unerklärlicher Reboot

[kase]

Hi, um 21:40 hatte ich einen unerklärlichen Reboot. Ich weiß weder, ob ein shutdown gemacht wurde, oder der Reset Knopf gedrückt wurde, noch wer es war. Ich poste mal ein paar Logeinträge:

Code: Select all

messages:
Mar  8 20:11:13 -- MARK --
Mar  8 20:31:13 -- MARK --
Mar  8 20:51:13 -- MARK --
Mar  8 21:11:13 -- MARK --
Mar  8 21:31:13 -- MARK --
Mar  8 21:40:49 syslogd 1.4.1#10: restart.
Mar  8 21:40:49 kernel: klogd 1.4.1#10, log source = /proc/kmsg started.
Mar  8 21:40:49 kernel: Inspecting /boot/System.map-2.4.18-bf2.4
Mar  8 21:40:49 kernel: Loaded 19371 symbols from /boot/System.map-2.4.18-bf2.4.
Mar  8 21:40:49 kernel: Symbols match kernel version 2.4.18.
Mar  8 21:40:49 kernel: No module symbols loaded.
Mar  8 21:40:49 kernel: Linux version 2.4.18-bf2.4 (root@zombie) (gcc version 2.95.4 20011002 (Debian prerelease)) #
1 Son Apr 14 09:53:28 CEST 2002
Mar  8 21:40:49 kernel: BIOS-provided physical RAM map:
Mar  8 21:40:49 kernel:  BIOS-e820: 0000000000000000 - 00000000000a0000 (usable)
Mar  8 21:40:49 kernel:  BIOS-e820: 00000000000f0000 - 0000000000100000 (reserved)
Mar  8 21:40:49 kernel:  BIOS-e820: 0000000000100000 - 000000000f7f0000 (usable)
Mar  8 21:40:49 kernel:  BIOS-e820: 000000000f7f0000 - 000000000f7f3000 (ACPI NVS)
Mar  8 21:40:49 kernel:  BIOS-e820: 000000000f7f3000 - 000000000f800000 (ACPI data)
Mar  8 21:40:49 kernel:  BIOS-e820: 000000000f800000 - 0000000010000000 (reserved)
Mar  8 21:40:49 kernel:  BIOS-e820: 00000000fec00000 - 0000000100000000 (reserved)
Mar  8 21:40:49 kernel: found SMP MP-table at 000f58c0
Mar  8 21:40:49 kernel: hm, page 000f5000 reserved twice.
Mar  8 21:40:49 kernel: hm, page 000f6000 reserved twice.
..........

Code: Select all

syslog:
Mar  8 20:57:01 /USR/SBIN/CRON[5166]: (root) CMD (/etc/init.d/iptables dump >/dev/null)
Mar  8 20:58:01 /USR/SBIN/CRON[5174]: (root) CMD (/usr/local/iam/iam_report)
Mar  8 21:11:13 -- MARK --
Mar  8 21:31:13 -- MARK --
Mar  8 21:40:49 syslogd 1.4.1#10: restart.
Mar  8 21:40:49 kernel: klogd 1.4.1#10, log source = /proc/kmsg started.
Mar  8 21:40:49 kernel: Inspecting /boot/System.map-2.4.18-bf2.4
Mar  8 21:40:49 kernel: Loaded 19371 symbols from /boot/System.map-2.4.18-bf2.4.
Mar  8 21:40:49 kernel: Symbols match kernel version 2.4.18.
Mar  8 21:40:49 kernel: No module symbols loaded.
.........

Code: Select all

auth.log:
Mar  8 20:57:01 PAM_unix[5165]: (cron) session closed for user root
Mar  8 20:58:01 PAM_unix[5173]: (cron) session opened for user root by (uid=0)
Mar  8 20:58:14 PAM_unix[5173]: (cron) session closed for user root
Mar  8 21:40:53 sshd[271]: Server listening on 0.0.0.0 port 22.
Mar  8 21:40:54 PAM_unix[283]: (cron) session opened for user root by (uid=0)
Mar  8 21:40:56 PAM_unix[283]: (cron) session closed for user root
Mar  8 21:57:01 PAM_unix[410]: (cron) session opened for user root by (uid=0)

Code: Select all

kern.log:
Mar  8 18:47:41 kernel: UDP: short packet: 88/20
Mar  8 18:53:52 kernel: UDP: short packet: 114/20
Mar  8 21:40:49 kernel: klogd 1.4.1#10, log source = /proc/kmsg started.
Mar  8 21:40:49 kernel: Inspecting /boot/System.map-2.4.18-bf2.4
Mar  8 21:40:49 kernel: Loaded 19371 symbols from /boot/System.map-2.4.18-bf2.4.

Code: Select all

ifconfig:
     UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

In der auth.log sieht man, dass niemand eingeloggt war zu dieser Zeit.
in der ifconfig Zeile steht nichts von promic... Modus der Netzwerkkarte.

Wer hat den Server rebootet ? EMail habe ich auch keine bekommen. Wo würden Infos über ein shutdown stehen ? Oder wurde der Reset Knopf gedrückt ? fsck habe ich gemacht, wurden keine Fehler gefunden.

Ich bin für jede Hilfe dankbar !

[[tom]]

in der ifconfig Zeile steht nichts von promic... Modus der Netzwerkkarte.

Das muß auch nicht - ist zumindest meine Erfahrung. Wenn ich einen Sniffer starte (z. B. snort) bekomm ich zwar die Meldung (und auch die Kernelmeldung im syslog), dass die Karte in den promisc Mode versetzt wurde, aber ifconfig weiß davon nix.

Grep Dein syslog mal nach "kernel" oder "promisc".

[TOM]

[kase]

Ich benutz auch Snort, hab den aber ausgestellt, und seitdem kommt auch keine Msg vom Kernel wegen dem Modus mehr.

Ob ich wegen dem Reboot mal ne Mail an 1&1 schreiben sollte ?