was soll mri das sagen hacker? DOS attacke?

Rund um die Sicherheit des Systems und die Applikationen
fhilgers
Posts: 30
Joined: 2003-07-07 20:16

was soll mri das sagen hacker? DOS attacke?

Post by fhilgers » 2003-12-20 22:39

folgendes ich hoffe heir weis jemand rat, hatt in der nacht vom 19 auf den 20 ten ein ganz merkwürdiges problem, alle prozesse wurden wegen out of memory gekillt, erst ein neustart des servers hat da abhilfe geschafft. Anbei mal ein auszug aus der messages datei, wenn ihr noch was braucht sagt mir bitte bescheid

02:35:47 p15138129 su: pam_unix2: session started for user root, service su
Dec 20 02:35:49 p15138129 su: pam_unix2: session finished for user root, service su
Dec 20 02:36:01 p15138129 kernel: Out of Memory: Killed process 20824 (httpd).
Dec 20 02:36:02 p15138129 /USR/SBIN/CRON[9084]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Dec 20 02:36:08 p15138129 kernel: Out of Memory: Killed process 20823 (httpd).
Dec 20 02:36:17 p15138129 kernel: Out of Memory: Killed process 20825 (httpd).
Dec 20 02:36:29 p15138129 kernel: Out of Memory: Killed process 26575 (httpd).
Dec 20 02:36:37 p15138129 kernel: Out of Memory: Killed process 9083 (httpd).
Dec 20 02:36:43 p15138129 kernel: Out of Memory: Killed process 9085 (httpd).
Dec 20 02:36:48 p15138129 kernel: Out of Memory: Killed process 9088 (httpd).
Dec 20 02:36:53 p15138129 kernel: Out of Memory: Killed process 9089 (httpd).
Dec 20 02:36:58 p15138129 kernel: Out of Memory: Killed process 9090 (httpd).
Dec 20 02:37:03 p15138129 kernel: Out of Memory: Killed process 9091 (httpd).
Dec 20 02:37:09 p15138129 kernel: Out of Memory: Killed process 9092 (httpd).
Dec 20 02:37:14 p15138129 kernel: Out of Memory: Killed process 9093 (httpd).
Dec 20 02:37:19 p15138129 kernel: Out of Memory: Killed process 9094 (httpd).
Dec 20 02:37:23 p15138129 /USR/SBIN/CRON[9097]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Dec 20 02:37:53 p15138129 kernel: Out of Memory: Killed process 9096 (httpd).
Dec 20 02:37:59 p15138129 kernel: Out of Memory: Killed process 9098 (httpd).
Dec 20 02:38:00 p15138129 /USR/SBIN/CRON[9124]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Dec 20 02:38:04 p15138129 kernel: Out of Memory: Killed process 9099 (httpd).
Dec 20 02:38:10 p15138129 kernel: Out of Memory: Killed process 9103 (httpd).
Dec 20 02:38:15 p15138129 kernel: Out of Memory: Killed process 9104 (httpd).
Dec 20 02:38:20 p15138129 kernel: Out of Memory: Killed process 9105 (httpd).
Dec 20 02:38:25 p15138129 kernel: Out of Memory: Killed process 9106 (httpd).
Dec 20 02:38:30 p15138129 kernel: Out of Memory: Killed process 9125 (httpd).
Dec 20 02:38:35 p15138129 kernel: Out of Memory: Killed process 9126 (httpd).
Dec 20 02:38:40 p15138129 kernel: Out of Memory: Killed process 26576 (httpd).
Dec 20 02:38:49 p15138129 kernel: Out of Memory: Killed process 9127 (httpd).
Dec 20 02:38:55 p15138129 kernel: Out of Memory: Killed process 9128 (httpd).
Dec 20 02:39:00 p15138129 kernel: Out of Memory: Killed process 9129 (httpd).
Dec 20 02:39:06 p15138129 kernel: Out of Memory: Killed process 9130 (httpd).
Dec 20 02:39:11 p15138129 kernel: Out of Memory: Killed process 18299 (httpd).
Dec 20 02:39:11 p15138129 /USR/SBIN/CRON[9135]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Dec 20 02:40:01 p15138129 /USR/SBIN/CRON[9187]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Dec 20 02:40:33 p15138129 init: cannot execute "/usr/local/bin/getty-wrapper"
Dec 20 02:40:34 p15138129 last message repeated 19 times
Dec 20 02:40:34 p15138129 init: Id "T0" respawning too fast: disabled for 5 minutes
Dec 20 02:40:34 p15138129 init: Id "T1" respawning too fast: disabled for 5 minutes
Dec 20 02:41:00 p15138129 /USR/SBIN/CRON[9229]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Dec 20

Ich hoffe ihr wisst da weiter

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: was soll mri das sagen hacker? DOS attacke?

Post by captaincrunch » 2003-12-20 23:06

Genaueres kann man nur raten, aber Out of memory hört sich erstmal eher nach einem Memory Leak als nach einem "Hackerangriff" an.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

fhilgers
Posts: 30
Joined: 2003-07-07 20:16

Re: was soll mri das sagen hacker? DOS attacke?

Post by fhilgers » 2003-12-21 01:49

aber welches proggie koennts sein, da lauft der apache,mysql,ssh,ssl,postfix und das wars auch schon, updates war zuletzt das xined update. anders nichts neues in den letzten tagen. Oder kann des schon länger zurückliegen?

Und vor allem wie kann ich das demnächst verhindern??

oxygen
Posts: 2138
Joined: 2002-12-15 00:10
Location: Bergheim

Re: was soll mri das sagen hacker? DOS attacke?

Post by oxygen » 2003-12-21 03:33

Das sieht ganz nach dem Apache aus, vielleicht hatte eine Suchmaschine dich gerade aufm kicker oder ein PHP Script ist Amok gelaufen.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: was soll mri das sagen hacker? DOS attacke?

Post by Joe User » 2003-12-21 11:12

Den Uhrzeiten nach, dürfte es eher an logrotate (grosse Logfiles?) liegen.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: was soll mri das sagen hacker? DOS attacke?

Post by dodolin » 2003-12-21 14:42

Das sieht ganz nach dem Apache aus
Woher willst du das wissen? Weil httpd-Prozesse gekilled wurden?
Wenn der Kernel out-of-memory schreit, dann killt er WAHLLOS "irgendwelche" Prozesse.

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: was soll mri das sagen hacker? DOS attacke?

Post by captaincrunch » 2003-12-21 16:11

Wenn der Kernel out-of-memory schreit, dann killt er WAHLLOS "irgendwelche" Prozesse.
Kommt ganz auf die Kernelversion an, da es bereits ein paar Ansätze für einen solchen "oom-Killer" gibt. ;) Beim 2.4.23er ist das Verhalten immerhin schonmal als Option verfügbar:
http://marc.theaimsgroup.com/?l=linux-k ... 204478&w=2
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: was soll mri das sagen hacker? DOS attacke?

Post by dodolin » 2003-12-21 17:08

@CC: Der Link funzt hinter meinem Proxy grad nicht "could not connect to server ...". Liegts am Proxy oder ist der down? PS: Schonmal danke für die Info, wusste ich noch nicht und hatte wohl etwas veraltete Infos in meinem Hirn rumliegen... ;)

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: was soll mri das sagen hacker? DOS attacke?

Post by captaincrunch » 2003-12-21 17:16

Liegts am Proxy oder ist der down?
Ich fürchte, wir erleben eine der seltenen MARC-Downtimes. :(

EDIT: Dafür hier noch der viel bessere Link : http://linux-mm.org/docs/oom-killer.shtml
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc