|
server seltsam instabil
hallo,
ich betreibe meinen alten pc als chello-router, der experimentierhalber auch als ftp- und webserver mit mysql läuft. einige tage läuft alles stabil, doch dann treten seltsame phänomene auf. z.b. funktioniert einfach die chello-netzwerkkarte nicht mehr (nicht lediglich der dhcp-client) - diese ist mangels anderer kenntnisse meinerseits erst durch neukonfiguration mit yast2 wieder zum leben zu erwecken. besonders ungut wenn man übers wochenende weg ist - dann ist fernwartung unmöglich. oder: apache konnte sich zuerst nur nicht an mysql connecten, dann ging ssh nicht mehr (beendet sofort verbindung), und dann auch die webservices nicht mehr (pings kommen allerdings noch an). habe ich käse zusammenkonfiguriert, oder sind dies ergebnisse eines angriffs? wie kann ich dafür sorgen, daß sich die dienste selbst kontrollieren und bei bedarf neu starten, ohne jede nacht vorsorglich einen reboot als cron job durchzuführen? bin leider neuling. |
1, Ist die Karte wirklich weg? Was sagt "ifconfig"?
2, Suse welche Version 3, Irgendwo eine Firewall in Betrieb (davor) 4,Was sagen die Logfiles? 5, Nein kein Angriff, trau ich mich mal behaupten :) Sloter |
laut gedächtnis war die karte im ifconfig noch da, aber "rcdhclient start" lieferte statt dem erfolgreichen failed (wegen der infinite lease time) ein done. "rcdhclient status" war dann allerdings unused. erst nach neukonfig der karte konnte der dhcp-client gestartet werden. dies ist schon mind. 2mal aufgetreten.
SuSE 7.3 SuSEfirewall2 logfiles? beim ersten beispiel keine besonderen vorkommnisse, beim zweiten kann ich erst morgen nachsehen :) kein angriff? gut, also käse konfiguriert. :) |
DHCP: Vielleicht hatte Chello Probleme.
Den Rest würde ich auf die Firewall schieben, was sagen da die Logs. Blockt er SSH und/oder MySql. Chello macht auch scharf gegen Server, vielleicht blocken die ab? Hast du irgendwelche selbstgeschnitzte Scripten laufen (PHP,Perl)? Sloter |
bei chello isses am besten die ip fix einzutragen, dann gehts immer wenn chello auch geht :D
|
/var/log/messages: zwei tage lang wurde nichts geloggt, erst wieder nach dem reboot. sshd beschwerte sich zuvor über fehlende identifikationen.
/var/log/httpd/access_log: die anfragen, die nicht mehr beantwortet wurden, wurden eine zeitlang als normale aufrufe vermerkt. dann ist eine lücke von 2 tagen. klingt verdächtig nach einer entführung durch außerirdische... |
SCHEISSE!
schon wieder dasselbe!
plötzlich geht die ssh-connection nicht mehr, alle dienste versagen. reboot. danach finde ich folgendes in /var/log/messages (sogar mit tail -f beobachtbar, meine ip hier getarnt): Feb 12 19:02:22 meinserver kernel: martian source 212.XXX.XXX.XX from 64.12.26.65, on dev eth0 Feb 12 19:02:22 meinserver kernel: ll header: 00:50:04:ef:6c:1d:00:05:5f:57:98:3c:08:00 Feb 12 19:02:36 meinserver kernel: martian source 212.XXX.XXX.XX from 64.12.26.59, on dev eth0 Feb 12 19:02:36 meinserver kernel: ll header: 00:50:04:ef:6c:1d:00:05:5f:57:98:3c:08:00 usw. usw. was zum henker ist das?? |
1. DHCP ausschalten
2. das Modem macht hin und wieder Probleme (laut Chello Meßtechniker) (LANCity wie auch Motorola) 3. die Verkabelung dämpft zu stark 4. Chello Sniffer wegen Heimnetzwerk 5. Chello Ausfälle insbesondere bei Modem, Kabel, Netzwerkproblemen wie auch bei Verteilern außerhalb der Wohnung Welche Netzwerkkarte benutzt Du ? |
schau mir ins profil, kleiner...
WOBEI: nur weil chello nicht geht, krepiert gleich der ganze server und erlaubt auch keine verbindungen mehr von innen? äußerst unwahrscheinlich! mich würde trotzdem interessieren, was obnegenannte messages zu bedeuten haben. |
-----------schipp------------
Uebersetzung von Hexadezimal in Dezimal mit Umdrehen der Byte-Reihenfolge ergibt: Hier wurde ein IP-Paket mit Absenderadresse 192.160.117.9 und Empfaengeradresse 192.168.117.2 empfangen, und zwar auf einem Interface (z.B. eth0, sollte auch in der Meldung erwaehnt sein), auf dem keine Pakete aus dem Netz 192.160.117.0 erwartet werden. Da ist wahrscheinlich ein Rechner (.9) falsch konfiguriert und sollte statt 160 eine 168 in seiner IP-Adresse haben. -------------------schnapp---------- Firewall ist falsch konfiguriert oder ein Client im Netz. "martian" bezeichnet hier einfach nur eine "fremde" Adresse, die dort nicht hingehoert. Hm, Logausfälle...........ich glaub ich muß mein Posting zurückziehen, mit dem fremden Zugriff...... Dosattacke und dann hört die Firewall zum loggen auf, und unter Umständen kann man einen Server damit abschießen... Sloter |
| Alle Zeitangaben in WEZ +2. Es ist jetzt 04:03 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag