Portál AbcLinuxu, 30. dubna 2024 05:30


Dotaz: podivne chovani serveru

17.2.2015 14:12 Milan Roubal | skóre: 25
podivne chovani serveru
Přečteno: 360×
Odpovědět | Admin
Tak jsem dnes narazil na serveru na toto: 
 41410  2015-02-17T09:59:42.550796+01:00 mail sshd[9098]: Received disconnect from 103.41.124.64: 11:  [preauth]
 41411  2015-02-17T09:59:42.667307+01:00 mail kernel: [79497.496689] systemd[1]: segfault at 7fec6e7629d8 ip 00007fec6e7629d8 sp 00007fffd9c7cbb8 error 15 in libc-2.18.so[7fec6e762000+2000]
 41412  2015-02-17T09:59:42.822950+01:00 mail systemd[1]: Caught <SEGV>, dumped core as pid 9103.
 41413  2015-02-17T09:59:42.825524+01:00 mail systemd[1]: Freezing execution.
 41414  2015-02-17T09:59:45.095578+01:00 mail sshd[9106]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.41.124.64  user=root
Vypis ps obsahuje od te doby spoustu ssh procesu ve stavu defunct. 
 9105 ?        Z      0:00 [sshd] <defunct>
 9115 ?        Z      0:00 [sshd] <defunct>
 9121 ?        Z      0:00 [sshd] <defunct>
 9126 ?        Z      0:00 [sshd] <defunct>
 9131 ?        Z      0:00 [sshd] <defunct>
 9154 ?        Z      0:00 [sshd] <defunct>
 9159 ?        Z      0:00 [sshd] <defunct>
....

ani reboot se nepodaril: 
mail:~ # reboot
Failed to open /dev/initctl: No such device or address
Failed to talk to init daemon.
Nakonec pomohl prikaz sync && reboot -f

ta IP adresa mi na ssh utoci uz dlouhodobe. Muze ale nejak zpusobit ten segfault? Je to nejaky znamy utok? Nebo to bude nejaky HW problem? System je virtual, aktualizovane OpenSuSE 13.1 
# uname -a
Linux mail 3.11.10-25-default #1 SMP Wed Dec 17 17:57:03 UTC 2014 (8210f77) x86_64 x86_64 x86_64 GNU/Linux
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

17.2.2015 15:28 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: podivne chovani serveru
Odpovědět | | Sbalit | Link | Blokovat | Admin
Technicky Ti ten útok môže vyžrať pamäť ak máš zlé nastavenia. Inak, neskúšajú to aj s napríklad 115.239.228.0/24?
17.2.2015 19:26 Milan Roubal | skóre: 25
Rozbalit Rozbalit vše Re: podivne chovani serveru
jake nastaveni zkontrolovat?

joo, ale tato druha adresa je v poslednim logu 300x, zatimco ta puvodni 11000x.
17.2.2015 20:47 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: podivne chovani serveru
No, na vyťaženie pamäte sa hádam dokážeš pozrieť. A skús tie segmenty bolknúť, hádam sa nikto nebude sťažovať že sa z Číny nedostane na ten VPN server.
Jendа avatar 17.2.2015 16:33 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: podivne chovani serveru
Odpovědět | | Sbalit | Link | Blokovat | Admin
Není ten soubor na disku poškozený?
Failed to talk to init daemon.
Vítej v systemd :). Nevím jak to otočit líp než zapsat b do sysrq_trigger.
Já to s tou denacifikací Slovenska myslel vážně.
michich avatar 17.2.2015 16:39 michich | skóre: 51 | blog: ohrivane_parky
Rozbalit Rozbalit vše Re: podivne chovani serveru
Tazatel psal, že udělal sync && reboot -f, což je o trošku lepší než sysrq.

Jinak je takový crash samozřejmě bug v systemd. Core file to zapsalo, tak šup s tím do Bugzilly.
17.2.2015 19:22 Milan Roubal | skóre: 25
Rozbalit Rozbalit vše Re: podivne chovani serveru
core jsem nasel. Do ktere bugzilly? Mam to dat spise sem a nebo sem? Nebo jeste nekam uplne jinam?
michich avatar 17.2.2015 20:01 michich | skóre: 51 | blog: ohrivane_parky
Rozbalit Rozbalit vše Re: podivne chovani serveru
openSUSE 13.1 má systemd v208 (+patche). To už je z hlediska upstreamu dost stará verze. Takže do freedesktop bugzilly ne, raději do https://bugzilla.opensuse.org (nevím, jestli je to totéž co bugzilla.novell.com).

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.