The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Меня похакали?"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"Меня похакали?"
Сообщение от NiC emailИскать по авторуВ закладки on 06-Май-03, 10:50  (MSK)
Работал до недавнего времени сервер под FreeBSD 4.7
С недавнего времени, в ежедневных отчётах, посылаемых на root стали прихожить такие сообщения -
Checking setuid files and devices:
servername setuid diffs:
65c65
< 22921 -rwsrwxr-x  1 root  wheel      6572 f 15:44:10 2002 /usr/bin/systemf
---
> 22920 -rwsrwxr-x  1 root  wheel      6572 f 15:44:10 2002 /usr/bin/systemf

И вот такие -

servername kernel log messages:
> l: pid 36888 (smbd), uid 65534: exited on signal 6
> pid 45373 (smbd), uid 65534: exited on signal 6
> pid 45374 (smbd), uid 65534: exited on signal 6
> pid 45375 (smbd), uid 65534: exited on signal 6
и их штук 50.
Заием следует такое сообщение -
> file: table is full
> file: table is full
> file: table is full
их тоже неменянно.

Команды ps ax, grep или top не работают, вываливают такие ошибки -
servername# ps ax
Can't make pipe.
Can't make pipe.
/usr/libexec/ld-elf.so.1: Cannot open "/usr/lib/libgnuregex.so.2"
/usr/libexec/ld-elf.so.1: Cannot open "/usr/lib/libgnuregex.so.2"
/usr/libexec/ld-elf.so.1: Cannot open "/usr/lib/libgnuregex.so.2"

Самба не поднимается, может и ещё что-то, я не знаю.

Гуру, спасите!
Что надо делать?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "Меня похакали?"
Сообщение от lavr emailИскать по авторуВ закладки on 06-Май-03, 10:55  (MSK)
>Работал до недавнего времени сервер под FreeBSD 4.7
>С недавнего времени, в ежедневных отчётах, посылаемых на root стали прихожить такие
>сообщения -
>Checking setuid files and devices:
>servername setuid diffs:
>65c65
>< 22921 -rwsrwxr-x  1 root  wheel    
> 6572 f 15:44:10 2002 /usr/bin/systemf
>---
>> 22920 -rwsrwxr-x  1 root  wheel      6572 f 15:44:10 2002 /usr/bin/systemf
>
>И вот такие -
>
>servername kernel log messages:
>> l: pid 36888 (smbd), uid 65534: exited on signal 6
>> pid 45373 (smbd), uid 65534: exited on signal 6
>> pid 45374 (smbd), uid 65534: exited on signal 6
>> pid 45375 (smbd), uid 65534: exited on signal 6
>и их штук 50.
>Заием следует такое сообщение -
>> file: table is full
>> file: table is full
>> file: table is full
>их тоже неменянно.
>
>Команды ps ax, grep или top не работают, вываливают такие ошибки -
>
>servername# ps ax
>Can't make pipe.
>Can't make pipe.
>/usr/libexec/ld-elf.so.1: Cannot open "/usr/lib/libgnuregex.so.2"
>/usr/libexec/ld-elf.so.1: Cannot open "/usr/lib/libgnuregex.so.2"
>/usr/libexec/ld-elf.so.1: Cannot open "/usr/lib/libgnuregex.so.2"
>
>Самба не поднимается, может и ещё что-то, я не знаю.
>
>Гуру, спасите!
>Что надо делать?

искать, если действительно похакали, ну и еще быть подписанным на
список security-рассылки FreeBSD, следить за security & bug-fixes и
реагировать на нужные баги.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Меня похакали?"
Сообщение от NiC emailИскать по авторуВ закладки on 06-Май-03, 11:01  (MSK)
>искать, если действительно похакали, ну и еще быть подписанным на
>список security-рассылки FreeBSD, следить за security & bug-fixes и
>реагировать на нужные баги.

Ээээ..
А починить-то как?

И где подписываться?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Меня похакали?"
Сообщение от lavr emailИскать по авторуВ закладки on 06-Май-03, 11:21  (MSK)
>>искать, если действительно похакали, ну и еще быть подписанным на
>>список security-рассылки FreeBSD, следить за security & bug-fixes и
>>реагировать на нужные баги.
>
>Ээээ..
>А починить-то как?

пациент: дохтур, у меня это...

доктор: что это?

ps. так понятно?
pps. Если не знаешь как искать - пересобери систему и поставь новую samba,
желательно не только ее и все это после анализа security & bug-fixes

>И где подписываться?

http://www.freebsd.org/security/ - там и последние патчи и web-interface
для подписки
или самостоятельно получить help:
echo "help" | mail majordomo@freebsd.org
получить список:
echo "lists" | mail majordomo@freebsd.org
или читать через web-interface:
http://docs.freebsd.org/mail/

  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Меня похакали?"
Сообщение от NiC emailИскать по авторуВ закладки on 06-Май-03, 11:29  (MSK)
Дохтур, я ж сказал :)
Получаю логи об ошибках, ps ax не работает, выкидывает ошибки, которые я уже описал. Как мне хотя бы заставить работать команды ps ax, top и grep?

Самбу пересобрал ещё вчера, все равно не работает.
Или я опять непонятно говорю? Что ещё дохтура интересует? :)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Меня похакали?"
Сообщение от lavr emailИскать по авторуВ закладки on 06-Май-03, 11:40  (MSK)
>Дохтур, я ж сказал :)
>Получаю логи об ошибках, ps ax не работает, выкидывает ошибки, которые я
>уже описал. Как мне хотя бы заставить работать команды ps ax,
>top и grep?
>
>Самбу пересобрал ещё вчера, все равно не работает.
>Или я опять непонятно говорю? Что ещё дохтура интересует? :)

ничего, не занимаюсь дистанционным обучением - не благодарное дело.

посмотри:

# df -k

на предмет свободного места в "/" - FS и "/usr" - FS

пересобери один лишь ps, вспомни что делал до этого с системой и тд и тп

http://unix1.jinr.ru/~lavr/secure-bulleten.html - почитай старенький бюллетень писаный для сети JINR.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Меня похакали?"
Сообщение от NiC emailИскать по авторуВ закладки on 06-Май-03, 11:52  (MSK)
Я знаю, что дистанционно обучать - себе дороже.
Спасибо хоть и на этом.

А места там ещё туева хуча.
И ничего я с машинкой не делал. :(
Стояла и пахала, как лошадка, а тут...

Спасибо за наводки, буду копать.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "Меня похакали?"
Сообщение от lavr emailИскать по авторуВ закладки on 06-Май-03, 12:16  (MSK)
>Я знаю, что дистанционно обучать - себе дороже.
>Спасибо хоть и на этом.
>
>А места там ещё туева хуча.
>И ничего я с машинкой не делал. :(

в том и оно что АБСОЛЮТНО НИЧЕГО: за security не следил, логи не смотрел,
mail-отчеты на root не смотрел и видимо syslog/newsyslog не настраивал
под себя.

>Стояла и пахала, как лошадка, а тут...
>
>Спасибо за наводки, буду копать.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Меня похакали?"
Сообщение от Mikhail Искать по авторуВ закладки on 06-Май-03, 11:03  (MSK)
Может, fd кончились?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Меня похакали?"
Сообщение от NiC emailИскать по авторуВ закладки on 06-Май-03, 11:22  (MSK)
>Может, fd кончились?

И как это проверить и исправить?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "Меня похакали?"
Сообщение от Nikolaev D. emailИскать по авторуВ закладки on 06-Май-03, 15:06  (MSK)
>>Может, fd кончились?
>
>И как это проверить и исправить?


а ps не работает - хакер злобный make install world сказал :)
Свмое разумное - поставить ОС с нуля, накатившись потом до STABLE и потом следить за security-fix

  Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "Меня похакали?"
Сообщение от Garry emailИскать по авторуВ закладки on 06-Май-03, 16:00  (MSK)
Не хакали тебя.

< 22921 -rwsrwxr-x  1 root  wheel      6572 f 15:44:10 2002 /usr/bin/systemf
Энто может появится 1 раз в отчете, например когда раздел не смонтировался или еще че нить типа того случилось...

> l: pid 36888 (smbd), uid 65534: exited on signal 6
> pid 45373 (smbd), uid 65534: exited on signal 6
> pid 45374 (smbd), uid 65534: exited on signal 6
> pid 45375 (smbd), uid 65534: exited on signal 6
и их штук 50.
Заием следует такое сообщение -
> file: table is full

Энто лечится в ядре maxusers побольше..

Команды ps ax, grep или top не работают, вываливают такие ошибки -
servername# ps ax
Can't make pipe.
Can't make pipe.
/usr/libexec/ld-elf.so.1: Cannot open "/usr/lib/libgnuregex.so.2"
/usr/libexec/ld-elf.so.1: Cannot open "/usr/lib/libgnuregex.so.2"
/usr/libexec/ld-elf.so.1: Cannot open "/usr/lib/libgnuregex.so.2

Энто тоже могет быть из-за того что файловые дескрипторы закончились, а может опять же раздел не смонтировался или диск сыпется...

  Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "Меня похакали?"
Сообщение от CAHTEXHUK Искать по авторуВ закладки on 20-Мрт-04, 17:42  (MSK)
>> l: pid 36888 (smbd), uid 65534: exited on signal 6
>> pid 45373 (smbd), uid 65534: exited on signal 6
>> pid 45374 (smbd), uid 65534: exited on signal 6
>> pid 45375 (smbd), uid 65534: exited on signal 6

   Собирать самбу с опциями для ГЦЦ: -O, а не -О2

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру