Rescue System und schnelle Hilfe benötigt.

[bonanza]

Mein System bootet nicht mehr im normal Modus. Es wurden keine Updates gemacht udn nix verändert!
Zwischenzeitlich bootete es auch nicht mehr im Rescue System. Das wurde aber jetzt durch den Service von 1und1 behoben.
ICh hab ein Rootserver mit Suse 8.1 und Confixx 2.
Filesystem von meinem System konnte ich mounten.
Hier die logs:

VAR/LOG/MESSAGES

Aug 12 05:00:00 p15135607 /USR/SBIN/CRON[22883]: (root) CMD ( /usr/lib/sa/sa1
)
Aug 12 10:31:27 p15135607 syslogd 1.4.1: restart.
Aug 12 10:31:28 p15135607 sshd[420]: Server listening on 0.0.0.0 port 22.
Aug 12 10:31:32 p15135607 kernel: klogd 1.4.1, log source = /proc/kmsg started.
Aug 12 10:31:32 p15135607 kernel: Inspecting /boot/System.map-2.4.20
Aug 12 10:31:32 p15135607 kernel: Loaded 16030 symbols from /boot/System.map-2.4
.20.
Aug 12 10:31:32 p15135607 kernel: Symbols match kernel version 2.4.20.
Aug 12 10:31:32 p15135607 kernel: No module symbols loaded.
Aug 12 10:31:32 p15135607 kernel: eth0: Setting full-duplex based on MII #1 link
partner capability of 41e1.
Aug 12 10:31:35 p15135607 xinetd[551]: xinetd Version 20030122 started with libw
rap loadavg options compiled in.
Aug 12 10:31:35 p15135607 xinetd[551]: Started working: 3 available services
Aug 12 10:31:36 p15135607 ntpdate[565]: step time server 192.53.103.104 offset -
0.119750 sec
Aug 12 10:31:36 p15135607 ntpd[568]: ntpd 4.1.1@1.786 Tue Feb 4 16:39:46 UTC 20
03 (1)
Aug 12 10:31:36 p15135607 ntpd[568]: signal_no_reset: signal 13 had flags 400000
0
Aug 12 10:31:36 p15135607 ntpd[568]: precision = 23 usec
Aug 12 10:31:36 p15135607 ntpd[568]: kernel time discipline status 0040

var/log/warn

Aug 11 21:22:13 p15135607 postfix/smtpd[17097]: warning: p508416E5.dip0.t-ipconn
ect.de[80.132.22.229]: SASL CRAM-MD5 authentication failed
Aug 11 21:57:14 p15135607 postfix/smtpd[17462]: unable to open Berkeley db /etc/
sasldb: Permission denied
Aug 11 21:57:14 p15135607 postfix/smtpd[17462]: warning: p508416E5.dip0.t-ipconn
ect.de[80.132.22.229]: SASL CRAM-MD5 authentication failed
Aug 11 22:25:02 p15135607 postfix/smtpd[17829]: unable to open Berkeley db /etc/
sasldb: Permission denied
Aug 11 22:25:02 p15135607 postfix/smtpd[17829]: warning: p508416E5.dip0.t-ipconn
ect.de[80.132.22.229]: SASL CRAM-MD5 authentication failed
Aug 11 23:29:56 p15135607 vsftpd: PAM-listfile: Couldn't open /etc/ftpusers

/var/log/boot.msg

<6>TCP: Hash tables configured (established 16384 bind 16384)
<6>NET4: Unix domain sockets 1.0/SMP for Linux NET4.0.
<6>EXT3-fs: INFO: recovery required on readonly filesystem.
<6>EXT3-fs: write access will be enabled during recovery.
<6>kjournald starting. Commit interval 5 seconds
<6>EXT3-fs: ide0(3,3): orphan cleanup on readonly fs
<7>ext3_orphan_cleanup: deleting unreferenced inode 98329
<6>EXT3-fs: ide0(3,3): 1 orphan inode deleted
<6>EXT3-fs: recovery complete.
<6>EXT3-fs: mounted filesystem with ordered data mode.
<4>VFS: Mounted root (ext3 filesystem) readonly.
<6>Freeing unused kernel memory: 260k freed
<6>Adding Swap: 787176k swap-space (priority 42)
<6>EXT3 FS 2.4-0.9.19, 19 August 2002 on ide0(3,3), internal journal
<6>kjournald starting. Commit interval 5 seconds
<6>EXT3 FS 2.4-0.9.19, 19 August 2002 on ide0(3,1), internal journal
<6>EXT3-fs: mounted filesystem with ordered data mode.
Kernel logging (ksyslog) stopped.
Kernel log daemon terminating.

[Joe User]

Das System sofort vom Netz nehmen und nachdem Du einen fähigen Admin eingestellt hast das System reinitialisieren lassen!

[bonanza]

SO genau wollte ich es nicht wissen.

[Joe User]

Es wurden keine Updates gemacht udn nix verändert! [snip] ICh hab ein Rootserver mit Suse 8.1 und Confixx 2.

Sorry, aber bereits wenn man Obiges, spätestens jedoch Folgendes liest,

Code: Select all

Aug 12 10:31:32 p15135607 kernel: Symbols match kernel version 2.4.20

dann braucht man gar nicht erst versuchen, irgendwelche "Problemchen" zu lösen, da die Kiste höchstwahrscheinlich gerootet wurde...

[bonanza]

ok und wie kann ich das feststellen. updates wurden immer alle gemacht

[tomek]

Updates wurden immer alle gemacht, aber verwundbarer Vanilla-Kernel 2.4.20? Ah ne, ist klar.

[bonanza]

ok. von den kernel updates wurde ja immer abgeraten!
egal. jetzt isses eh passiert. meckern hilft nicht. hab mir immer brav per logdiggest die logs schicken lassen: kann mir jemand weiterhelfen was diese einträge betrifft:
/var/log/messages:
________________________________________________________________________________

Messages matching keywords in the "alarming" list:
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
(2 lines)
Jul 26 04:00:41 p15135607 kernel: KERNEL: assertion (newsk->state != TCP_SYN_RECV) failed at tcp.c(2229)
Jul 26 04:00:41 p15135607 kernel: KERNEL: assertion ((1<<sk2->state)&(TCPF_ESTABLISHED|TCPF_CLOSE_WAIT|TCPF_CLOSE)) failed at af_inet.c(689)


All lines that are not in the "ignore" list:
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
(54 lines)
Jul 26 00:15:07 p15135607 syslogd 1.4.1: restart.
Jul 26 00:15:08 p15135607 su: pam_unix2: session started for user nobody, service su
Jul 26 00:15:40 p15135607 su: pam_unix2: session finished for user nobody, service su
Jul 26 01:10:05 p15135607 PAM-warn[11557]: function=[pam_sm_authenticate] service=[smtp] terminal=[<unknown>] user=[web4p3] ruser=[<unknown>] rhost=[<unknown>]
Jul 26 04:00:41 p15135607 kernel: klogd 1.4.1, ---------- state change ----------
Jul 26 04:00:41 p15135607 kernel: Inspecting /boot/System.map-2.4.20
Jul 26 04:00:41 p15135607 kernel: Loaded 16030 symbols from /boot/System.map-2.4.20.
Jul 26 04:00:41 p15135607 kernel: Symbols match kernel version 2.4.20.
Jul 26 04:00:41 p15135607 kernel: No module symbols loaded.

und die tage drauf tauchen immer so einträge auf:

Jul 27 05:33:18 p15135607 dhcpcd[302]: sending DHCP_REQUEST for 217.160.212.135 to 82.165.34.250
Jul 27 05:33:18 p15135607 dhcpcd[302]: DHCP_ACK received from (82.165.34.250)

sowie

Jul 28 06:19:28 p15135607 sshd[20399]: fatal: Timeout before authentication for 193.109.140.125.

und

Aug 10 17:24:12 p15135607 sshd[23434]: Failed password for root from 66.201.250.3 port 3339 ssh2
Aug 10 17:24:13 p15135607 sshd[23436]: Failed password for root from 66.201.250.3 port 3389 ssh2
Aug 10 17:24:14 p15135607 sshd[23438]: Failed password for root from 66.201.250.3 port 3443 ssh2

Chkrootkit hatte ich auch vorher schon installiert. das gibt mir diese 2 verdächtigen Ausgaben aus:
Checking `bindshell'... INFECTED (PORTS: 465)
Checking `sniffer'... eth0: PF_PACKET(/sbin/dhcpcd)
Der Rest ist not infected sagt es...


Hab jetzt den Server soweit das er wenigstens mal wieder läuft.
Wie sollte ich ich jetzt vorgehen. Ne sicherung von /home ; /var; /tmp; /boot; /etc; /root hab ich in ein tar file gemacht und gezogen.

[sascha]

ok. von den kernel updates wurde ja immer abgeraten!

??? Wer sagt sowas?

[bonanza]

wie gesagt meckern hilft nicht helfen hilft .-)
nach den ganzen probs die die kernel updates bei manchen verursachten dachte ich ich lass mal lieber die finger davon...
egal. wer weis was zu den o.g. Logs?

[ollij]

Diskutieren hilft jetzt nichts!

Da du deine Daten gesichert hast, lass den Server reinitialisieren und installiere anschließend alle Sicherheits Patches.

Cu
Oliver

[outofbound]

Und ändere ALLE deine Passwörter die auch nur im entferntesten irgendwas mit dem Server
zu tun haben, oder die sich aus Serverpasswörtern ableiten lassne.

Dann überleg dir ein Sicherheitskonzept und fang wieder von vorne an.

[bonanza]

Ok. Wenn ich das Teil reinitalisieren lasse kommt dann die aktuellste Version drauf oder wieder die alte?
Und 2. Ich sehe ja anhand den Logs und des Chkrootkits was er geändert hat. Kann man das nicht rückgängig machen?

[tomek]

1. Das hängt von deinem Anbieter ab. Ich glaube man bekommt bei 1&1 mittlerweile SuSE 9.1 mit Confixx 3.

2. Das ist unsinnig, denn: Du kannst mit der Methode nicht sicher gehen, dass du wirklich alles entfernt/zurückgesetzt hast und Logdateien könnten manipuliert sein.

[cschwede]

nach den ganzen probs die die kernel updates bei manchen verursachten dachte ich ich lass mal lieber die finger davon...

:!: :?: :!:

Nehmen wir mal an, der Hersteller Deines Autos ruft Deinen Wagen in die Werkstatt zurück, weil etwas mit den Bremsen nicht stimmt und der diese austauschen will. Nun hast Du gehört, das es da Probleme geben soll, bei manchen Kunden sind die Autos für mehrere Tage in der Werkstatt.

Also lässt Du den Bremsentausch auch sein?

2. Ich sehe ja anhand den Logs und des Chkrootkits was er geändert hat. Kann man das nicht rückgängig machen?

Klar kannst Du das - aber sicher das Du alles gefunden hast?


Sorry, aber bitte lies mal http://www.rootforum.org/forum/viewtopic.php?t=5248 und dann überleg Dir, ob ein Managed Server vielleicht nicht doch die bessere Wahl ist.

[bonanza]

was ist den der aktuellste kernel der sicher ist in der 2.4 version oder sollte man gleich auf 2.6 updaten und wenn ja funktioniert dies nach der anleitung im HOWTO?

[sascha]

2.4.27 ist derzeit aktuell (siehe http://www.kernel.org). Wenn du mit der 2.4 Serie zufrieden bist, sehe ich eigentlich keinen Grund auf 2.6 umzusteigen.

[blnsnoopy26]

2.4.27 ist derzeit aktuell (siehe http://www.kernel.org). Wenn du mit der 2.4 Serie zufrieden bist, sehe ich eigentlich keinen Grund auf 2.6 umzusteigen.

Code: Select all

The latest stable version of the Linux kernel is:   2.6.7

Steht aber auf der kernel org seite :)
zudem benutze ich selbst den 2.6.7 mit dem neuen grsec patch.

[sascha]

2.4.27 ist derzeit aktuell (siehe http://www.kernel.org). Wenn du mit der 2.4 Serie zufrieden bist, sehe ich eigentlich keinen Grund auf 2.6 umzusteigen.

Code: Select all

The latest stable version of the Linux kernel is:   2.6.7

Steht aber auf der kernel org seite :)

Lies nochmal das Posting von bonanza. Er hat ausdrücklich nach der aktuellen 2.4er Version gefragt.

zudem benutze ich selbst den 2.6.7 mit dem neuen grsec patch.

Du bist mein Held... ;)

[blnsnoopy26]

Hi,

omg..najo ok :)
ist wohl die hitze *lol*

Du bist mein Held...

Wenigstens etwas :-D