kernel: grsec: signal 11 sent to (httpd) ???

[chtekk]

Hallo, ab und zu finde ich das Nachts in den Logs:

/var/log/warn:

Code: Select all

Jan 29 02:34:13 XXXXXX kernel: grsec: From 216.88.XXX.XXX: signal 11 sent to (httpd:21352) UID(30) EUID(30), parent (httpd:18811) UID(0) EUID(0)
Jan 29 02:34:13 XXXXXX kernel: grsec: From 216.88.XXX.XXX: signal 11 sent to (httpd:21352) UID(30) EUID(30), parent (httpd:18811) UID(0) EUID(0)

Und im gleichen Moment dies hier im Apache Error-Log:

/var/log/httpd/error_log:

Code: Select all

[Thu Jan 29 02:34:14 2004] [notice] child pid 21352 exit signal Segmentation fault (11)

Ich habe eine SuSE 8.2, alle Updates eingespielt, einen 2.4.24-grsec Kernel (der da schön brav loggt! ;) ), PHP 4.3.1, MySQL 3.23.58 und Apache 1.3.27 (von SuSE). Wie ich es verstehe hat jemand ein Signal 11 (shutdown glaube ich... ???) an den Apachen-Child gesendet der dann zussamegebrochen ist... Kann das ein Angriff / Form eines DoS gegen den Apache sein? Denn die IP ist NICHT meine oder eine des Servers! Tnx für Hilfe! :D

[rootmaster]

das ist anders herum zu lesen 8)
ein segmentation fault ist die ursache für ein SIGSEGV (signal 11) an den child-prozess, der daraufhin aussteigt.
das loggt grsec als warn-meldung mit.
das problem sollte man beim apache(-modul) suchen ;)

"back to the roots"

[chtekk]

Tnx for the info! BTW, was könnte es in Apachen sein?

[majortermi]

Wenn es ein Apache mit älterem OpenSSL / mod_SSL ist, würde ich darauf tippen (wenn man den bekannten Exploit einsetzt, wird ein SIGSEV erzeugt).

[standbye]

hmm also unterbindet der gr Patch quasi das Nutzen des Exploids?

[captaincrunch]

So sollte es sein. ;)

[majortermi]

hmm also unterbindet der gr Patch quasi das Nutzen des Exploids?

Woher weißt du, dass der Exploit nicht erfolgreich war?
Ich habe schon einige erfolgreich "exploited" Systeme gesehen, die ähnliche Meldungen in den Apache-Logs hatten...

[standbye]

deswegen war das ganze ja ne frage Major ;)

[chtekk]

Danke für die Infos! Da ich die neusten Versionen von Apache und OpenSSL sowie mod_ssl benütze die mir YAST anbietet, sollte der Exploit ja nicht erfolgreich sein, da das heissen würde das SuSE Packete zur verfügung stellt die noch Bugs enthalten die seit Monaten bekannt sind, und dass ist wirklich unwarscheinlich... Kernel 2.4.24-grsec sollte (und er hat glaube ich auch!) schützen und funktioniert, auch mein Server hat nichts ungewöhnliches... Kein Mehrtraffic, keine Probleme, chkrootkit findet nix, so ist, würde ich mal sagen, der Exploit fehlgeschlagen!