Hallo Dieter, hallo allerseits, Am 24. Oct 2000 schrieb Dieter Kluenter:
...
Ich denke mir schon, daß da der Wurm drin ist, in der Firewall...
Nicht unbedingt, koennte auch eine Netzkarte sein, oder ein Speichermodul, ein mangelhaft kompilierter Kernel und, und ... Aber ich vermute auch, dass ipchains Regeln dazu fuehren, dass der kernel mit Paketen durch ein loop ueberflutet wird.
Also... nun hatte ich mich wegen meines stehenbleibenden Servers einige Tage nicht gemeldet. Ich habe nämlich alle Tipps und Tricks ausprobiert. Und wollte dann abwarten, was geschieht. Nun gut. Vor allem bin ich von Linux 2.2.16-SuSE auf 2.2.14-SuSE gewech- selt. Noch ein paar Spielereien an Kernel-Config und Firewall, und der Server erreichte tatsächlich fast vier Tage Uptime. Letzte Nacht jedoch stürzte er ab - allerdings kann ich leider nicht feststellen, wie und warum, da er die /var/log/messages vernichtet hat. Sie wurde mit Einträgen von Leafnode zugemüllt sowie unleserlichen Einträgen, die wahrscheinlich nach /var/log/messages gehörten, aber nur Zeichenmüll enthielten, kaum noch zu entziffern. Es gab jedenfalls zwei /var/log/messages, nach dem Reboot begann das System eine neue. Die beiden alten sahen so aus: /var/log/messages-20001029:
Oct 25 14:19:12 p100 popper[5136]: connect from root@tux.molthagen.de (192.168.0.1) Oct 25 14:19:36 p100 isdnlog: Oct 25 14:19:36 tei 118 calling 0191011 with +49 7154/186881, Kornwestheim 146.CI 7.300 DM (after Oct 25 14:19:55 p100 popper[5137]: connect fien:32348 32349 RE: Etext version of LOTR "Von Ranke"
Sun, 15 Oct 2000 21:48:01 +0200 <8sd1fr$r8 32350 Re: Gondor? tbarrie@cs.toronto.edu (Trevor Barrie) 15 Oct 2000 19:57:14 GMT <2000Oct15.155714.1298@jarvis.cs.t 32351 Re: Gondor? "Conrad Dunkerson" Sun, 15 Oct 2000 20:58:15 GMT Sun, 15 Oct 2000 20:01:06 +0100 <8 32353 Re: OT: Anti-American Flame(TM) "Nelson and Bronte" Sun, 15 Oct 2000 16:29:40 -0400 <8 32354 Re: OT: Anti-American Flame(TM) "Conrad Dunkerson" Sun, 15 Oct 2000 21:25:15 GMT <% 32355 Re: Slightly OT Paganism and Christianity was (Re: Religion) Flame of the West Sun, 15 Oct 2000 1 32356 Re: OT: Anti-American Flame(TM) Flame of the West Sun, 15 Oct 2000 15:02:11 -0400 <39E9FF31.D2DD29E3 32357 Re: OT: Anti-American Flame(TM) Flame of the West Sun, 15 Oct 2000 14:59:45 -0400 <39E9FEA0.8B578E4D 32358 Re: OT: Anti-American Flame(TM) Flame of the West Sun, 15 Oct 2000 14:58:51 -0400 <39E9FE69.AC2D6385 <<<
/var/log/messages-20001029.gz:
Oct 23 19:41:27 p100 popper[1941]: connect from root@tux.molthagen.de (192.168.0.1) Oct 23 19:41:58 p100 isdnlog: Oct 23 19:41:58 tei 116 calling 0191011 with +49 7154/186881, Kornwestheim 85.CI 4.250 DM (after 1 Oc6 62.1556 Kornwestheim 85.CI 4.250 DM (after 1:2e (192.168.0.1) Oc6 p100 popper[1916813 p100 popper[1766]: connect from root@tux.molthagen.de (1927154/186881, Kornwestheim 85.CI 4.250 DM (after Oct 23 9g: Oct 23 19:40:58 tei 116 calling 0191011 with +49 7154/1868820.6 Oct 540]: conx.molthagen.de (192.168.0.1) Oc3iOc92.1 I=358250.c0t8nnect f122n.de Iect 8659M (91750i2 pop1 591000OTO=136: conneptux.mE226n.t5389590019100 tei23 19:20:34 p100 Oc3iOc22t@tt5 co91io503.0h819p100 pop519560019100 tei23 19:20:34 p100 32754/19:4006gen.de 3.000On615854/19:400ct f122n.de Iect onn Oct0 Oc@t pop16isdage6 68 119100 teih0019100 tei8estheim 83.CI t51mog6th817883nt1n 6M (91750i2 pop1 591000OTO=136: conneptux.mE226n.t5 Oct0 Oc@t pop13de8.0.1) Oct 23 1polt u26) Oc@t00 p81nect6503.0ot@tux.molthag967]: connect from325en.d53 50 log: ind53 <<<
Die aktuelle /var/log/messages sieht wieder ganz normal aus. Jedenfalls ging nichts mehr - ein laufender Telnet auf den Server sprach nicht mehr an, pingen ging nicht mehr, drucken nicht, kein Warmstart - von daher ist dieser heutige Absturz ganz anders als alle bisherigen. In gewisser Weise vom Regen in die Traufe... Ich muß jetzt abwarten, was weiterhin geschieht. Vielleicht war der letzte Absturz eine Ausnahme, vielleicht wird er sich wiederholen. Ich frage mich, ob ich mir irgendwie, irgendwo etwas Bösartiges eingefangen habe - eine Backdoor, ein trojanisches Pferd - und nur noch eine komplette Neuinstallation hilft... Danke jedenfalls an alle für alle Tipps und Tricks und Hinweise :-)) Grüße, Michael --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com