Gehackt ? Server-Reboot

[paulchen]

Hi!

gerade eben ist mein Rootie stehengeblieben...
Nach RESET ging er er wieder.

In den /var/log's finde ich keinen heissen Hinweis auf den GRUND des Ausfalls.

in "history" finde ich Eintraege mit denen ich NIX anfangen kann.

Was ist das ?

Code: Select all

  270   PROMPT_COMMAND='pwd>&7;kill -STOP $$'
  271   cd "`echo -e '\057166141162\057154157147\057150164164160144'`"
  272   cd "`echo -e '\057166141162\057154157147'`"
  273   cd "`echo -e '\057166141162'`"
  274   cd "`echo -e '\057'`"
  275   cd "`echo -e '\057165163162'`"
  276   cd "`echo -e '\057'`"
  277   cd "`echo -e '\057165163162'`"
  278   cd "`echo -e '\057165163162\057154157143141154'`"
  279   cd "`echo -e '\057165163162\057154157143141154\057154151142'`"
  280   cd "`echo -e '\057165163162\057154157143141154'`"
  281   cd "`echo -e '\057165163162'`"
  282   cd "`echo -e '\057'`"

Paulchen

[paulchen]

aha...aus einer SUSE-ML:

******************* schnipp ***********************
> > PROMPT_COMMAND='pwd>&6;kill -STOP $$'

> Kann es sein, daß du ab und zu mal den MC benutzt?

Bingo, der wurde in der Zeit ausnahmsweise benutzt. Also alles unbedenklich
und mc nicht mehr benutzen?
******************* schnipp ***********************

ok...den habe ich auch benutzt.

Dann bleibt nur noch die Frage: WO kann ich noch schauen, WARUM wohl der Rootie eingefroren ist ?!

Paulchen

[floschi]

Es gibt nur die Logfiles... ist dort wirklich gar nix zu finden?

Evtl. kannst du noch überprüfen, ob dein Speicher voll ist, df -kh ;)


Grüßle

Olfi

[Outlaw]

Das hatte ich auch letzt, also nicht der Server blieb stehen, sondern der Apache. Auf die Vermutung, der Speicher wäre voll (RAM), hiess es, das wäre normal ....

Nunja, bei mir war es vermutlich ein zerschossenes SSL Zertifikat und ein früherer Update über Suse, die sowohl den Apache nicht mehr starten liessen als auch sendmail "ruiniert" haben ....

[paulchen]

hi!

Es gibt nur die Logfiles... ist dort wirklich gar nix zu finden?

Ich finde NIX aussergewoehnliches...und da kein Ping, kein SSH, kein Webserver mehr ging nahm ich an, dass der Server eingefroren sei. Haette natuerlich auch sein koennen, dass der Switchport.... naja....jedenfalls brachte der RESET ueber das Konfig-Menue von 1und1 die Kiste wieder zum Fliegen...

Evtl. kannst du noch überprüfen, ob dein Speicher voll ist, df -kh ;)

p12345678:/etc/init.d # df -kh
Filesystem Size Used Avail Use% Mounted on
/dev/hda3 37G 1.6G 34G 5% /
/dev/hda1 248M 23M 213M 10% /boot
shmfs 122M 0 122M 0% /dev/shm

Das sieht fuer mich ok aus ....

Der Server ist wohl gegen 0:18 Uhr heute morgen stehengeblieben...zu diesem zeitpunkt habe ich noch einen Logeintrag im Webserver-Access-Log...um 0:28 Uhr lebte er dann nach dem RESET wieder...
Zu meinen Logs im /var/log:

/var/log/messages:

Code: Select all

Mar  3 00:15:00 p15118197 /USR/SBIN/CRON[1462]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Mar  3 00:15:12 p15118197 syslogd 1.4.1: restart.
Mar  3 00:15:24 p15118197 su: (to nobody) root on none
Mar  3 00:15:24 p15118197 su: pam_unix2: session started for user nobody, service su
Mar  3 00:15:46 p15118197 su: pam_unix2: session finished for user nobody, service su
Mar  3 00:16:00 p15118197 /USR/SBIN/CRON[1667]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Mar  3 00:16:59 p15118197 /USR/SBIN/CRON[1680]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Mar  3 00:18:01 p15118197 /USR/SBIN/CRON[1705]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Mar  3 00:28:41 p15118197 syslogd 1.4.1: restart.
Mar  3 00:28:42 p15118197 sshd[418]: Server listening on 0.0.0.0 port 22.
Mar  3 00:28:46 p15118197 kernel: klogd 1.4.1, log source = /proc/kmsg started.
Mar  3 00:28:46 p15118197 kernel: Inspecting /boot/System.map-2.4.20
Mar  3 00:28:46 p15118197 kernel: Loaded 16030 symbols from /boot/System.map-2.4.20.
M

In den anderen Logs in /var/log ist um die genannte Uhrzeit NIX zu finden, was mich weiterbringen wuerde....

Paulchen

[floschi]

und du hast ihn auch brav über's Rescue vorher gecheckt?

Und du bist dir sicher, dass da kein Netzwerkproblem war? Bei so einer kurzen Zeitspanne?

Und du hast definitiv keine Verbindug bekommen, auch nciht nach langer Wartezeit? Er könnte ja beschäftigt gewesen sein...


Grüßle

Olfi

[paulchen]

hi!

und du hast ihn auch brav über's Rescue vorher gecheckt?

neee...Rescue habe ich deswegen noch nicht angepackt...

Und du bist dir sicher, dass da kein Netzwerkproblem war? Bei so einer kurzen Zeitspanne?

eigentlich bin ich sicher...habe zu meiner Server-IP ja nen PING gemacht...kam nix zureck...habe dann mal die letzte Zahl meiner IP um 1 erhoeht und auch noch um 1 erniedrigt, so quasi um die "Nachbarserver" im Rack mal anzupingen...kann zwar sein, dass die voll woanders standen..(lt. Traceroute war aber der vorletzte Hop der gleiche) aber der PING auf die Moehren gab ne Antwort...
Und da wie gesagt weder PING, noch SSH, noch Webserver geantworte hat nehme ich schon an, dass die Kiste eingefroren war...

Und du hast definitiv keine Verbindug bekommen, auch nciht nach langer Wartezeit? Er könnte ja beschäftigt gewesen sein...

Dafuer spraeche natuerlich, dass um die Uhrzeit (0:15 Uhr) einiges an Tasks loeppt (ich glaube u.a. Rotatelogs und sowas....)
Aber die sollten dann ja nicht soooo viel Ressourcen an sich reissen, dass selbst die ELEMENTAREN TCP-Dienste versagen....jedenfalls wurde meine laufende SSH-Session gekillt und wie gesagt PING ging auch net mehr...

Bin echt mal auf HEUTE Nacht gespannt 8O

Paulchen

[floschi]

neee...Rescue habe ich deswegen noch nicht angepackt...

Dann empfehle ich dir dringend folgendes:

http://server.1und1.com/root_server/rescue/2.html

Bei unsauberem Reset UNBEDINGT zu machen... also im Configmenü auf Rescue umstellen, per Shell rebooten und die FAQ befolgen.

Wenn es heut Nacht wieder ist, schau mal im IRC #rootserver vorbei, ob ich noch wach bin - würde mich interessieren ;)

[paulchen]

so...heute morgen ist der SERVER durchgelaufen..also nicht wieder stehengeblieben....jetzt gab es nur noch probs im Logrotate...die werde ich aber hoffentlich mittels Suchfunktion auf http://www.rootforum.org/ in den Griff bekommen.....thx so long...

Paulchen