Segmentation fault, kein Hardwaredefekt?

[tim-werner]

Moin zusammen,

ich kriege beim Befehl "mv" einen Segmentation fault ausgeliefert.
Es wurden auch keine Logs mehr geschrieben. Nun habe ich durch meinen Provider (Hetzner) einen RAM-Test, Systemcheck und Festplattencheck durchführen lassen. Alle Tests liefen ohne Fehler durch. Auch kann ich im Rescue die Platte mounten und alles funktioniert, auch move.
Ich bekam Segmentation fault auch ausgeliefert, wenn ich sysklogd starten wollte. Sprich es wurde nichts mehr gelogt. Nach den ganzen Hardwaretests und unzähligen Reboots funtkioniert das nun wieder.
Lediglich stelle ich fest, dass move nicht funktioniert.
Was kann die Ursache sein? Hetzner äußerte, dass u.U. sich ein Hacker am Server Zugang verschafft hat...

Für Hilfe bin ich dankbar!

LG

[daemotron]

Poste mal bitte die Ausgabe von df -h. Mit welchen Kernel-Parametern wird gebootet? Bitte auch mal die Ausgabe von which mv posten und per ls -la <pfad-zu-mv-binary> prüfen, ob selbiges nicht ein Symlink ist. Mit md5sum o. ä. mal vergleichen, ob das mv auch das originale der Distribution ist (falls nicht, hat Hetzner recht und Dein System hat einen neuen "Admin").

[tim-werner]

Filesystem Size Used Avail Use% Mounted on
/dev/md1 365G 197G 150G 57% /
tmpfs 2.0G 0 2.0G 0% /lib/init/rw
udev 10M 44K 10M 1% /dev
tmpfs 2.0G 0 2.0G 0% /dev/shm

mv scheint alles zu stimmen...Der Fehler tritt laut Hetzner auch beim Booten auf.

Ich kriege es jetzt auch, wenn ich den Webserver neustarten will:
marsh-mallow:/home/twtools# /etc/init.d/apache2 restart
Forcing reload of web server (apache2)...grep: warning: /etc/apache2/conf/conf: recursive directory loop

waiting /etc/init.d/apache2: line 92: 4712 Segmentation fault sleep 2
./etc/init.d/apache2: line 92: 4714 Segmentation fault sleep 2
./etc/init.d/apache2: line 92: 4716 Segmentation fault sleep 2
./etc/init.d/apache2: line 92: 4718 Segmentation fault sleep 2
./etc/init.d/apache2: line 92: 4720 Segmentation fault sleep 2
./etc/init.d/apache2: line 92: 4722 Segmentation fault sleep 2
./etc/init.d/apache2: line 92: 4724 Segmentation fault sleep 2
./etc/init.d/apache2: line 92: 4726 Segmentation fault sleep 2
./etc/init.d/apache2: line 92: 4728 Segmentation fault sleep 2
./etc/init.d/apache2: line 92: 4730 Segmentation fault sleep 2
./etc/init.d/apache2: line 92: 4732 Segmentation fault sleep 2
./etc/init.d/apache2: line 92: 4734 Segmentation fault sleep 2
./etc/init.d/apache2: line 92: 4736 Segmentation fault sleep 2
./etc/init.d/apache2: line 92: 4738 Segmentation fault sleep 2
./etc/init.d/apache2: line 92: 4740 Segmentation fault sleep 2
./etc/init.d/apache2: line 92: 4742 Segmentation fault sleep 2
./etc/init.d/apache2: line 92: 4744 Segmentation fault sleep 2
./etc/init.d/apache2: line 92: 4746 Segmentation fault sleep 2
./etc/init.d/apache2: line 92: 4748 Segmentation fault sleep 2
./etc/init.d/apache2: line 92: 4750 Segmentation fault sleep 2
./etc/init.d/apache2: line 92: 4752 Segmentation fault sleep 2
./etc/init.d/apache2: line 92: 4754 Segmentation fault sleep 2
./etc/init.d/apache2: line 92: 4756 Segmentation fault sleep 2
./etc/init.d/apache2: line 92: 4758 Segmentation fault sleep 2
./etc/init.d/apache2: line 92: 4760 Segmentation fault sleep 2
./etc/init.d/apache2: line 92: 4762 Segmentation fault sleep 2
./etc/init.d/apache2: line 92: 4764 Segmentation fault sleep 2
./etc/init.d/apache2: line 92: 4766 Segmentation fault sleep 2
./etc/init.d/apache2: line 92: 4768 Segmentation fault sleep 2
./etc/init.d/apache2: line 92: 4770 Segmentation fault sleep 2
httpd (pid 4663) already running
.

Könnte ein xfs_repair abhilfe verschaffen?

[oxygen]

Theoretisch könnte es auch ein Dateisystemfehler sein, aber das ist eher unwahrscheinlich. Sieht mir mehr so aus als wäre deine libc kaputt (z.B. weil du sie updaten wolltest?!). Dass der Server gehackt wurden ist, ist durchaus auch möglich. Am besten mal im Rescue System rkhunter und/oder chkrootkit ausführen.

[tim-werner]

Ich hatte die letzten zwei Wochen Urlaub und demnach auch eigentlich kein Update o.Ä. gemacht.
Gehen wir mal von einem Dateisystemfehler aus, da ich der Auffassung bin, dass die Intention eines Hackers ist Daten zu zerstören, aber es noch alles da :o)
Wie werde ich den Dateisystemfehler los?

rkhunter chkrootkit lasse ich dennoch laufen - Danke für den Tipp!

[tim-werner]

gut, dass haben sie ja nicht wirklich...wenn 1-2 befehle nicht mehr funktionieren :O apache restart funktioniert übrigens nach einem Reboot wieder 8O

[rudelgurke]

Kommt drauf an - wenn Systemdateien ersetzt wurden - mv / login / ls usw. - die typischen Verdächtigen eben kann es schon sein dass das beim Rootkit etwas schief gegangen ist und dabei unabsichtlich (aus der Sicht des Hacker) Systembefehle "zerlegt" wurden.
Wie schon gesagt - rkhunter und chkroot und wenn möglich vom Rescue System aus "mv" mal runterladen und lokal per sha256 / md5 die Checksumme überprüfen. "mv" dabei unter keinen Umständen ausführen.
Für den Fall dass es ein Rootkit ist

[tim-werner]

rkhunter chkroot blieben beide ohne Ergebnis..alles "clean"