URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 29604
[ Назад ]

Исходное сообщение
"Меня похакали?"
Отправлено NiC , 06-Май-03 10:50

Работал до недавнего времени сервер под FreeBSD 4.7
С недавнего времени, в ежедневных отчётах, посылаемых на root стали прихожить такие сообщения -
Checking setuid files and devices:
servername setuid diffs:
65c65
< 22921 -rwsrwxr-x 1 root wheel 6572 f 15:44:10 2002 /usr/bin/systemf
---
> 22920 -rwsrwxr-x 1 root wheel 6572 f 15:44:10 2002 /usr/bin/systemf
И вот такие -
servername kernel log messages:
> l: pid 36888 (smbd), uid 65534: exited on signal 6
> pid 45373 (smbd), uid 65534: exited on signal 6
> pid 45374 (smbd), uid 65534: exited on signal 6
> pid 45375 (smbd), uid 65534: exited on signal 6
и их штук 50.
Заием следует такое сообщение -
> file: table is full
> file: table is full
> file: table is full
их тоже неменянно.
Команды ps ax, grep или top не работают, вываливают такие ошибки -
servername# ps ax
Can't make pipe.
Can't make pipe.
/usr/libexec/ld-elf.so.1: Cannot open "/usr/lib/libgnuregex.so.2"
/usr/libexec/ld-elf.so.1: Cannot open "/usr/lib/libgnuregex.so.2"
/usr/libexec/ld-elf.so.1: Cannot open "/usr/lib/libgnuregex.so.2"
Самба не поднимается, может и ещё что-то, я не знаю.
Гуру, спасите!
Что надо делать?

Содержание

Меня похакали?,lavr, 10:55 , 06-Май-03
- Меня похакали?,NiC, 11:01 , 06-Май-03
  - Меня похакали?,lavr, 11:21 , 06-Май-03
    - Меня похакали?,NiC, 11:29 , 06-Май-03
      - Меня похакали?,lavr, 11:40 , 06-Май-03
        
        Меня похакали?,NiC, 11:52 , 06-Май-03
        
        Меня похакали?,lavr, 12:16 , 06-Май-03
Меня похакали?,Mikhail, 11:03 , 06-Май-03
- Меня похакали?,NiC, 11:22 , 06-Май-03
  - Меня похакали?,Nikolaev D., 15:06 , 06-Май-03
    - Меня похакали?,Garry, 16:00 , 06-Май-03
      - Меня похакали?,CAHTEXHUK, 17:42 , 20-Мрт-04

Сообщения в этом обсуждении

"Меня похакали?"
Отправлено lavr , 06-Май-03 10:55

>Работал до недавнего времени сервер под FreeBSD 4.7
>С недавнего времени, в ежедневных отчётах, посылаемых на root стали прихожить такие
>сообщения -
>Checking setuid files and devices:
>servername setuid diffs:
>65c65
>< 22921 -rwsrwxr-x 1 root wheel
> 6572 f 15:44:10 2002 /usr/bin/systemf
>---
>> 22920 -rwsrwxr-x 1 root wheel 6572 f 15:44:10 2002 /usr/bin/systemf
>
>И вот такие -
>
>servername kernel log messages:
>> l: pid 36888 (smbd), uid 65534: exited on signal 6
>> pid 45373 (smbd), uid 65534: exited on signal 6
>> pid 45374 (smbd), uid 65534: exited on signal 6
>> pid 45375 (smbd), uid 65534: exited on signal 6
>и их штук 50.
>Заием следует такое сообщение -
>> file: table is full
>> file: table is full
>> file: table is full
>их тоже неменянно.
>
>Команды ps ax, grep или top не работают, вываливают такие ошибки -
>
>servername# ps ax
>Can't make pipe.
>Can't make pipe.
>/usr/libexec/ld-elf.so.1: Cannot open "/usr/lib/libgnuregex.so.2"
>/usr/libexec/ld-elf.so.1: Cannot open "/usr/lib/libgnuregex.so.2"
>/usr/libexec/ld-elf.so.1: Cannot open "/usr/lib/libgnuregex.so.2"
>
>Самба не поднимается, может и ещё что-то, я не знаю.
>
>Гуру, спасите!
>Что надо делать?
искать, если действительно похакали, ну и еще быть подписанным на
список security-рассылки FreeBSD, следить за security & bug-fixes и
реагировать на нужные баги.

"Меня похакали?"
Отправлено NiC , 06-Май-03 11:01

>искать, если действительно похакали, ну и еще быть подписанным на
>список security-рассылки FreeBSD, следить за security & bug-fixes и
>реагировать на нужные баги.
Ээээ..
А починить-то как?
И где подписываться?

"Меня похакали?"
Отправлено lavr , 06-Май-03 11:21

>>искать, если действительно похакали, ну и еще быть подписанным на
>>список security-рассылки FreeBSD, следить за security & bug-fixes и
>>реагировать на нужные баги.
>
>Ээээ..
>А починить-то как?
пациент: дохтур, у меня это...
доктор: что это?
ps. так понятно?
pps. Если не знаешь как искать - пересобери систему и поставь новую samba,
желательно не только ее и все это после анализа security & bug-fixes
>И где подписываться?
http://www.freebsd.org/security/ - там и последние патчи и web-interface
для подписки
или самостоятельно получить help:
echo "help" | mail majordomo@freebsd.org
получить список:
echo "lists" | mail majordomo@freebsd.org
или читать через web-interface:
http://docs.freebsd.org/mail/

"Меня похакали?"
Отправлено NiC , 06-Май-03 11:29

Дохтур, я ж сказал :)
Получаю логи об ошибках, ps ax не работает, выкидывает ошибки, которые я уже описал. Как мне хотя бы заставить работать команды ps ax, top и grep?
Самбу пересобрал ещё вчера, все равно не работает.
Или я опять непонятно говорю? Что ещё дохтура интересует? :)

"Меня похакали?"
Отправлено lavr , 06-Май-03 11:40

>Дохтур, я ж сказал :)
>Получаю логи об ошибках, ps ax не работает, выкидывает ошибки, которые я
>уже описал. Как мне хотя бы заставить работать команды ps ax,
>top и grep?
>
>Самбу пересобрал ещё вчера, все равно не работает.
>Или я опять непонятно говорю? Что ещё дохтура интересует? :)
ничего, не занимаюсь дистанционным обучением - не благодарное дело.
посмотри:
# df -k
на предмет свободного места в "/" - FS и "/usr" - FS
пересобери один лишь ps, вспомни что делал до этого с системой и тд и тп
http://unix1.jinr.ru/~lavr/secure-bulleten.html - почитай старенький бюллетень писаный для сети JINR.

"Меня похакали?"
Отправлено NiC , 06-Май-03 11:52

Я знаю, что дистанционно обучать - себе дороже.
Спасибо хоть и на этом.
А места там ещё туева хуча.
И ничего я с машинкой не делал. :(
Стояла и пахала, как лошадка, а тут...
Спасибо за наводки, буду копать.

"Меня похакали?"
Отправлено lavr , 06-Май-03 12:16

>Я знаю, что дистанционно обучать - себе дороже.
>Спасибо хоть и на этом.
>
>А места там ещё туева хуча.
>И ничего я с машинкой не делал. :(
в том и оно что АБСОЛЮТНО НИЧЕГО: за security не следил, логи не смотрел,
mail-отчеты на root не смотрел и видимо syslog/newsyslog не настраивал
под себя.
>Стояла и пахала, как лошадка, а тут...
>
>Спасибо за наводки, буду копать.

"Меня похакали?"
Отправлено Mikhail , 06-Май-03 11:03

Может, fd кончились?

"Меня похакали?"
Отправлено NiC , 06-Май-03 11:22

>Может, fd кончились?
И как это проверить и исправить?

"Меня похакали?"
Отправлено Nikolaev D. , 06-Май-03 15:06

>>Может, fd кончились?
>
>И как это проверить и исправить?

а ps не работает - хакер злобный make install world сказал :)
Свмое разумное - поставить ОС с нуля, накатившись потом до STABLE и потом следить за security-fix

"Меня похакали?"
Отправлено Garry , 06-Май-03 16:00

Не хакали тебя.
< 22921 -rwsrwxr-x 1 root wheel 6572 f 15:44:10 2002 /usr/bin/systemf
Энто может появится 1 раз в отчете, например когда раздел не смонтировался или еще че нить типа того случилось...
> l: pid 36888 (smbd), uid 65534: exited on signal 6
> pid 45373 (smbd), uid 65534: exited on signal 6
> pid 45374 (smbd), uid 65534: exited on signal 6
> pid 45375 (smbd), uid 65534: exited on signal 6
и их штук 50.
Заием следует такое сообщение -
> file: table is full
Энто лечится в ядре maxusers побольше..
Команды ps ax, grep или top не работают, вываливают такие ошибки -
servername# ps ax
Can't make pipe.
Can't make pipe.
/usr/libexec/ld-elf.so.1: Cannot open "/usr/lib/libgnuregex.so.2"
/usr/libexec/ld-elf.so.1: Cannot open "/usr/lib/libgnuregex.so.2"
/usr/libexec/ld-elf.so.1: Cannot open "/usr/lib/libgnuregex.so.2
Энто тоже могет быть из-за того что файловые дескрипторы закончились, а может опять же раздел не смонтировался или диск сыпется...

"Меня похакали?"
Отправлено CAHTEXHUK , 20-Мрт-04 17:42

>> l: pid 36888 (smbd), uid 65534: exited on signal 6
>> pid 45373 (smbd), uid 65534: exited on signal 6
>> pid 45374 (smbd), uid 65534: exited on signal 6
>> pid 45375 (smbd), uid 65534: exited on signal 6
Собирать самбу с опциями для ГЦЦ: -O, а не -О2