was soll mri das sagen hacker? DOS attacke?

[fhilgers]

folgendes ich hoffe heir weis jemand rat, hatt in der nacht vom 19 auf den 20 ten ein ganz merkwürdiges problem, alle prozesse wurden wegen out of memory gekillt, erst ein neustart des servers hat da abhilfe geschafft. Anbei mal ein auszug aus der messages datei, wenn ihr noch was braucht sagt mir bitte bescheid

02:35:47 p15138129 su: pam_unix2: session started for user root, service su
Dec 20 02:35:49 p15138129 su: pam_unix2: session finished for user root, service su
Dec 20 02:36:01 p15138129 kernel: Out of Memory: Killed process 20824 (httpd).
Dec 20 02:36:02 p15138129 /USR/SBIN/CRON[9084]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Dec 20 02:36:08 p15138129 kernel: Out of Memory: Killed process 20823 (httpd).
Dec 20 02:36:17 p15138129 kernel: Out of Memory: Killed process 20825 (httpd).
Dec 20 02:36:29 p15138129 kernel: Out of Memory: Killed process 26575 (httpd).
Dec 20 02:36:37 p15138129 kernel: Out of Memory: Killed process 9083 (httpd).
Dec 20 02:36:43 p15138129 kernel: Out of Memory: Killed process 9085 (httpd).
Dec 20 02:36:48 p15138129 kernel: Out of Memory: Killed process 9088 (httpd).
Dec 20 02:36:53 p15138129 kernel: Out of Memory: Killed process 9089 (httpd).
Dec 20 02:36:58 p15138129 kernel: Out of Memory: Killed process 9090 (httpd).
Dec 20 02:37:03 p15138129 kernel: Out of Memory: Killed process 9091 (httpd).
Dec 20 02:37:09 p15138129 kernel: Out of Memory: Killed process 9092 (httpd).
Dec 20 02:37:14 p15138129 kernel: Out of Memory: Killed process 9093 (httpd).
Dec 20 02:37:19 p15138129 kernel: Out of Memory: Killed process 9094 (httpd).
Dec 20 02:37:23 p15138129 /USR/SBIN/CRON[9097]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Dec 20 02:37:53 p15138129 kernel: Out of Memory: Killed process 9096 (httpd).
Dec 20 02:37:59 p15138129 kernel: Out of Memory: Killed process 9098 (httpd).
Dec 20 02:38:00 p15138129 /USR/SBIN/CRON[9124]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Dec 20 02:38:04 p15138129 kernel: Out of Memory: Killed process 9099 (httpd).
Dec 20 02:38:10 p15138129 kernel: Out of Memory: Killed process 9103 (httpd).
Dec 20 02:38:15 p15138129 kernel: Out of Memory: Killed process 9104 (httpd).
Dec 20 02:38:20 p15138129 kernel: Out of Memory: Killed process 9105 (httpd).
Dec 20 02:38:25 p15138129 kernel: Out of Memory: Killed process 9106 (httpd).
Dec 20 02:38:30 p15138129 kernel: Out of Memory: Killed process 9125 (httpd).
Dec 20 02:38:35 p15138129 kernel: Out of Memory: Killed process 9126 (httpd).
Dec 20 02:38:40 p15138129 kernel: Out of Memory: Killed process 26576 (httpd).
Dec 20 02:38:49 p15138129 kernel: Out of Memory: Killed process 9127 (httpd).
Dec 20 02:38:55 p15138129 kernel: Out of Memory: Killed process 9128 (httpd).
Dec 20 02:39:00 p15138129 kernel: Out of Memory: Killed process 9129 (httpd).
Dec 20 02:39:06 p15138129 kernel: Out of Memory: Killed process 9130 (httpd).
Dec 20 02:39:11 p15138129 kernel: Out of Memory: Killed process 18299 (httpd).
Dec 20 02:39:11 p15138129 /USR/SBIN/CRON[9135]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Dec 20 02:40:01 p15138129 /USR/SBIN/CRON[9187]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Dec 20 02:40:33 p15138129 init: cannot execute "/usr/local/bin/getty-wrapper"
Dec 20 02:40:34 p15138129 last message repeated 19 times
Dec 20 02:40:34 p15138129 init: Id "T0" respawning too fast: disabled for 5 minutes
Dec 20 02:40:34 p15138129 init: Id "T1" respawning too fast: disabled for 5 minutes
Dec 20 02:41:00 p15138129 /USR/SBIN/CRON[9229]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Dec 20

Ich hoffe ihr wisst da weiter

[captaincrunch]

Genaueres kann man nur raten, aber Out of memory hört sich erstmal eher nach einem Memory Leak als nach einem "Hackerangriff" an.

[fhilgers]

aber welches proggie koennts sein, da lauft der apache,mysql,ssh,ssl,postfix und das wars auch schon, updates war zuletzt das xined update. anders nichts neues in den letzten tagen. Oder kann des schon länger zurückliegen?

Und vor allem wie kann ich das demnächst verhindern??

[oxygen]

Das sieht ganz nach dem Apache aus, vielleicht hatte eine Suchmaschine dich gerade aufm kicker oder ein PHP Script ist Amok gelaufen.

[Joe User]

Den Uhrzeiten nach, dürfte es eher an logrotate (grosse Logfiles?) liegen.

[dodolin]

Das sieht ganz nach dem Apache aus

Woher willst du das wissen? Weil httpd-Prozesse gekilled wurden?
Wenn der Kernel out-of-memory schreit, dann killt er WAHLLOS "irgendwelche" Prozesse.

[captaincrunch]

Wenn der Kernel out-of-memory schreit, dann killt er WAHLLOS "irgendwelche" Prozesse.

Kommt ganz auf die Kernelversion an, da es bereits ein paar Ansätze für einen solchen "oom-Killer" gibt. ;) Beim 2.4.23er ist das Verhalten immerhin schonmal als Option verfügbar:
http://marc.theaimsgroup.com/?l=linux-k ... 204478&w=2

[dodolin]

@CC: Der Link funzt hinter meinem Proxy grad nicht "could not connect to server ...". Liegts am Proxy oder ist der down? PS: Schonmal danke für die Info, wusste ich noch nicht und hatte wohl etwas veraltete Infos in meinem Hirn rumliegen... ;)

[captaincrunch]

Liegts am Proxy oder ist der down?

Ich fürchte, wir erleben eine der seltenen MARC-Downtimes. :(

EDIT: Dafür hier noch der viel bessere Link : http://linux-mm.org/docs/oom-killer.shtml