[linux] server spadol, kde hladat pricinu?

Matus "fantomas" Uhlar uhlar na fantomas.sk
Čtvrtek Únor 8 07:28:04 CET 2001


-> Dnes rano ma cakalo "prijemne" prekvapko: spadnuty (alebo
-> zmrznuty?) server. Ping sa neozyval, ziadna sluzba nebola
-> dostupna. Sadol som si za konzolu, logol sa ako root, zadal
-> heslo, a... Nic. Skoncilo to asi takto:
-> 
-> login: root
-> Password: 
-> 
-> Este last login (to sedelo, vcera z konzoly), ale prompt
-> som uz nedostal. Prepol som na iny terminal, logol sa ako
-> obycajny user a to iste: sekvencia login/password prebehla,
-> ale prompt ziaden a konzola stuhla. Co robit? Ctrl-Alt-Del
-> nefungovalo, tak teda len tvrdy restart.

No, na mavam vacsinou syslog presmerovany na virtualnu konzolu No.12 a to
auth.debug a kern.debug potom vacsinou tam vidno co sa zrubalo, teda ak sa
nezrube aj to :)

-> Vo /var/log/mail je prve podozrive hlasenie:
-> Feb  7 18:21:16 bliz sendmail[17120]: gethostbyaddr(moje_IP!) failed: 2
-> A potom uz len opakovane az do mojho restartu:
-> Feb  7 18:27:43 bliz sendmail[17138]: SAA17138: ruleset=check_mail,
-> ... reject=451 ... Sender domain must resolve
-> Feb  7 18:31:17 bliz sendmail[17140]: gethostbyaddr (dake_IP) failed: 2
-> Zrejme od 18:21 uz nefachcil bind (bezi na tom istom serveri).

yo zrubal sa bind... nedavno v nom bola diera neskusal ti to niekto hacknut?
ktoru mas verziu a pod akym userom ho bezis?

-> Okrem toho uz len jedno hlasenie:
-> Feb  8 02:24:34 bliz portmap[19217]: connect from 211.34.29.131
-> to getport(status): request from unauthorized host
-> 
-> Tak, a teraz budme mudri! Co z tohto vyplyva? Bind mi prestal
-> fungovat, ale je mozne, ze by som sa koli tomu nemohol na
-> server prihlasit ani priamo z konzoly? Takisto ping na tento
-> server z ineho boxu sa nevracal, ani ked som dal priamo IP-cku.
-> Tak ma napada, pocul som o tom "priekaku" v binde (daky "buffer
-> overflow", ci co) a ja tam mam dost staru verziu, zeby to bolo
-> ono? A wget napriek tomu veselo siel dalej, aj ked cely komp uz
-> bol tuhy? Da sa niekde najst stopa, co sa vlastne stalo?

Ak pocitac neodpovedal ani na ping to znamena ze system bol vazne zrubany,
inac kernel odpoveda aj ked prebehol shutdown (ak v ramci neho nespustas
ifconfig eth0 down)

inac ti vela nepoviem... skus to s tym syslogom ked mas pristup k masine
moze to obcas dobre veci pooznamovat...

-- 
 Matus "fantomas" Uhlar, sysadmin at NEXTRA, Slovakia; IRCNET admin of *.sk
 uhlar na fantomas.sk ; http://www.fantomas.sk/ ; http://www.nextra.sk/
 The early bird may get the worm, but the second mouse gets the cheese. 

---
Odchozí zpráva obsahuje viry.
Zkontrolováno antivirovým systémem AVG (http://www.grisoft.cz).
Verze: 6.0.230 / Virová báze: 111 - datum vydání: 25.1.2001



Další informace o konferenci linux