mi prestal
fungovat, ale je mozne, ze by som sa koli tomu nemohol na
server prihlasit ani priamo z konzoly? Takisto ping na tento
server z ineho boxu sa nevracal, ani ked som dal priamo IP-cku.
Tak ma napada, pocul som o tom "priekaku" v binde (daky "buffer
overflow", ci co) a ja tam mam dost staru verziu, zeby to bolo
ono? A wget napriek tomu veselo siel dalej, aj ked cely komp uz
bol tuhy? Da sa niekde najst stopa, co sa vlastne stalo?

Jarry

-- 
Sent through GMX FreeMail - http://www.gmx.net




Další informace o konferenci linux