URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 29604
[ Назад ]

Исходное сообщение
"Меня похакали?"

Отправлено NiC , 06-Май-03 10:50 
Работал до недавнего времени сервер под FreeBSD 4.7
С недавнего времени, в ежедневных отчётах, посылаемых на root стали прихожить такие сообщения -
Checking setuid files and devices:
servername setuid diffs:
65c65
< 22921 -rwsrwxr-x  1 root  wheel      6572 f 15:44:10 2002 /usr/bin/systemf
---
> 22920 -rwsrwxr-x  1 root  wheel      6572 f 15:44:10 2002 /usr/bin/systemf

И вот такие -

servername kernel log messages:
> l: pid 36888 (smbd), uid 65534: exited on signal 6
> pid 45373 (smbd), uid 65534: exited on signal 6
> pid 45374 (smbd), uid 65534: exited on signal 6
> pid 45375 (smbd), uid 65534: exited on signal 6
и их штук 50.
Заием следует такое сообщение -
> file: table is full
> file: table is full
> file: table is full
их тоже неменянно.

Команды ps ax, grep или top не работают, вываливают такие ошибки -
servername# ps ax
Can't make pipe.
Can't make pipe.
/usr/libexec/ld-elf.so.1: Cannot open "/usr/lib/libgnuregex.so.2"
/usr/libexec/ld-elf.so.1: Cannot open "/usr/lib/libgnuregex.so.2"
/usr/libexec/ld-elf.so.1: Cannot open "/usr/lib/libgnuregex.so.2"

Самба не поднимается, может и ещё что-то, я не знаю.

Гуру, спасите!
Что надо делать?


Содержание

Сообщения в этом обсуждении
"Меня похакали?"
Отправлено lavr , 06-Май-03 10:55 
>Работал до недавнего времени сервер под FreeBSD 4.7
>С недавнего времени, в ежедневных отчётах, посылаемых на root стали прихожить такие
>сообщения -
>Checking setuid files and devices:
>servername setuid diffs:
>65c65
>< 22921 -rwsrwxr-x  1 root  wheel    
> 6572 f 15:44:10 2002 /usr/bin/systemf
>---
>> 22920 -rwsrwxr-x  1 root  wheel      6572 f 15:44:10 2002 /usr/bin/systemf
>
>И вот такие -
>
>servername kernel log messages:
>> l: pid 36888 (smbd), uid 65534: exited on signal 6
>> pid 45373 (smbd), uid 65534: exited on signal 6
>> pid 45374 (smbd), uid 65534: exited on signal 6
>> pid 45375 (smbd), uid 65534: exited on signal 6
>и их штук 50.
>Заием следует такое сообщение -
>> file: table is full
>> file: table is full
>> file: table is full
>их тоже неменянно.
>
>Команды ps ax, grep или top не работают, вываливают такие ошибки -
>
>servername# ps ax
>Can't make pipe.
>Can't make pipe.
>/usr/libexec/ld-elf.so.1: Cannot open "/usr/lib/libgnuregex.so.2"
>/usr/libexec/ld-elf.so.1: Cannot open "/usr/lib/libgnuregex.so.2"
>/usr/libexec/ld-elf.so.1: Cannot open "/usr/lib/libgnuregex.so.2"
>
>Самба не поднимается, может и ещё что-то, я не знаю.
>
>Гуру, спасите!
>Что надо делать?

искать, если действительно похакали, ну и еще быть подписанным на
список security-рассылки FreeBSD, следить за security & bug-fixes и
реагировать на нужные баги.


"Меня похакали?"
Отправлено NiC , 06-Май-03 11:01 
>искать, если действительно похакали, ну и еще быть подписанным на
>список security-рассылки FreeBSD, следить за security & bug-fixes и
>реагировать на нужные баги.

Ээээ..
А починить-то как?

И где подписываться?


"Меня похакали?"
Отправлено lavr , 06-Май-03 11:21 
>>искать, если действительно похакали, ну и еще быть подписанным на
>>список security-рассылки FreeBSD, следить за security & bug-fixes и
>>реагировать на нужные баги.
>
>Ээээ..
>А починить-то как?

пациент: дохтур, у меня это...

доктор: что это?

ps. так понятно?
pps. Если не знаешь как искать - пересобери систему и поставь новую samba,
желательно не только ее и все это после анализа security & bug-fixes

>И где подписываться?

http://www.freebsd.org/security/ - там и последние патчи и web-interface
для подписки
или самостоятельно получить help:
echo "help" | mail majordomo@freebsd.org
получить список:
echo "lists" | mail majordomo@freebsd.org
или читать через web-interface:
http://docs.freebsd.org/mail/


"Меня похакали?"
Отправлено NiC , 06-Май-03 11:29 
Дохтур, я ж сказал :)
Получаю логи об ошибках, ps ax не работает, выкидывает ошибки, которые я уже описал. Как мне хотя бы заставить работать команды ps ax, top и grep?

Самбу пересобрал ещё вчера, все равно не работает.
Или я опять непонятно говорю? Что ещё дохтура интересует? :)


"Меня похакали?"
Отправлено lavr , 06-Май-03 11:40 
>Дохтур, я ж сказал :)
>Получаю логи об ошибках, ps ax не работает, выкидывает ошибки, которые я
>уже описал. Как мне хотя бы заставить работать команды ps ax,
>top и grep?
>
>Самбу пересобрал ещё вчера, все равно не работает.
>Или я опять непонятно говорю? Что ещё дохтура интересует? :)

ничего, не занимаюсь дистанционным обучением - не благодарное дело.

посмотри:

# df -k

на предмет свободного места в "/" - FS и "/usr" - FS

пересобери один лишь ps, вспомни что делал до этого с системой и тд и тп

http://unix1.jinr.ru/~lavr/secure-bulleten.html - почитай старенький бюллетень писаный для сети JINR.


"Меня похакали?"
Отправлено NiC , 06-Май-03 11:52 
Я знаю, что дистанционно обучать - себе дороже.
Спасибо хоть и на этом.

А места там ещё туева хуча.
И ничего я с машинкой не делал. :(
Стояла и пахала, как лошадка, а тут...

Спасибо за наводки, буду копать.


"Меня похакали?"
Отправлено lavr , 06-Май-03 12:16 
>Я знаю, что дистанционно обучать - себе дороже.
>Спасибо хоть и на этом.
>
>А места там ещё туева хуча.
>И ничего я с машинкой не делал. :(

в том и оно что АБСОЛЮТНО НИЧЕГО: за security не следил, логи не смотрел,
mail-отчеты на root не смотрел и видимо syslog/newsyslog не настраивал
под себя.

>Стояла и пахала, как лошадка, а тут...
>
>Спасибо за наводки, буду копать.


"Меня похакали?"
Отправлено Mikhail , 06-Май-03 11:03 
Может, fd кончились?

"Меня похакали?"
Отправлено NiC , 06-Май-03 11:22 
>Может, fd кончились?

И как это проверить и исправить?


"Меня похакали?"
Отправлено Nikolaev D. , 06-Май-03 15:06 
>>Может, fd кончились?
>
>И как это проверить и исправить?


а ps не работает - хакер злобный make install world сказал :)
Свмое разумное - поставить ОС с нуля, накатившись потом до STABLE и потом следить за security-fix


"Меня похакали?"
Отправлено Garry , 06-Май-03 16:00 
Не хакали тебя.

< 22921 -rwsrwxr-x  1 root  wheel      6572 f 15:44:10 2002 /usr/bin/systemf
Энто может появится 1 раз в отчете, например когда раздел не смонтировался или еще че нить типа того случилось...

> l: pid 36888 (smbd), uid 65534: exited on signal 6
> pid 45373 (smbd), uid 65534: exited on signal 6
> pid 45374 (smbd), uid 65534: exited on signal 6
> pid 45375 (smbd), uid 65534: exited on signal 6
и их штук 50.
Заием следует такое сообщение -
> file: table is full

Энто лечится в ядре maxusers побольше..

Команды ps ax, grep или top не работают, вываливают такие ошибки -
servername# ps ax
Can't make pipe.
Can't make pipe.
/usr/libexec/ld-elf.so.1: Cannot open "/usr/lib/libgnuregex.so.2"
/usr/libexec/ld-elf.so.1: Cannot open "/usr/lib/libgnuregex.so.2"
/usr/libexec/ld-elf.so.1: Cannot open "/usr/lib/libgnuregex.so.2

Энто тоже могет быть из-за того что файловые дескрипторы закончились, а может опять же раздел не смонтировался или диск сыпется...


"Меня похакали?"
Отправлено CAHTEXHUK , 20-Мрт-04 17:42 
>> l: pid 36888 (smbd), uid 65534: exited on signal 6
>> pid 45373 (smbd), uid 65534: exited on signal 6
>> pid 45374 (smbd), uid 65534: exited on signal 6
>> pid 45375 (smbd), uid 65534: exited on signal 6

   Собирать самбу с опциями для ГЦЦ: -O, а не -О2