Swap laeuft wegen Perl voll

Bash, Shell, PHP, Python, Perl, CGI
alexnbg
Posts: 60
Joined: 2004-03-16 11:21

Swap laeuft wegen Perl voll

Post by alexnbg » 2008-03-05 15:02

Hallo zusammen,

ich habe ein Problem mit meiner Linux Kiste. Jetzt bitte nicht schlagen, aber ich verwende noch SuSe 8.2.
Nunja, auf jeden Fall trat von einem Tag auf den anderen das Problem auf das Dienste nicht mehr liefen.
Es wurde seit Monaten nichts an der Software oder Hardware geaendert. Der Fehler tritt seit Mitte Januar
ca. einmal pro Tag auf. Allerdings nicht immer. Die letzten 3 Wochen z.B. lief er ohne Probleme.

Das Problem ist, dass der Swap voll laeuft. Somit werden der Reihe nach die anderen Dienste abgeschossen.
Nach einem Reboot ist wieder gut. Mir ist dann folgendes aufgefallen:

wwwrun 26791 1 1 13:21 ? 00:00:44 perl - E26POCH

bzw.

wwwrun 23254 1 1 16:21 ? 00:00:44 perl - E28POCH

Immer wenn die ExxPOCH laeuft, laeuft der Swap voll. Eine solche Datei gibt es aber nicht auf dem Server.
Kann mir jemand sagen was das ist bzw wo das her kommt?

Danke
Gruss



Alex

oxygen
RSAC
Posts: 2179
Joined: 2002-12-15 00:10
Location: Bergheim

Re: Swap laeuft wegen Perl voll

Post by oxygen » 2008-03-05 17:28

Das ist vermutlich ein Hack. macht vermutlich nen dDOS oder versendet Spam.

alexnbg
Posts: 60
Joined: 2004-03-16 11:21

Re: Swap laeuft wegen Perl voll

Post by alexnbg » 2008-03-06 20:18

Irgendeine Idee was ich dagegen tun kann bzw rausfinde wo die Luecke ist? In den Logs hab ich nichts gefunden.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11616
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Swap laeuft wegen Perl voll

Post by Joe User » 2008-03-06 20:22

Einfallstor dürfte wie so oft eine veraltete WebApplikation sein.

Vorgehensweise, in dieser Reihenfolge:
  • Nutzdaten und Beweise getrennt sichern
  • System offline schalten
  • Sicherheitskonzept überarbeiten
  • System neu aufsetzen
  • System vollständig updaten
  • System regelmässig vollständig updaten
  • WebApplikationen neu aufsetzen
  • WebApplikationen vollständig updaten
  • WebApplikationen regelmässig vollständig updaten
  • Nutzdaten wieder einspielen
  • System produktiv schalten
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

alexnbg
Posts: 60
Joined: 2004-03-16 11:21

Re: Swap laeuft wegen Perl voll

Post by alexnbg » 2008-03-06 23:53

Im Juli geht der neue Server ans Netz und die Daten werden umgezogen. Solange muss ich es irgendwie schaffen das System am laufen zu halten.
Werde wohl ein Shell Script schreiben das mir den server regelmaessig auf diesen Prozess prueft. Was anderes faellt mir im Moment nicht ein.
Falls jemand eine bessere Idee hat, immer her damit.

Danke

User avatar
Joe User
Project Manager
Project Manager
Posts: 11616
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Swap laeuft wegen Perl voll

Post by Joe User » 2008-03-07 00:09

AlexNbg wrote:Im Juli geht der neue Server ans Netz und die Daten werden umgezogen. Solange muss ich es irgendwie schaffen das System am laufen zu halten.
Werde wohl ein Shell Script schreiben das mir den server regelmaessig auf diesen Prozess prueft. Was anderes faellt mir im Moment nicht ein.
Falls jemand eine bessere Idee hat, immer her damit.

Du machst Dich also lieber strafbar, als zwei Stunden in eine Neuinstallation zu investieren? Traurig...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

proflan
Posts: 9
Joined: 2008-03-02 03:05

Re: Swap laeuft wegen Perl voll

Post by proflan » 2008-03-07 14:21

Joe User wrote:Du machst Dich also lieber strafbar, als zwei Stunden in eine Neuinstallation zu investieren? Traurig...

Wieso soll er sich denn strafbar machen? :-k

enn
Posts: 43
Joined: 2006-02-10 17:38

Re: Swap laeuft wegen Perl voll

Post by enn » 2008-03-07 15:04

Gekaperter Server -> Spam / Phising / Warez / (D)Dos und andere lustige Dinge

User avatar
Joe User
Project Manager
Project Manager
Posts: 11616
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Swap laeuft wegen Perl voll

Post by Joe User » 2008-03-07 15:05

Indem illegale Inhalte über seinen Server verteilt werden, oder sein Server zum Cracken weiterer Systeme genutzt wird, oder, oder, ...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

oxygen
RSAC
Posts: 2179
Joined: 2002-12-15 00:10
Location: Bergheim

Re: Swap laeuft wegen Perl voll

Post by oxygen » 2008-03-07 16:08

Eben. Sobald er Kenntnis darüber hat, handelt es sich nicht mehr nur um Fahrlässigkeit sondern um grobe Fahrlässigkeit und dann ist er haftbar.

proflan
Posts: 9
Joined: 2008-03-02 03:05

Re: Swap laeuft wegen Perl voll

Post by proflan » 2008-03-07 17:45

oxygen wrote:Eben. Sobald er Kenntnis darüber hat, handelt es sich nicht mehr nur um Fahrlässigkeit sondern um grobe Fahrlässigkeit und dann ist er haftbar.


Deshalb macht er sich aber nicht strafbar. Für Strafbarkeit ist immer Vorsatz erforderlich (Ausnahme Fahrlässigkeitsdelikte).

Haftung für grobe Fahrlässigkeit gibt es nur im Zivilrecht. Ob möglicherweise eine zivilrechtliche Haftbarkeit gegeben ist, wenn er als Serverbetreiber von einem Dritten wegen Schadensersatz oder Unterlassung in Anspruch genommen wird, ist etwas ganz anderes und hat mit dem Strafrecht nichts zu tun.

Ich wüsste nicht, wie er sich strafbar machen sollte :roll:

User avatar
daemotron
Administrator
Administrator
Posts: 2800
Joined: 2004-01-21 17:44

Re: Swap laeuft wegen Perl voll

Post by daemotron » 2008-03-07 18:14

IANAL, aber sowas kann je nach Ausmaß auch als Beihilfe zu oder Begünstigung einer Straftat ausgelegt werden - und dafür gibt's Paragraphen im StGB...

User avatar
Joe User
Project Manager
Project Manager
Posts: 11616
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Swap laeuft wegen Perl voll

Post by Joe User » 2008-03-07 18:21

Spätestens wenn Kinderpornografie oder Ähnliches über seinen Server verteilt wird, ist er auch strafrechtlich belangbar, insbesondere da (nicht nur) er mitlerweile weiss, dass sein Server nicht mehr unter seiner Gewalt ist. Er begeht also eine "Anstiftung zur Straftat" und dies ist nicht nur in Deutschland strafbar...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

alexnbg
Posts: 60
Joined: 2004-03-16 11:21

Re: Swap laeuft wegen Perl voll

Post by alexnbg » 2008-03-07 22:38

Der Server wurde auf fremde Dateien geprueft und ich pruefe auch regelmaessig die logs und sonstige sachen. Somit bin ich meiner Sorgfaltspflicht nachgekommen und nicht zu belagen. Es fand ja kein Einbruch statt sondern es wurde nur mein Server zum Absturz gebracht.

Mit der Neuinstallation habt ihr vollkommen recht, aber leider geht das nicht so einfach. Der Rechner steht zum einen im Rechenzentrum und zum anderen, bin ich derzeit in den USA. Also vor Juli geht einfach nix. Abschalten kann ich ihn nicht, weil alle Domains und Emails von mir und meinen Eltern auf den Server laufen.

Das dies nicht der optimale Weg ist, ist mir durchaus bewusst. Ich hab aber derzeit einfach keine andere Moeglichkeit. Ich bin der einzige der diesen Server betreut.

wgot
RSAC
Posts: 1707
Joined: 2003-07-06 02:03

Re: Swap laeuft wegen Perl voll

Post by wgot » 2008-03-08 01:55

Hallo,

kein Problem, ich fahr auch seit Monaten mit einem Auto mit total kaputten Bremsen, geht nicht anders, brauche das Auto und reparieren kann ich's erst im Sommer. #-o

Ist das ein Mietserver oder ein eigener im Housing? Hast Du Zugriff auf die Nameserver der Domains? Einfachste Lösung wäre einen Vserver mit kurzer Laufzeit zu mieten und die Domains auf diesen umzuleiten.

Gruß, Wolfgang

proflan
Posts: 9
Joined: 2008-03-02 03:05

Re: Swap laeuft wegen Perl voll

Post by proflan » 2008-03-08 11:16

Joe User wrote:Er begeht also eine "Anstiftung zur Straftat" und dies ist nicht nur in Deutschland strafbar...


Das ist enorm großer Unsinn.

§ 26 StGB Anstiftung - Als Anstifter wird gleich einem Täter bestraft, wer vorsätzlich einen anderen zu dessen vorsätzlich begangener rechtswidriger Tat bestimmt hat.


Er leistet auch keine Beihilfe (§ 27 StGB) im strafrechtlichen Sinne. Und schon gar keine Begünstigung (§ 257 StGB).

Wie gesagt, eine strafrechtliche Verantwortlichkeit sehe ich nicht.

Wenn hier im Forum - zu Recht - Leute mit 0-Ahnung von Linux zurechtgewiesen werden, sollten sich juristische Laien ebenso selbstkritisch mit rechtlichen Wertungen etwas zurückhalten. Ihr macht AlexNbg unnötig Angst. Ich würde allerdings auch etwas unternehmen. Denn eine zivilrechtliche Verantwortung ist auf jeden Fall gegeben, wenn Dritte mit Hilfe des Servers geschädigt werden.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11616
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Swap laeuft wegen Perl voll

Post by Joe User » 2008-03-08 11:27

Er stellt seinen PKW (Server) in der Öffentlichkeit (Internet) ab und lässt bewusst die Zündschlüssel (unbekannter Perlprozess) in selbigen zurück und das ist nunmal strafbar.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.