Webserver bleibt einfach stehen
Guten Tag Ich hab ein Problem mit meinem Linux-Server (SuSe 9.0). Der bleibt jede Nacht um 22 Uhr rum stehen. In den Log-Files ist nichts ungewöhnliches zu sehen. Meine Vermutung ist, das den mal jemand gehackt hatte und ein Script hinterlegt hatte, aber da ich nicht so große Kenntnisse über Linux habe, weis nicht nach was ich suchen soll. Eine Neuinstallation kommt zur Zeit noch nicht in Frage, da ich dafür keine Zeit habe und aus anderen Gründen. Wenn er um 22Uhr stehen bleibt, kann man ihn noch an pingen, aber die Dienste sind mehr erreichbar (http, ssh). Kann mir jemand nen paar Tips bzw Ratschläge geben woran des liegen könnte das der immer stehen bleibt? Und nach was ich such muss? Vielen Dank Mit freundlichen Grüßen Lennart Mordek
Hallo Am Dienstag, 15. Februar 2005 09:30 schrieb Lennart Mordek:
Ich hab ein Problem mit meinem Linux-Server (SuSe 9.0). Der bleibt jede Nacht um 22 Uhr rum stehen. In den Log-Files ist nichts ungewöhnliches zu sehen.
Vielleicht hat der Indianer seitenstechen.. Um den geht es doch oder ?
Meine Vermutung ist, das den mal jemand gehackt hatte und ein Script hinterlegt hatte, aber da ich nicht so große Kenntnisse über Linux habe, weis nicht nach was ich suchen soll.
Der böse Hacker also. Wer ist bei Deinem Server für die Sicherheit zuständig, sprich Security-Fixes ? Du ? Der Hoster ? Ist das Teil in einem SOHO ? Oder richtig an der Front im weiten I-Net ? Was für ein Indianer ist es eigentlich ? Warum frag ich überhaupt ?
Eine Neuinstallation kommt zur Zeit noch nicht in Frage, da ich dafür keine Zeit habe und aus anderen Gründen.
Ah ja..
Wenn er um 22Uhr stehen bleibt, kann man ihn noch an pingen, aber die Dienste sind mehr erreichbar (http, ssh). Kann mir jemand nen paar Tips bzw Ratschläge geben woran des liegen könnte das der immer stehen bleibt? Und nach was ich such muss?
Vielleicht tun Ihm die Füße weh oder er hat seitenstechen.. Oder er zickt einfach, da Du eh keine Zeit für ihn hast.. Moment, dann wäre es ja ne Indianerin ;-) Gruß Thomas
Als mich raten, du willst immer der Cowboy sein!
Das war eine ernste frage mit dem Server. Ich weis nicht nach was ich suchen
soll! Es steht nichts in den Logs und sonst ist nichts ungewöhnliches zu
finden.
MfG Lennart Mordek
----- Original Message -----
From: "Thomas Janssen"
Ich hab ein Problem mit meinem Linux-Server (SuSe 9.0). Der bleibt jede Nacht um 22 Uhr rum stehen. In den Log-Files ist nichts ungewöhnliches zu sehen.
Vielleicht hat der Indianer seitenstechen.. Um den geht es doch oder ?
Meine Vermutung ist, das den mal jemand gehackt hatte und ein Script hinterlegt hatte, aber da ich nicht so große Kenntnisse über Linux habe, weis nicht nach was ich suchen soll.
Der böse Hacker also. Wer ist bei Deinem Server für die Sicherheit zuständig, sprich Security-Fixes ? Du ? Der Hoster ? Ist das Teil in einem SOHO ? Oder richtig an der Front im weiten I-Net ? Was für ein Indianer ist es eigentlich ? Warum frag ich überhaupt ?
Eine Neuinstallation kommt zur Zeit noch nicht in Frage, da ich dafür keine Zeit habe und aus anderen Gründen.
Ah ja..
Wenn er um 22Uhr stehen bleibt, kann man ihn noch an pingen, aber die Dienste sind mehr erreichbar (http, ssh). Kann mir jemand nen paar Tips bzw Ratschläge geben woran des liegen könnte das der immer stehen bleibt? Und nach was ich such muss?
Vielleicht tun Ihm die Füße weh oder er hat seitenstechen.. Oder er zickt einfach, da Du eh keine Zeit für ihn hast.. Moment, dann wäre es ja ne Indianerin ;-) Gruß Thomas -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Lennart Mordek scribbled on 15.02.2005 10:21: [...] Wenn er 'mal gehackt wurde', mußt Du ihn neu aufsetzen ... Ansonsten kannst Du gar nicht sicher sein, ob das Gerät überhaupt noch wirklich unter Deiner Kontrolle steht. U. U. stoppt ja jemand gegen 22:00 Uhr sämtliche ihm unangenehmen Dienste, um seine eigenen zu nutzen (im Zweifelsfall wird Dir das dann mal ein Staatsanwalt sagen) ;). Setze ihn neu auf, mit einer aktuelle Distribution, schotte ihn ab, so daß nur noch wirklich benötigte Dienste laufen, und schau Dir mal tools á la tripwire, rkhunter, chkrootkit, u. ä. an. Warum er stehen bleibt? Hast Du dir mal die cronjobs angeschaut? Was läuft denn gegen 22:00 Uhr (wird gestartet bzw. läuft noch)? Gruß Torsten [...]
Die Kiste ist sicher und steht voll im Inet! Nen cronjob läuft um die Zeit nicht, das wäre mir schon aufgefallen! Es läuft nur einer und das ist Zeitabgleich. Es laufen auch nur die nötigsten Programme auf dem Server (http, ssh, pop, smtp, irc). Gibt es versteckte Prozzese? MfG Lennart
Lennart Mordek wrote:
Die Kiste ist sicher und steht voll im Inet! Nen cronjob läuft um die Zeit nicht, das wäre mir schon aufgefallen! Es läuft nur einer und das ist Zeitabgleich. Es laufen auch nur die nötigsten Programme auf dem Server (http, ssh, pop, smtp, irc). Gibt es versteckte Prozzese?
MfG Lennart
Hi Lennart Installiere mal chkrootkit und rkhunter die müssten erstmal so etliche mögliche rootkits erkennen. Dann wäre wichtig zu wissen, wenn er 'abschmiert', kannst du dann per konsole noch drauf? (da du ja sagst er sei noch pingbar kanner nicht komplett geOopst sein oder so) dort wäre ein top bzw ps aux dann ev noch ganz hilfreich auf der Weitersuche.... ps: alle you-updates auch immer braf aufgespielt? Grüsse Matti
Hallo Lennart, Am Dienstag, 15. Februar 2005 10:45 schrieb Lennart Mordek:
Die Kiste ist sicher und steht voll im Inet!
Du bist aber wirklich geizig mit Informationen! Steht der Rechner bei Dir oder in der Ferne? Wie kriegst Du ihn nach 22:00 Uhr denn wieder zum Laufen? Ist er durch eine Firewall abgesichert? Welche? DMZ? Wie ist er angebunden an das Internet? Beispielsweise bin ich mit meinem Netz 24 Stunden täglich via DSL mit meinem Provider verbunden. Alle 24 Stunden wird diese Verbindung kurz unterbrochen und ich erhalte eine neue IP-Adresse. Per cronjob prüft mein Rechner die Verbindung und stellt sie dann wieder her. Hast Du mal alle Ports geprüft?
Nen cronjob läuft um die Zeit nicht, das wäre mir schon aufgefallen! Es läuft nur einer und das ist Zeitabgleich.
Das wäre etwas wenig. Gibt es nicht wenigstens noch logrotate oder ähnliches? Hast Du mal in die crontab, in cron.daily etc. hineingesehen?
Es laufen auch nur die nötigsten Programme auf dem Server (http, ssh, pop, smtp, irc).
Das ist ja schon eine ganze Menge für einen Server. Hältst Du die sicherheitsrelevanten Aspekte immer aktuell durch häufige Updates?
Gibt es versteckte Prozzese?
Als root mit vollen Rechten sollte Dir normalerweise kein Prozess verborgen bleiben. Gruß von Heimo -- Heimo Ponnath Webdesign, Rotenhäuserstr. 51, 21109 Hamburg Tel: 040-753 47 95,Fax: 040-752 68 03, http://www.heimo.de/
Der Server hat die neusten Updates die es zu SuSe 9.0 gibt. Der Server steht in einem Rechenzentrum (Strato), Firewall hat er, SuSe2Firewall! Ein Portscan ergab folgende Dienste seien erreichbar: ssh, http, pop3, smtp und irc (6667). Der Server wird nach dem her "stehen" gelieben ist, über ein HTTP-Dienst von Strato gerebootet.
Lennart Mordek wrote:
Der Server hat die neusten Updates die es zu SuSe 9.0 gibt. Der Server steht in einem Rechenzentrum (Strato), Firewall hat er, SuSe2Firewall! Ein Portscan ergab folgende Dienste seien erreichbar: ssh, http, pop3, smtp und irc (6667). Der Server wird nach dem her "stehen" gelieben ist, über ein HTTP-Dienst von Strato gerebootet.
Dann würde ich dir zum Portscan hinzu mal noch empfehlen auf der Kiste ein netstat -lnp zu machen, das gibt dir alle listening ports mit dem zugehörigen Prozess wenn da noch neue auftauehen als die gescannten würd ich da mal genau schauen was es ist... Ein schlauer Trojaner hört natürlich ev nur auf gewisse IPs und tut sonst so wie wenn er tot wäre Muss aber natürlich nach wie vor kein Hacker sein - normalerweise ist es weniger im Interesse eines Hackers einen Server zu crashen als ihn nur einfach zu missbrauchen (allerdings wenn ich an meinen uralten seligen Suse6.3 Server zurückdenke auf dem ein Hacker damals versuchte SuSE7.3 Kernelmodule zu installieren....*G* ) Interessant wäre für dich mal um diese Zeit direkt mit einigen SSH Sessions verbunden zu sein. zB in einem ein top im anderen ein tail -f /var/log/* (sofern dir dann nicht ne firewall den bildschirm komplett verschreibt) Viel Glück Matti
Noch ein Nachtrag, Lennart, Am Dienstag, 15. Februar 2005 10:45 schrieb Lennart Mordek:
Die Kiste ist sicher und steht voll im Inet!
gib mal jemand aus der Liste die Adresse des Servers (proveo.de ist es ja sicher nicht). Dann kann man mal von aussen den Server auf Lecks abklopfen. Gruß von Heimo -- Heimo Ponnath Webdesign, Rotenhäuserstr. 51, 21109 Hamburg Tel: 040-753 47 95,Fax: 040-752 68 03, http://www.heimo.de/
Sorry das ich zu gute Laune hatte. Am Dienstag, 15. Februar 2005 10:21 schrieb Lennart Mordek:
Als mich raten, du willst immer der Cowboy sein!
Wenn Cowboy sein bedeutet das ich meinen Apachen immer im Griff haben will, dann ja mein Herr, dann will ich immer der Cowboy sein.
Das war eine ernste frage mit dem Server. Ich weis nicht nach was ich suchen soll! Es steht nichts in den Logs und sonst ist nichts ungewöhnliches zu finden.
Meine (für Sie vielleicht nicht verständliche) art Humor, mit der ich mit Ihnen kommuniziert hatte sind eher nicht angekommen. Ich hätte auch schreiben können, gib bitte mehr Info`s. Und wenn Du schon denkst das er gehackt worden ist dann installier das Teil neu, oder freu Dich irgendwann auf netten Besuch, falls der Hacker wirklich böse war. Egal, danke für`s anmotzen und einen schönen Tag noch.
MfG Lennart Mordek
Gruß Thomas Ach, bevor ich es vergesse, guckst Du bitte konkret http://learn.to/quote [........]
Hallo Lennart, insgesamt gibst Du etwas zu wenig Informationen über Deine Systemkonfiguration. Am Dienstag, 15. Februar 2005 09:30 schrieb Lennart Mordek:
Ich hab ein Problem mit meinem Linux-Server (SuSe 9.0). Der bleibt jede Nacht um 22 Uhr rum stehen.
Irgendein Cron-Job?
In den Log-Files ist nichts ungewöhnliches zu sehen. Meine Vermutung ist, das den mal jemand gehackt hatte und ein Script hinterlegt hatte, aber da ich nicht so große Kenntnisse über Linux habe, weis nicht nach was ich suchen soll.
Wie kann das sein? Hängt etwa Dein Rechner offen und ungeschützt im Internet?
Eine Neuinstallation kommt zur Zeit noch nicht in Frage, da ich dafür keine Zeit habe und aus anderen Gründen.
Wenn Du tatsächlich einen Server mit verschiedenen Diensten im Internet betreibst, dann ist es Deine Verantwortung, ihn stets aktuell und sicher zu halten - auch wenn dafür eine Neuinstallation nötig sein sollte. Schaffst Du das nicht, dann lass es sein mit dem Server. Du bist nämlich auch für Schäden regresspflichtig, die durch Deine Nachlässigkeit verursacht werden.
Wenn er um 22Uhr stehen bleibt, kann man ihn noch an pingen, aber die Dienste sind mehr erreichbar (http, ssh). Kann mir jemand nen paar Tips bzw Ratschläge geben woran des liegen könnte das der immer stehen bleibt? Und nach was ich such muss?
Halt vielleicht mal Ausschau nach wildgewordenen Cron-Jobs. Gruß von Heimo -- Heimo Ponnath Webdesign, Rotenhäuserstr. 51, 21109 Hamburg Tel: 040-753 47 95,Fax: 040-752 68 03, http://www.heimo.de/
Am Dienstag, den 15.02.2005, 09:30 +0100 schrieb Lennart Mordek:
Ich hab ein Problem mit meinem Linux-Server (SuSe 9.0). Der bleibt jede Nacht um 22 Uhr rum stehen.
Vermutlich läuft dein Speicher voll. Dann werden etliche Prozesse abgeschossen. Ich möchte WETTEN, daß du NICHT alle cron-Jobs im Blick hast. Hast du alle cronjobs angeguckt? Also alle in /var/?/cron/tabs (Fragezeichen ist zu ersetzen, ich weiss den Pfad bei Suse nicht), und alle in /etc/cron* ? Log dich notfalls kurz vorm crash mit ssh ein, tippe "top", dann "s" , dann "1", Return, und wenn die Kiste crasht, hast du eine Prozesstabelle. Noch ein gut gemeinter Rat: Es macht den Eindruck, als hättest du nur so wenig Ahnung. Du bist aber sehr schnell mit der Antwort, der Rechner sei "sicher" und "alles OK". Das ist ganz offensichtlich nicht so: Wenn alles OK wäre, würde die Kiste nicht crashen, und ob sie "sicher" ist, kannst du mit deinem Kenntnisstand gar nicht beurteilen. Bist du sicher, daß du die Verantwortung für einen Server im Internet tragen willst? Zudem noch, wie du sagst, unter Zeitmangel - du wirst offensichtlich noch sehr viel lernen müssen, und das kostet nun mal Zeit. Ist nicht böse gemeint, denk doch einfach mal drüber nach. Gruß, Ratti -- -o) fontlinge | Fontmanagement for Linux | Schriftenverwaltung in Linux /\\ http://freshmeat.net/projects/fontlinge/ _\_V http://www.gesindel.de https://sourceforge.net/projects/fontlinge/
participants (6)
-
Heimo Ponnath
-
Joerg Rossdeutscher
-
Lennart Mordek
-
Matthias Keller
-
Thomas Janssen
-
Torsten E.