Co Sie Stało W Systemie ?

[pit_]

Witam

Na wstepie chciałem zaznaczyc, ze jestem dość zielony w temacie. Odziedziczyłem serwer z systemem i powoli ucze sie go obsługiwac.

Dzis rano zaskoczyła mnie ogromna ilość maili (przychodziły co 1 minute) od tego serwera o tresci:

 

Nadawca: Cron <root@linux>

Temat: chown root:root /var/tmp/r00t && chmod 4755 /var/tmp/r00t && rm -rf /etc/cron.d/core && kill -USR1 538

Treść:

 

- 4 pierwsze wiadomosci: /bin/sh: line 0: kill: (538) - No such process

 

- 4 nastepne: /bin/sh: line 1: 7942 Segmentation fault chmod 4755 /var/tmp/r00t

 

- pozostałe: chown: cannot access `/var/tmp/r00t': No such file or directory

 

Wyrzuciłem to z crona i przestały przychodzic, ale skad to sie wzięło i co dokładnie znaczy to za bardzo nie wiem

 

Chciałem wejsć na konsiole przez putty,ale ssh tez przesało działac. Przez webmina zatrzymałem sshd, ale juz nie mogłem go uruchomić. Pokazywał sie komunikat:

 

Nie udało się uruchomić serwera SSH :

 

Uruchamianie sshd: /etc/ssh/sshd_config: line 74: Bad configuration option: GSSAPIAuthentication

/etc/ssh/sshd_config: line 76: Bad configuration option: GSSAPICleanupCredentials

/etc/ssh/sshd_config: line 87: Bad configuration option: UsePAM

/etc/ssh/sshd_config: terminating, 3 bad configuration options

[ZAWI�D�]

 

Zaremowałem te 3 linie i teraz działa.

 

 

Jeszcze jedno. Taki komunikat podczas próby backupu bazy danych:

 

8537 Naruszenie ochrony pamięci tar -cjf $OUT /mnt/dane/backup/mysql/oferty.sql >/dev/null

 

 

Gdzie i jak mam szukac przyczyn takiego zachowania serwera ??

Prosze o jakies podpowiedzi

 

Pzdr, Piotr

[@WalDo]

Nadawca: Cron <root@linux>

Temat: chown root:root /var/tmp/r00t && chmod 4755 /var/tmp/r00t && rm -rf /etc/cron.d/core && kill -USR1 538

Dziwny ten "r00t" z zerami w nazwie. Czy to nie jakiś rootkit Ci chodzi w systemie? Na wszelki wypadek i na dobry początek to użyłbym chkrootkit (jest w repo) i rkhunter (niestety trzeba samemu przekompilować http://www.rootkit.nl/)

 

[piotreek23]

http://rpm.pbone.net/index.php3?stat=26&am....fc5.noarch.rpm

Nie trzeba są paczki dla fc5

[pit_]

Dziwny ten "r00t" z zerami w nazwie. Czy to nie jakiś rootkit Ci chodzi w systemie? Na wszelki wypadek i na dobry początek to użyłbym chkrootkit (jest w repo) i rkhunter (niestety trzeba samemu przekompilować http://www.rootkit.nl/)

 

RKHUNTER proba rozpakowania:

 

[root@linux ~]# tar zxf rkhunter-2.9.tar.gz

Naruszenie ochrony pamięci

 

Poradziłem sobie. Zainstalowałem. Proba uruchomienia:

 

[root@linux bin]# rkhunter

-bash: rkhunter: command not found

 

 

CHROOTKIT proba zainstalowania:

 

[root@linux /]# yum install chkrootkit

Setting up Install Process

Setting up repositories

http://dl.atrpms.net/fc4-i386/atrpms/stabl...ata/repomd.xml: [Errno 4] IOError: HTTP Error 404: Date: Mon, 16 Apr 2007 13:58:09 GMT

Server: Apache/2.2.3 (Fedora)

Content-Length: 318

Content-Type: text/html; charset=iso-8859-1

Trying other mirror.

Cannot open/read repomd.xml file for repository: atrpms

failure: repodata/repomd.xml from atrpms: [Errno 256] No more mirrors to try.

Error: failure: repodata/repomd.xml from atrpms: [Errno 256] No more mirrors to try.

 

 

Co teraz ?

[@WalDo]

Co teraz ?

Wyłączyć repo atrpms. Poczytaj nt.yuma, konfliktów i kaszanki jaką można zrobić z systemu przy włączonych "gryzących" się ze sobą repo (m.in. atrpms z livna i inne). Wg mnie to najlepiej by było przeinstalować system, bo w sumie nie wiesz co za syf tam siedzi, a badanie sprawy zajmie więcej czasu (z reguły tak bywa) niż postawienie serwera od nowa. Chyba, z echcesz się czegoś nauczyć, ale w końcu i tak dojdziesz do wniosku, że lepiej odpalić od nowa

Tak na szybko /etc/yum.repos.d plik o rozszerzeniu .repo, prawdopodobnie z atrpms w nazwie. Wchodzisz w edycję i wszędzie gdzie znajdziesz linijkę enabled=1 zmieniasz na enabled=0. I próbuj jeszcze raz yum install ....