nobody bringt Server zum Ausfall ?

Rund um die Sicherheit des Systems und die Applikationen
Post Reply
monster
Posts: 19
Joined: 2002-10-15 12:14
 

nobody bringt Server zum Ausfall ?

Post by monster »

Seid ein paar Tagen logt sich 'nobody' immer um etwa die gleiche Zeit ein.
Kann sein das das schon immer so war. Aber seid neuestem ist jedesmal httpd danach down !

Sonst läuft alles, nur Apache muss neu gestartet werden.
nobody muss der Grund sein, weil genau um diese Zeit auch die letzte Mail rausging.

Code: Select all

May  5 00:15:53 p150xxxxx su: (to nobody) root on none 
May  5 00:15:53 p150xxxxx PAM-unix2[1826]: session started for user nobody, service su 
May  5 00:17:04 p150xxxxx PAM-unix2[1826]: session finished for user nobody, service su

May  6 00:18:30 p150xxxxx su: (to nobody) root on none
May  6 00:18:30 p150xxxxx PAM-unix2[5400]: session started for user nobody, service su 
May  6 00:27:46 p150xxxxx PAM-unix2[5400]: session finished for user nobody, service su 

May  7 00:17:56 p150xxxxx su: (to nobody) root on none
May  7 00:17:56 p150xxxxx PAM-unix2[8835]: session started for user nobody, service su 
May  7 00:27:16 p150xxxxx PAM-unix2[8835]: session finished for user nobody, service su
Ich nehme an 'nobody' ist ein Username für einen Serverdienst von 1&1.

Was kann der Grund für die Ausfälle sein ?


Außerdem habe ich ständig Loginversuche. Sind das Hack-Angriffe ?

Code: Select all

May  4 20:42:18 p150xxxxx proftpd[23680]: connect from 66.34.16.1 (66.34.16.1) 
May  4 20:42:24 p150xxxxx proftpd[23680]: p150xxxxx.pureserver.info (66.34.16.1[66.34.16.1]) - FTP session opened. 
May  4 20:42:24 p150xxxxx proftpd[23680]: p150xxxxx.pureserver.info (66.34.16.1[66.34.16.1]) - FTP session closed. 
May  4 20:51:09 p150xxxxx proftpd[25658]: connect from 66.34.16.1 (66.34.16.1) 
May  4 20:51:09 p150xxxxx proftpd[25658]: p150xxxxx.pureserver.info (66.34.16.1[66.34.16.1]) - FTP session opened. 
May  4 20:51:18 p150xxxxx proftpd[25658]: p150xxxxx.pureserver.info (66.34.16.1[66.34.16.1]) - FTP session closed. 
May  4 21:04:57 p150xxxxx proftpd[28735]: connect from 66.34.16.1 (66.34.16.1) 
May  4 21:05:01 p150xxxxx proftpd[28735]: p150xxxxx.pureserver.info (66.34.16.1[66.34.16.1]) - FTP session opened. 
May  4 21:05:01 p150xxxxx proftpd[28735]: p150xxxxx.pureserver.info (66.34.16.1[66.34.16.1]) - FTP session closed. 
May  4 21:18:04 p150xxxxx proftpd[32016]: connect from 66.34.16.1 (66.34.16.1) 
May  4 21:18:11 p150xxxxx proftpd[32016]: p150xxxxx.pureserver.info (66.34.16.1[66.34.16.1]) - FTP session opened. 
May  4 21:18:11 p150xxxxx proftpd[32016]: p150xxxxx.pureserver.info (66.34.16.1[66.34.16.1]) - FTP session closed. 
May  4 22:37:53 p150xxxxx proftpd[19009]: connect from 80.142.11.169 (80.142.11.169) 
May  4 22:37:53 p150xxxxx proftpd[19009]: p150xxxxx.pureserver.info (p508E0BA9.dip0.t-ipconnect.de[80.142.11.169]) - FTP session opened. 
May  4 22:37:54 p150xxxxx proftpd[19009]: p150xxxxx.pureserver.info (p508E0BA9.dip0.t-ipconnect.de[80.142.11.169]) - no such user 'anonymous' 
May  4 22:37:54 p150xxxxx last message repeated 4 times 
May  4 22:37:54 p150xxxxx proftpd[19009]: p150xxxxx.pureserver.info (p508E0BA9.dip0.t-ipconnect.de[80.142.11.169]) - USER anonymous: no such user found from p508E0BA9.dip0.t-ipconnect.de [80.142.11.169] to 217.160.xxx.xxx:21 
May  4 22:37:54 p150xxxxx proftpd[19009]: p150xxxxx.pureserver.info (p508E0BA9.dip0.t-ipconnect.de[80.142.11.169]) - FTP session closed.  
May  5 00:15:53 p150xxxxx su: (to nobody) root on none 
May  5 00:15:53 p150xxxxx PAM-unix2[1826]: session started for user nobody, service su 
May  5 00:17:04 p150xxxxx PAM-unix2[1826]: session finished for user nobody, service su 
May  5 01:25:26 p150xxxxx proftpd[1966]: connect from 217.144.225.252 (217.144.225.252) 
May  5 01:25:26 p150xxxxx proftpd[1966]: p150xxxxx.pureserver.info (217.144.225.252[217.144.225.252]) - FTP session opened. 
May  5 01:25:27 p150xxxxx proftpd[1966]: p150xxxxx.pureserver.info (217.144.225.252[217.144.225.252]) - FTP session closed. 
May  5 03:42:45 p150xxxxx proftpd[2223]: connect from 62.254.149.113 (62.254.149.113) 
May  5 03:42:55 p150xxxxx proftpd[2223]: p150xxxxx.pureserver.info (pc4-oxfd3-5-cust113.oxfd.cable.ntl.com[62.254.149.113]) - FTP session opened. 
May  5 03:42:55 p150xxxxx proftpd[2223]: p150xxxxx.pureserver.info (pc4-oxfd3-5-cust113.oxfd.cable.ntl.com[62.254.149.113]) - no such user 'anonymous' 
May  5 03:42:55 p150xxxxx last message repeated 4 times 
May  5 03:42:55 p150xxxxx proftpd[2223]: p150xxxxx.pureserver.info (pc4-oxfd3-5-cust113.oxfd.cable.ntl.com[62.254.149.113]) - USER anonymous: no such user found from pc4-oxfd3-5-cust113.oxfd.cable.ntl.com [62.254.149.113] to 217.160.xxx.xxx:21 
May  5 03:42:55 p150xxxxx proftpd[2223]: p150xxxxx.pureserver.info (pc4-oxfd3-5-cust113.oxfd.cable.ntl.com[62.254.149.113]) - FTP session closed. 
May  5 06:23:56 p150xxxxx proftpd[2538]: connect from 199.200.128.26 (199.200.128.26) 
May  5 06:23:56 p150xxxxx proftpd[2538]: p150xxxxx.pureserver.info (199.200.128.26[199.200.128.26]) - FTP session opened. 
May  5 06:23:56 p150xxxxx proftpd[2538]: p150xxxxx.pureserver.info (199.200.128.26[199.200.128.26]) - no such user 'anonymous' 
May  5 06:23:57 p150xxxxx last message repeated 4 times 
May  5 06:23:57 p150xxxxx proftpd[2538]: p150xxxxx.pureserver.info (199.200.128.26[199.200.128.26]) - USER anonymous: no such user found from 199.200.128.26 [199.200.128.26] to 217.160.xxx.xxx:21 
May  5 06:23:59 p150xxxxx proftpd[2538]: p150xxxxx.pureserver.info (199.200.128.26[199.200.128.26]) - FTP session closed.
Was kann ich dagegen machen ?
Top
outofbound
Posts: 470
Joined: 2002-05-14 13:02
Location: Karlsruhe City
 

Re: nobody bringt Server zum Ausfall ?

Post by outofbound »

Erstmal:

http://www.geocrawler.com/mail/msg.php3 ... 5&list=287

Und dann noch

http://www.kryptocrew.de/board/viewtopic.php?t=1128

Und dann würde ich mal schauen. was der Apache so treibt...
/var/log/httpd/error_log oder so ähnlich...

Gruss,

Out
Top
thomi
Posts: 136
Joined: 2002-06-04 22:33
Location: Waldenbuch
 

Re: nobody bringt Server zum Ausfall ?

Post by thomi »

Monster wrote:Seid ein paar Tagen logt sich 'nobody' immer um etwa die gleiche Zeit ein.
Nein, schau dir das Log nochmal genau an:

Code: Select all

May  5 00:15:53 p150xxxxx su: (to nobody) root on none
Hier loggt sich niemand ein, sondern der User root macht ein su zum User nobody. Das "none" zeigt zudem an, dass das nicht auf einer tty stattfand, also kann es kein Einbrecher gewesen sein.

Zur Ursache: Vermutlich läuft bei dir Nachts ein updatedb-Lauf, der die Datenbank auf den neuesten Stand bringt. Schau mal in /etc/cron.daily nach, da dürfte die Datei aaa_base_updatedb zu finden sein, die unter nobody läuft. Abschalten kann man es, indem man in der /etc/rc.config die Zeile

Code: Select all

RUN_UPDATEDB="yes"
auf "no" ändert. Ã?brigens findest du dort auch den "nobody" wieder, nämlich hier

Code: Select all

RUN_UPDATEDB_AS="nobody"
Was kann der Grund für die Ausfälle sein ?
Das dürfte nicht an obigen Zeilen, sondern eher an einem möglichen logrotate oder ähnlichem liegen!?
Außerdem habe ich ständig Loginversuche. Sind das Hack-Angriffe ?
Im Prinzip schon, aber nichts ungewöhnliches und auch nichts, was man verhindern kann (außer den FTP-Daemon abzuschalten).
Top
rootmaster
Posts: 483
Joined: 2002-04-28 13:30
Location: Hannover
 

Re: nobody bringt Server zum Ausfall ?

Post by rootmaster »

thomi hat recht, nobody ist unschuldig (dem ärmsten gehört ja nicht mal ein file) ;)
deine logs zeigen den updatedb

der absturz wird durch ein "buggy" logrotate verursacht, bei dem der reload ein SIGUSR1 an apache schickt, der childs in ein nicht vorhandenes logfile schreiben läßt -> absturz

"back to the roots"
Cahn's Axiom:

When all else fails, read the instructions
Top
monster
Posts: 19
Joined: 2002-10-15 12:14
 

Re: nobody bringt Server zum Ausfall ?

Post by monster »

Estmal danke für die Hilfe.

Ich habe ein /etc/logrotate.d Ordner. Da steht aber nix drin :?: Kein File.

Oder wo stehen die logrotate ?

Ist das aaa_base_updatedb denn von nöten oder kann ich das abschalten ?
Top
Post Reply

Return to “Security”