Hallo Michael, Michael Molthagen <michael@molthagen.de> writes:
Hallo Dieter, hallo allerseits,
Am 24. Oct 2000 schrieb Dieter Kluenter:
...
Ich denke mir schon, daß da der Wurm drin ist, in der Firewall...
Nicht unbedingt, koennte auch eine Netzkarte sein, oder ein Speichermodul, ein mangelhaft kompilierter Kernel und, und ... Aber ich vermute auch, dass ipchains Regeln dazu fuehren, dass der kernel mit Paketen durch ein loop ueberflutet wird.
Also... nun hatte ich mich wegen meines stehenbleibenden Servers einige Tage nicht gemeldet. Ich habe nämlich alle Tipps und Tricks ausprobiert. Und wollte dann abwarten, was geschieht.
Nun gut. Vor allem bin ich von Linux 2.2.16-SuSE auf 2.2.14-SuSE gewech- selt. Noch ein paar Spielereien an Kernel-Config und Firewall, und der Server erreichte tatsächlich fast vier Tage Uptime.
Letzte Nacht jedoch stürzte er ab - allerdings kann ich leider nicht feststellen, wie und warum, da er die /var/log/messages vernichtet hat. Sie wurde mit Einträgen von Leafnode zugemüllt sowie unleserlichen Einträgen, die wahrscheinlich nach /var/log/messages gehörten, aber nur Zeichenmüll enthielten, kaum noch zu entziffern. Es gab jedenfalls zwei /var/log/messages, nach dem Reboot begann das System eine neue.
Die beiden alten sahen so aus:
/var/log/messages-20001029:
Oct 25 14:19:12 p100 popper[5136]: connect from root@tux.molthagen.de (192.168.0.1) Oct 25 14:19:36 p100 isdnlog: Oct 25 14:19:36 tei 118 calling 0191011 with +49 7154/186881, Kornwestheim 146.CI 7.300 DM (after Oct 25 14:19:55 p100 popper[5137]: connect fien:32348 32349 RE: Etext version of LOTR "Von Ranke" <vranke@correo.interlink.es> Sun, 15 Oct 2000 21:48:01 +0200 <8sd1fr$r8 [popper Meldungen entfernt]
Was sind denn das fuer komische popper Meldungen ? Sind die dort aufgefuehrten mails auch alle bei dir angekommen ?
/var/log/messages-20001029.gz:
Oct 23 19:41:27 p100 popper[1941]: connect from root@tux.molthagen.de (192.168.0.1) Oct 23 19:41:58 p100 isdnlog: Oct 23 19:41:58 tei 116 calling 0191011 with +49 7154/186881, Kornwestheim 85.CI 4.250 DM (after 1 Oc6 62.1556 Kornwestheim 85.CI 4.250 DM (after 1:2e (192.168.0.1) Oc6 p100 popper[1916813 p100 popper[1766]: connect from root@tux.molthagen.de (1927154/186881, Kornwestheim 85.CI 4.250 DM (after Oct 23 9g: Oct 23 19:40:58 tei 116 calling 0191011 with +49 7154/1868820.6 Oct 540]: conx.molthagen.de (192.168.0.1) Oc3iOc92.1 I=358250.c0t8nnect f122n.de Iect 8659M (91750i2 pop1 591000OTO=136: conneptux.mE226n.t5389590019100 tei23 19:20:34 p100
Und hier auch seltsame popper Meldungen. Laeuft popper mit triple -v, oder warum ist er so gespraechig ?
Die aktuelle /var/log/messages sieht wieder ganz normal aus.
Jedenfalls ging nichts mehr - ein laufender Telnet auf den Server sprach nicht mehr an, pingen ging nicht mehr, drucken nicht, kein Warmstart - von daher ist dieser heutige Absturz ganz anders als alle bisherigen. In gewisser Weise vom Regen in die Traufe...
Wie sieht denn deine gesamte Mail Konfiguration aus ?
Ich muß jetzt abwarten, was weiterhin geschieht. Vielleicht war der letzte Absturz eine Ausnahme, vielleicht wird er sich wiederholen.
Ich frage mich, ob ich mir irgendwie, irgendwo etwas Bösartiges eingefangen habe - eine Backdoor, ein trojanisches Pferd - und nur noch eine komplette Neuinstallation hilft...
Glaube ich eher nicht.
Danke jedenfalls an alle für alle Tipps und Tricks und Hinweise :-))
Gruss Dieter -- Dieter Kluenter mailto: dkluenter@gmx.de http: http://www.l4b.de --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com