server seltsam instabil

paux · 11.02.2002, 21:30

hallo,

ich betreibe meinen alten pc als chello-router, der experimentierhalber auch als ftp- und webserver mit mysql läuft. einige tage läuft alles stabil, doch dann treten seltsame phänomene auf. z.b. funktioniert einfach die chello-netzwerkkarte nicht mehr (nicht lediglich der dhcp-client) - diese ist mangels anderer kenntnisse meinerseits erst durch neukonfiguration mit yast2 wieder zum leben zu erwecken. besonders ungut wenn man übers wochenende weg ist - dann ist fernwartung unmöglich. oder: apache konnte sich zuerst nur nicht an mysql connecten, dann ging ssh nicht mehr (beendet sofort verbindung), und dann auch die webservices nicht mehr (pings kommen allerdings noch an).

habe ich käse zusammenkonfiguriert, oder sind dies ergebnisse eines angriffs? wie kann ich dafür sorgen, daß sich die dienste selbst kontrollieren und bei bedarf neu starten, ohne jede nacht vorsorglich einen reboot als cron job durchzuführen? bin leider neuling.

Sloter · 12.02.2002, 00:47

1, Ist die Karte wirklich weg? Was sagt "ifconfig"?
2, Suse welche Version
3, Irgendwo eine Firewall in Betrieb (davor)
4,Was sagen die Logfiles?
5, Nein kein Angriff, trau ich mich mal behaupten

Sloter

paux · 12.02.2002, 01:12

laut gedächtnis war die karte im ifconfig noch da, aber "rcdhclient start" lieferte statt dem erfolgreichen failed (wegen der infinite lease time) ein done. "rcdhclient status" war dann allerdings unused. erst nach neukonfig der karte konnte der dhcp-client gestartet werden. dies ist schon mind. 2mal aufgetreten.
SuSE 7.3
SuSEfirewall2
logfiles? beim ersten beispiel keine besonderen vorkommnisse, beim zweiten kann ich erst morgen nachsehen

kein angriff? gut, also käse konfiguriert.

Sloter · 12.02.2002, 01:23

DHCP: Vielleicht hatte Chello Probleme.

Den Rest würde ich auf die Firewall schieben, was sagen da die Logs.
Blockt er SSH und/oder MySql.
Chello macht auch scharf gegen Server, vielleicht blocken die ab?

Hast du irgendwelche selbstgeschnitzte Scripten laufen (PHP,Perl)?

Sloter

valo · 12.02.2002, 10:18

bei chello isses am besten die ip fix einzutragen, dann gehts immer wenn chello auch geht

paux · 12.02.2002, 17:53

/var/log/messages: zwei tage lang wurde nichts geloggt, erst wieder nach dem reboot. sshd beschwerte sich zuvor über fehlende identifikationen.
/var/log/httpd/access_log: die anfragen, die nicht mehr beantwortet wurden, wurden eine zeitlang als normale aufrufe vermerkt. dann ist eine lücke von 2 tagen.

klingt verdächtig nach einer entführung durch außerirdische...

paux · 12.02.2002, 20:24

schon wieder dasselbe!
plötzlich geht die ssh-connection nicht mehr, alle dienste versagen. reboot. danach finde ich folgendes in /var/log/messages (sogar mit tail -f beobachtbar, meine ip hier getarnt):

Feb 12 19:02:22 meinserver kernel: martian source 212.XXX.XXX.XX from 64.12.26.65, on dev eth0
Feb 12 19:02:22 meinserver kernel: ll header: 00:50:04:ef:6c:1d:00:05:5f:57:98:3c:08:00
Feb 12 19:02:36 meinserver kernel: martian source 212.XXX.XXX.XX from 64.12.26.59, on dev eth0
Feb 12 19:02:36 meinserver kernel: ll header: 00:50:04:ef:6c:1d:00:05:5f:57:98:3c:08:00

usw. usw. was zum henker ist das??

kikakater · 12.02.2002, 20:34

1. DHCP ausschalten
2. das Modem macht hin und wieder Probleme (laut Chello Meßtechniker) (LANCity wie auch Motorola)
3. die Verkabelung dämpft zu stark
4. Chello Sniffer wegen Heimnetzwerk
5. Chello Ausfälle insbesondere bei Modem, Kabel, Netzwerkproblemen wie auch bei Verteilern außerhalb der Wohnung

Welche Netzwerkkarte benutzt Du ?

paux · 12.02.2002, 22:53

schau mir ins profil, kleiner...

WOBEI: nur weil chello nicht geht, krepiert gleich der ganze server und erlaubt auch keine verbindungen mehr von innen? äußerst unwahrscheinlich!

mich würde trotzdem interessieren, was obnegenannte messages zu bedeuten haben.

Sloter · 13.02.2002, 15:14

-----------schipp------------
Uebersetzung von Hexadezimal in Dezimal mit Umdrehen der
Byte-Reihenfolge ergibt:
Hier wurde ein IP-Paket mit Absenderadresse 192.160.117.9 und
Empfaengeradresse 192.168.117.2 empfangen, und zwar auf einem
Interface (z.B. eth0, sollte auch in der Meldung erwaehnt sein), auf
dem keine Pakete aus dem Netz 192.160.117.0 erwartet werden. Da ist
wahrscheinlich ein Rechner (.9) falsch konfiguriert und sollte statt
160 eine 168 in seiner IP-Adresse haben.
-------------------schnapp----------

Firewall ist falsch konfiguriert oder ein Client im Netz.

"martian" bezeichnet hier einfach nur
eine "fremde" Adresse, die dort nicht hingehoert.

Hm, Logausfälle...........ich glaub ich muß mein Posting zurückziehen, mit dem fremden Zugriff......
Dosattacke und dann hört die Firewall zum loggen auf, und unter Umständen kann man einen Server damit abschießen...

Sloter

11.02.2002, 21:30	#1
paux Veteran Registriert seit: 25.09.2001 Beiträge: 386	server seltsam instabil hallo, ich betreibe meinen alten pc als chello-router, der experimentierhalber auch als ftp- und webserver mit mysql läuft. einige tage läuft alles stabil, doch dann treten seltsame phänomene auf. z.b. funktioniert einfach die chello-netzwerkkarte nicht mehr (nicht lediglich der dhcp-client) - diese ist mangels anderer kenntnisse meinerseits erst durch neukonfiguration mit yast2 wieder zum leben zu erwecken. besonders ungut wenn man übers wochenende weg ist - dann ist fernwartung unmöglich. oder: apache konnte sich zuerst nur nicht an mysql connecten, dann ging ssh nicht mehr (beendet sofort verbindung), und dann auch die webservices nicht mehr (pings kommen allerdings noch an). habe ich käse zusammenkonfiguriert, oder sind dies ergebnisse eines angriffs? wie kann ich dafür sorgen, daß sich die dienste selbst kontrollieren und bei bedarf neu starten, ohne jede nacht vorsorglich einen reboot als cron job durchzuführen? bin leider neuling. ____________________________________ SpamAssassin - The only pne\|s en\|@rgement p\|II that really works!

12.02.2002, 01:12	#3
paux Veteran Registriert seit: 25.09.2001 Beiträge: 386	laut gedächtnis war die karte im ifconfig noch da, aber "rcdhclient start" lieferte statt dem erfolgreichen failed (wegen der infinite lease time) ein done. "rcdhclient status" war dann allerdings unused. erst nach neukonfig der karte konnte der dhcp-client gestartet werden. dies ist schon mind. 2mal aufgetreten. SuSE 7.3 SuSEfirewall2 logfiles? beim ersten beispiel keine besonderen vorkommnisse, beim zweiten kann ich erst morgen nachsehen kein angriff? gut, also käse konfiguriert. ____________________________________ SpamAssassin - The only pne\|s en\|@rgement p\|II that really works!

12.02.2002, 10:18	#5
valo Inventar Registriert seit: 15.11.2000 Alter: 43 Beiträge: 7.684	bei chello isses am besten die ip fix einzutragen, dann gehts immer wenn chello auch geht ____________________________________ Yeah, yo mama dresses you funny and you need a mouse to delete files. Jabber-ID: valo [at] cargal \'.\' org Infected Mushroom and Barri Saharof - Live in Eilat Desert Israel 24-10-2002 ASY*S - SSL-Pickup 21-10-2002 Dj Tiesto - Forbidden Paradise 8/Mystic Swamp

12.02.2002, 17:53	#6
paux Veteran Registriert seit: 25.09.2001 Beiträge: 386	/var/log/messages: zwei tage lang wurde nichts geloggt, erst wieder nach dem reboot. sshd beschwerte sich zuvor über fehlende identifikationen. /var/log/httpd/access_log: die anfragen, die nicht mehr beantwortet wurden, wurden eine zeitlang als normale aufrufe vermerkt. dann ist eine lücke von 2 tagen. klingt verdächtig nach einer entführung durch außerirdische... ____________________________________ SpamAssassin - The only pne\|s en\|@rgement p\|II that really works!

12.02.2002, 20:24	#7
paux Veteran Registriert seit: 25.09.2001 Beiträge: 386	SCHEISSE! schon wieder dasselbe! plötzlich geht die ssh-connection nicht mehr, alle dienste versagen. reboot. danach finde ich folgendes in /var/log/messages (sogar mit tail -f beobachtbar, meine ip hier getarnt): Feb 12 19:02:22 meinserver kernel: martian source 212.XXX.XXX.XX from 64.12.26.65, on dev eth0 Feb 12 19:02:22 meinserver kernel: ll header: 00:50:04:ef:6c:1d:00:05:5f:57:98:3c:08:00 Feb 12 19:02:36 meinserver kernel: martian source 212.XXX.XXX.XX from 64.12.26.59, on dev eth0 Feb 12 19:02:36 meinserver kernel: ll header: 00:50:04:ef:6c:1d:00:05:5f:57:98:3c:08:00 usw. usw. was zum henker ist das?? ____________________________________ SpamAssassin - The only pne\|s en\|@rgement p\|II that really works!

12.02.2002, 00:47	#2
Sloter Inventar Registriert seit: 05.01.2000 Beiträge: 3.812	1, Ist die Karte wirklich weg? Was sagt "ifconfig"? 2, Suse welche Version 3, Irgendwo eine Firewall in Betrieb (davor) 4,Was sagen die Logfiles? 5, Nein kein Angriff, trau ich mich mal behaupten Sloter

12.02.2002, 01:23	#4
Sloter Inventar Registriert seit: 05.01.2000 Beiträge: 3.812	DHCP: Vielleicht hatte Chello Probleme. Den Rest würde ich auf die Firewall schieben, was sagen da die Logs. Blockt er SSH und/oder MySql. Chello macht auch scharf gegen Server, vielleicht blocken die ab? Hast du irgendwelche selbstgeschnitzte Scripten laufen (PHP,Perl)? Sloter

12.02.2002, 20:34	#8
kikakater Inventar Registriert seit: 24.01.2001 Beiträge: 5.631	1. DHCP ausschalten 2. das Modem macht hin und wieder Probleme (laut Chello Meßtechniker) (LANCity wie auch Motorola) 3. die Verkabelung dämpft zu stark 4. Chello Sniffer wegen Heimnetzwerk 5. Chello Ausfälle insbesondere bei Modem, Kabel, Netzwerkproblemen wie auch bei Verteilern außerhalb der Wohnung Welche Netzwerkkarte benutzt Du ?

12.02.2002, 22:53	#9
paux Veteran Registriert seit: 25.09.2001 Beiträge: 386	schau mir ins profil, kleiner... WOBEI: nur weil chello nicht geht, krepiert gleich der ganze server und erlaubt auch keine verbindungen mehr von innen? äußerst unwahrscheinlich! mich würde trotzdem interessieren, was obnegenannte messages zu bedeuten haben. ____________________________________ SpamAssassin - The only pne\|s en\|@rgement p\|II that really works!

13.02.2002, 15:14	#10
Sloter Inventar Registriert seit: 05.01.2000 Beiträge: 3.812	-----------schipp------------ Uebersetzung von Hexadezimal in Dezimal mit Umdrehen der Byte-Reihenfolge ergibt: Hier wurde ein IP-Paket mit Absenderadresse 192.160.117.9 und Empfaengeradresse 192.168.117.2 empfangen, und zwar auf einem Interface (z.B. eth0, sollte auch in der Meldung erwaehnt sein), auf dem keine Pakete aus dem Netz 192.160.117.0 erwartet werden. Da ist wahrscheinlich ein Rechner (.9) falsch konfiguriert und sollte statt 160 eine 168 in seiner IP-Adresse haben. -------------------schnapp---------- Firewall ist falsch konfiguriert oder ein Client im Netz. "martian" bezeichnet hier einfach nur eine "fremde" Adresse, die dort nicht hingehoert. Hm, Logausfälle...........ich glaub ich muß mein Posting zurückziehen, mit dem fremden Zugriff...... Dosattacke und dann hört die Firewall zum loggen auf, und unter Umständen kann man einen Server damit abschießen... Sloter

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)