Seltsamer Linux-Absturz

JonnyB

Blutiger Neubei

Registered: Mar 2001
Location: Leoben
Posts: 656

03.07.2002 - 12:22

Hab im Anhang einen Screenshot von einem Linux-Absturz (SuSE 7.0 auf einem kleinen Server). Die blauen (J) und roten (Pfeile) Spalten haben geblinkt.
Die Log-Files hab ich überprüft, um 03:43 hat er noch einen Eintrag fabriziert (Markierung in /var/log/messages), 5 Minuten davor hat ein Wurm (Code Red/Nimda) einen einzelnen Zugriff versucht. Ansonsten war weit und breit nichts auffällig. Uptime war knapp 20 Tage. :rolleyes:

Hat irgendwer eine Idee was das gewesen sein könnte? "Normaler" Abschmierer, Angriff, Marsmenschen, ... ?

THX für konstruktive Beiträge.

linuxex_12385.jpg (downloaded 63x)

noledge

CWNE #540

Registered: Apr 2001
Location: ::1
Posts: 6837

03.07.2002 - 13:02

hardware oder treiberfehler würd ich mal sagen...

JonnyB

Blutiger Neubei

Registered: Mar 2001
Location: Leoben
Posts: 656

03.07.2002 - 13:06

Zitat von noledge
hardware oder treiberfehler würd ich mal sagen...

Kann man da dann davon ausgehen, daß es was mit der GraKa zu tun hat, oder kann das irgendwo liegen? Der Server soll zwar demnächst mal ersetzt/aufgerüstet werden, wär aber interessant welche Teile ich dann noch verwenden kann und was wie schnell weg muß.

Vir@s

Code Monkey

Registered: Nov 2000
Location: Wien
Posts: 730

04.07.2002 - 11:33

So wie des aussieht is da die Oberfläche gflogen.

War des in graphischer Oberfläche (X) der Textmode?
Hast du nach dem Absturz noch per ssh zugreifen können (oder irgendein anderer externer Dienst)?

JonnyB

Blutiger Neubei

Registered: Mar 2001
Location: Leoben
Posts: 656

04.07.2002 - 11:37

Absturz war im Textmode. X verwende ich auf dem Server überhaupt nicht.
Der Rechner war komplett tot, kein SSH-Zugriff, kein Ping, Tastatur ohne Reaktion (Maus ist keine angeschlossen).

Vir@s

Code Monkey

Registered: Nov 2000
Location: Wien
Posts: 730

04.07.2002 - 11:58

Hmm okay - ja ich verwend auch kein X aber es soll Leute geben die haun sowas auf nen Server drauf

Naja ging nach einem Reboot wieder alles? Oder gabs irgendwelche Probleme? Es kann natürlich auch sein des durch ein unglückliches Zusammenspiel von mehreren Dingen auf einmal des Linux abgestürzt is!

JonnyB

Blutiger Neubei

Registered: Mar 2001
Location: Leoben
Posts: 656

04.07.2002 - 12:08

Jetzt geht wieder alles.
Hab den Rechner nach dem Absturz abgeschaltet (Reset-Taste ist abgehängt um ein "versehentliches" resetten durch meine lieben Kollegen zu verhindern), brav gewartet (->Festplatte) und ihn dann wieder eingeschaltet. Ist ganz normal hochgefahren, fschk durchgelaufen (ohne Vorkommnisse) und läuft seither wieder brav.
Abgeschmiert ist er mir schon öfters (daher arbeite ich ja jetzt an einer gröberen Umstellung, höchstwahrscheinlich auf ein BSD), allerdings hat er noch nie so einen seltsamen Screen gezeigt. Als ob er mich auslachen wollte mit den Smileys.

Daher hab ich an einen Angriff von außen gedacht, wie gesagt war aber in den Logfiles rein garnichts verdächtiges zu finden (abgesehen von Code Red/Nimda, aber das sind tägliche Besucher).
Wird wohl tatsächlich eine Verkettung kurioser Umstände gewesen sein.

da.r00kie

Big d00d

Registered: May 2002
Location: sunnyOSTTIROL!!
Posts: 146

04.07.2002 - 13:26

Nimda auf Linux?? Is der net nur auf Windoof lauffähig?
Oder liegt ich da falsch?

HaBa

Vereinsmitglied
Dr. Funkenstein

Registered: Mar 2001
Location: St. Speidl / Gle..
Posts: 19761

04.07.2002 - 13:27

Nimda greift alles an, egal ob er drauf läuft oder nicht.

Umlüx

Huge Metal Fan

Registered: Jun 2001
Location: Kärnten
Posts: 8999

04.07.2002 - 13:32

wenn i mir den Screenshot so anschau..

THE MATRIX HAS YOU!

noledge

CWNE #540

Registered: Apr 2001
Location: ::1
Posts: 6837

04.07.2002 - 13:38

Zitat von da.r00kie
Nimda auf Linux?? Is der net nur auf Windoof lauffähig?
Oder liegt ich da falsch?

angreifen tut er auch apachen, er schaut ja vorher ned was des is. laufen kann er ned, infizieren schon - wenn infizierte files auf einen linux-server geladen werden und jemand mit einem nicht gepatchten IE diese seiten anschaut, hat er ihn. dem server tut es nix, aber die user werden verärgert sein...

JonnyB

Blutiger Neubei

Registered: Mar 2001
Location: Leoben
Posts: 656

04.07.2002 - 14:11

Mich stören vor allem die vielen Einträge in den Logfiles, die Nimda&Co verursachen. Wird recht schnell unübersichtlich und man tut sich schwer andere Angriffe davon zu unterscheiden. Wird wohl eine Aufgabe für eine intelligente Firewall bei der Umstellung.

noledge

CWNE #540

Registered: Apr 2001
Location: ::1
Posts: 6837

04.07.2002 - 14:15

snort IDS http://www.snort.org
macht analyse bis zum application layer - code red wird dort zB als isapi overflow oder so angezeigt, modular aufgebaut - für aktualisierung ladest die neuen module runter und er erkennt wieder die neuesten sachen.

JonnyB

Blutiger Neubei

Registered: Mar 2001
Location: Leoben
Posts: 656

04.07.2002 - 14:19

Zitat von noledge
snort IDS http://www.snort.org

THX, auf den hab ich eh schon ein Auge geworfen, muß mich nur mal noch durch die gesamte Docu wälzen ... soll ja wenn, dann gleich was ordentliches werden.

*snortschnüffel*

JonnyB Blutiger Neubei Registered: Mar 2001 Location: Leoben Posts: 656	03.07.2002 - 12:22 Hab im Anhang einen Screenshot von einem Linux-Absturz (SuSE 7.0 auf einem kleinen Server). Die blauen (J) und roten (Pfeile) Spalten haben geblinkt. Die Log-Files hab ich überprüft, um 03:43 hat er noch einen Eintrag fabriziert (Markierung in /var/log/messages), 5 Minuten davor hat ein Wurm (Code Red/Nimda) einen einzelnen Zugriff versucht. Ansonsten war weit und breit nichts auffällig. Uptime war knapp 20 Tage. Hat irgendwer eine Idee was das gewesen sein könnte? "Normaler" Abschmierer, Angriff, Marsmenschen, ... ? THX für konstruktive Beiträge. linuxex_12385.jpg (downloaded 63x)
noledge CWNE #540 Registered: Apr 2001 Location: ::1 Posts: 6837	03.07.2002 - 13:02 hardware oder treiberfehler würd ich mal sagen...
JonnyB Blutiger Neubei Registered: Mar 2001 Location: Leoben Posts: 656	03.07.2002 - 13:06 Zitat von noledge hardware oder treiberfehler würd ich mal sagen... Kann man da dann davon ausgehen, daß es was mit der GraKa zu tun hat, oder kann das irgendwo liegen? Der Server soll zwar demnächst mal ersetzt/aufgerüstet werden, wär aber interessant welche Teile ich dann noch verwenden kann und was wie schnell weg muß.
Vir@s Code Monkey Registered: Nov 2000 Location: Wien Posts: 730	04.07.2002 - 11:33 So wie des aussieht is da die Oberfläche gflogen. War des in graphischer Oberfläche (X) der Textmode? Hast du nach dem Absturz noch per ssh zugreifen können (oder irgendein anderer externer Dienst)?
JonnyB Blutiger Neubei Registered: Mar 2001 Location: Leoben Posts: 656	04.07.2002 - 11:37 Absturz war im Textmode. X verwende ich auf dem Server überhaupt nicht. Der Rechner war komplett tot, kein SSH-Zugriff, kein Ping, Tastatur ohne Reaktion (Maus ist keine angeschlossen).
Vir@s Code Monkey Registered: Nov 2000 Location: Wien Posts: 730	04.07.2002 - 11:58 Hmm okay - ja ich verwend auch kein X aber es soll Leute geben die haun sowas auf nen Server drauf Naja ging nach einem Reboot wieder alles? Oder gabs irgendwelche Probleme? Es kann natürlich auch sein des durch ein unglückliches Zusammenspiel von mehreren Dingen auf einmal des Linux abgestürzt is!
JonnyB Blutiger Neubei Registered: Mar 2001 Location: Leoben Posts: 656	04.07.2002 - 12:08 Jetzt geht wieder alles. Hab den Rechner nach dem Absturz abgeschaltet (Reset-Taste ist abgehängt um ein "versehentliches" resetten durch meine lieben Kollegen zu verhindern), brav gewartet (->Festplatte) und ihn dann wieder eingeschaltet. Ist ganz normal hochgefahren, fschk durchgelaufen (ohne Vorkommnisse) und läuft seither wieder brav. Abgeschmiert ist er mir schon öfters (daher arbeite ich ja jetzt an einer gröberen Umstellung, höchstwahrscheinlich auf ein BSD), allerdings hat er noch nie so einen seltsamen Screen gezeigt. Als ob er mich auslachen wollte mit den Smileys. Daher hab ich an einen Angriff von außen gedacht, wie gesagt war aber in den Logfiles rein garnichts verdächtiges zu finden (abgesehen von Code Red/Nimda, aber das sind tägliche Besucher). Wird wohl tatsächlich eine Verkettung kurioser Umstände gewesen sein.
da.r00kie Big d00d Registered: May 2002 Location: sunnyOSTTIROL!! Posts: 146	04.07.2002 - 13:26 Nimda auf Linux?? Is der net nur auf Windoof lauffähig? Oder liegt ich da falsch?
HaBa Vereinsmitglied Dr. Funkenstein Registered: Mar 2001 Location: St. Speidl / Gle.. Posts: 19761	04.07.2002 - 13:27 Nimda greift alles an, egal ob er drauf läuft oder nicht.
Umlüx Huge Metal Fan Registered: Jun 2001 Location: Kärnten Posts: 8999	04.07.2002 - 13:32 wenn i mir den Screenshot so anschau.. THE MATRIX HAS YOU!
noledge CWNE #540 Registered: Apr 2001 Location: ::1 Posts: 6837	04.07.2002 - 13:38 Zitat von da.r00kie Nimda auf Linux?? Is der net nur auf Windoof lauffähig? Oder liegt ich da falsch? angreifen tut er auch apachen, er schaut ja vorher ned was des is. laufen kann er ned, infizieren schon - wenn infizierte files auf einen linux-server geladen werden und jemand mit einem nicht gepatchten IE diese seiten anschaut, hat er ihn. dem server tut es nix, aber die user werden verärgert sein...
JonnyB Blutiger Neubei Registered: Mar 2001 Location: Leoben Posts: 656	04.07.2002 - 14:11 Mich stören vor allem die vielen Einträge in den Logfiles, die Nimda&Co verursachen. Wird recht schnell unübersichtlich und man tut sich schwer andere Angriffe davon zu unterscheiden. Wird wohl eine Aufgabe für eine intelligente Firewall bei der Umstellung.
noledge CWNE #540 Registered: Apr 2001 Location: ::1 Posts: 6837	04.07.2002 - 14:15 snort IDS http://www.snort.org macht analyse bis zum application layer - code red wird dort zB als isapi overflow oder so angezeigt, modular aufgebaut - für aktualisierung ladest die neuen module runter und er erkennt wieder die neuesten sachen.
JonnyB Blutiger Neubei Registered: Mar 2001 Location: Leoben Posts: 656	04.07.2002 - 14:19 Zitat von noledge snort IDS http://www.snort.org THX, auf den hab ich eh schon ein Auge geworfen, muß mich nur mal noch durch die gesamte Docu wälzen ... soll ja wenn, dann gleich was ordentliches werden. snortschnüffel

Seltsamer Linux-Absturz

Forum Index > Software > Windows

JonnyB

noledge

JonnyB

Vir@s

JonnyB

Vir@s

JonnyB

da.r00kie

HaBa

Umlüx

noledge

JonnyB

noledge

JonnyB