WCM Forum - LINUX Samba mysteriöses Problem

WCM Forum (http://www.wcm.at/forum/index.php)

- Linux, UNIX, Open Source (http://www.wcm.at/forum/forumdisplay.php?f=13)

- - LINUX Samba mysteriöses Problem (http://www.wcm.at/forum/showthread.php?t=132449)

LINUX Samba mysteriöses Problem

Ich habe seit knapp 2 Jahren einen Server mit LINUX und Samba als PDC und Win2000 als Client ohne Probleme laufen. Seit einer Woche spinnt das Ding jetzt aber obwohl werder an der HW noch an der SW etwas verändert wurde. Die Kiste startet ohne Probleme und alles funktioniert. Doch irgendwann fängt er zu spinnen an. Die Windowsrechner sind am PDC angemeldet und arbeiten mit den Fileshares vom Server. Plötzlich gehen dann Dateien verloren (gehen nicht wirklich verloren sondern bekommen einen komischen Dateinamen z.B: fjhz78kj oder so ähnlich). Man kann dann zwar eine neue Datei oder ein neues Verzeichnis anlegen, es aber nicht mehr umbenennen. Drucken funktioniert dann auch nicht mehr. Die Drucke werden zwar angenommen (die Printqueues sind leer) aber es kommt nichts mehr am Drucker raus. Ein Restart von Samba nutzt nichts, nur ein Restart vom Server hilft. Danach geht wieder alles normal (eine Zeit lang). Es gibt aber keine Indikationen dazu. Es wird nichts auf die Konsole geschrieben, kein Eintrag weder in den Sambalogs noch in /var/log/messages. Zusätzlich bleibt er in diesem Zustand beim Runterfahren hängen. Als letzte Zeile steht "sending all processes the KILL command" (oder so ähnlich) und dann bewegt sich nichts mehr. Da ist dann auch die Tastatur tot.
Hat irgendwer auch schon mal sowas gehabt oder hat wer noch eine Idee dazu?

Hast schon einmal ein upgedatetes Virenprogramm drüberlaufen lassen?

Auf den Win-Clients läuft regelmässig Norton Antivirus und hat auch keine Viren angezeigt.

Hi!

Also ich würde aufgrund der Beschreibung ebenfalls darauf tippen das Du dir einen Virus (der sich gekonnt vor dem AntiVirus versteckt) oder Trojaner eingefangen hast.

Nach dem Du schreibst das die Dateien am Server-Share einen komischen Dateinamen ("z.B: fjhz78kj oder so ähnlich") bekommen würde ich Dir vorschlagen einen Virenscanner für LINUX runterzuladen und damit mal die Verzeichnisse der Windows-Shares zu prüfen.

Auch wäre es kein Fehler wenn Du den AntiVirus auf Deinem Linux-Server im Hintergrund live mitlaufen läßt; sodaß er die Schreib-/Lesevorgänge in den Windows-Shares on-the-fly mitprüft.

Da gäbe es:

H+B EDV AntiVir Personal für Linux
http://www.hbedv.de/
Nach der Installation des Scanner kannst Du Dir eine Kostenlose 1-Jahres Lizenz von der Herstellerseite holen wenn Du den Server nur für Private zwecke verwendest

Open AntiVirus
http://www.openantivirus.org/
Freier Virenscanner

Alternativ prüf' mal wie's um die Festplatte(n) bestellt ist. Von Rescue System (Boot CD der Distribution) hochfahren und mal einen intensiven fsck.<filesystem> /dev/hdX über das Datenlaufwerk fahren um auszuschließen das es sich um ein inkonsistentes FS oder sterbende Festplatte handelt.

Viel Erfolg bei der Suche.

Ich hab mir den AntiVir runtergeladen und mal durchlaufen lassen. Es wurde nichts gefunden. Im Server hab ich einen RAID5 Kontroller eingebaut. Also Plattenfehler sollte da keiner sein (der Kontroller sagt zumindest nichts) und wenn dem aber doch so wäre, dann sollte das RAID5 Array den Plattenfehler beheben.

Nachdem Du Dir das AntiVir besorgt hast würde ich nun das Startup-Skript, welches sich in dem Installationspaket befunden haben sollte, in den passenden Initlevel einbinden - ggf. an die Distribution anpassen - damit es im Hintergrund die Shares "im Auge" behält. Sollte wirklich ein Virus auf den Windows-Maschinen herumspucken, dann wird es Dir AntiVir mitteilen wenn etwas Verdächtiges abgefangen wurde das von den Clients zuvor darauf geschrieben wurde.

Andere Frage: Verwendest Du auf Deinem RAID5 ein Journalled Filesystem (ext3, reiserfs, jfs, xfs) oder ein normales ext2? Im letzteren Falle würde ich ein fsck auf dem RAID-Volume empfehlen - vorher unbedingt Read-Only remounten! Dein RAID-Controller kümmert sich nicht um die Konsistenz des Dateisystem!

Das / Filesystem ist ext2 alle weitern Filesysteme sind jfs.

Ich habe alle Filesysteme gecheckt -> alles OK.
Mittlerweile habe ich schon mit 3 Virenscanner den PC gecheckt. Alle 3 haben nichts gefunden. Angeschlagen hat auch keiner bei den Sambazugriffen (hab die natürlich nicht nebeneinander laufen gelassen). Jetzt habe das ganze RAID5 Array schon ausgebaut und in einen anderen PC gesteckt um einen ev. HW-Fehler zu entdecken.
Alle Aktionen haben nichts genützt, das Problem tritt ca. alle 2-4 Stunden immer wieder auf. Und in den Logs ist einfach nichts zu finden. Schön langsam fange ich an an Geister zu glauben.

Hi!

Ganz schön produktiv gewesen ... respekt!

Nachdem Dich die "Geister" auch auf einer anderen Hardwareplatform verfolgen - nachdem Du zuvor schon sehr effizient ausgeschlossen hast das es sich dabei um Viren/Trojaner handeln könnte - würde ich alternativ noch in Betracht ziehen das es sich dabei evtl. um Temp-Files handeln könnte (z.B. Office, ...).

Versuch mal, wenn die "suspekten" Dateien auftreten, mittels lslk (so installiert) festzustellen welche(r) Prozess(e) darauf zugreifen.

Was mich dabei so wahnsinnig macht, ist das ich so überhaupt keine Informationen habe nach was ich eigentlich suche, dass in den Logs so überhaupt nichts steht. Einzig den Debuglevel vom Samba könnte ich noch erhöhen, aber dann werde ich sicher von der Menge an Messages erschlagen. Ich habe jetzt mal etwas sauber gemacht und aber vieles Unnötige gelöscht (Files aus /tmp, File aus den Windows Temp-Verzeichnissen, kompletter squid cache).