dieter-peter
28.10.03, 11:13
Hallo,
in der Liste habe ich schon einmal gepostet - jetzt weiß ich mehr:
Ich betreue an unserer Schule seit Jahren das Schulverwaltungsnetz und das
Schulnetz, außerdem bei mir privat zuhause ein Netz und neuerdings ein weiteres, das bis jetzt allerdings noch nicht auffällig wurde.
Seit Anfang August bin ich überall auf die Version 7.3 umgestiegen, sendmail und fetchmail sind zwar aufgespielt, aber im Augenblick nicht eingerichtet.
Bei allen Netzen fiel hin und wieder Samba aus. Nach einem Neustart wurde kein Fehler sichtbar, es klappte wieder.
Bei allen Netzen kam es zu Abstürzen. Meistens konnte sich root nach dem Neustart nicht mehr anmelden, das Passwort wurde als fehlerhaft gemeldet. Eine Neuinstallation war unvermeidlich. Die Programmdaten und die Homeverzeichnisse, jeweils auf einer anderen Platte gelegen, waren aber noch vorhanden.
Letzten Monat kam es in zwei der drei Netzen wieder zu Totalausfällen. Beim Versuch einer Anmeldung des root wurde noch der loginname abgefragt, dann blieben die Server jeweils hängen. Nach dem Auftrennen der Stromnetzverbindung liefen sie wieder hoch, meldeten irgendeine fehlende Initialisierung und das war's. Sämtliche Daten auf allen Platten waren verloren, denn beim checken der Dateisysteme wurden jede Menge Fehler angezeigt und "behoben". Kurz: Alles weg.
Seit gut einer Woche betreibe ich zu Hause einen Testserver, den ich stets beobachte. Mit dem Befehl ls -la /etc/passwd kontrolliere ich Veränderungen der Passwortdatei. Und wurde heute fündig. Die ganze Zeit wurde als Datum der 20.10.
genannt, heute steht dort der 11.9.
Die Liste der vormals benutzten Befehlen über die history des root kann ich nicht mehr aufrufen.
chkroot findet bei 'init' Infected
in /var/spool/mail gibt es eine verdächtige Stelle:
From MAILER-DAEMON@server.arbeitszimmer Sun Oct 26 23:05:08 2003
Return-Path: <MAILER-DAEMON@server.arbeitszimmer>
Received: from localhost (localhost)
by server.arbeitszimmer (8.11.6/8.11.6/SuSE Linux 0.5) id h9QM3mI04749;
Sun, 26 Oct 2003 23:05:08 +0100
Date: Sun, 26 Oct 2003 23:05:08 +0100
From: Mail Delivery Subsystem <MAILER-DAEMON@server.arbeitszimmer>
Message-Id: <200310262205.h9QM3mI04749@server.arbeitszimmer>
To: root@server.arbeitszimmer
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
boundary="h9QM3mI04749.1067205908/server.arbeitszimmer"
Subject: Warning: could not send message for past 1 day
Auto-Submitted: auto-generated (warning-timeout)
This is a MIME-encapsulated message
--h9QM3mI04749.1067205908/server.arbeitszimmer
**********************************************
** THIS IS A WARNING MESSAGE ONLY **
** YOU DO NOT NEED TO RESEND YOUR MESSAGE **
**********************************************
The original message was received at Sat, 25 Oct 2003 23:45:20 +0100
from root@localhost
----- The following addresses had transient non-fatal errors -----
slamet_irdak@yahoo.com
----- Transcript of session follows -----
slamet_irdak@yahoo.com... Deferred: Name server: yahoo.com.: host name lookup failure
Warning: message still undelivered after 1 day
Will keep trying until message is 5 days old
--h9QM3mI04749.1067205908/server.arbeitszimmer
Content-Type: message/delivery-status
Reporting-MTA: dns; server.arbeitszimmer
Arrival-Date: Sat, 25 Oct 2003 23:45:20 +0100
Final-Recipient: RFC822; slamet_irdak@yahoo.com
Action: delayed
Status: 4.4.3
Remote-MTA: DNS; yahoo.com
Last-Attempt-Date: Sun, 26 Oct 2003 23:05:08 +0100
Will-Retry-Until: Thu, 30 Oct 2003 22:45:20 +0100
--h9QM3mI04749.1067205908/server.arbeitszimmer
Content-Type: message/rfc822
Return-Path: <root>
Received: (from root@localhost)
by server.arbeitszimmer (8.11.6/8.11.6/SuSE Linux 0.5) id h9PLjKQ02178
for slamet_irdak@yahoo.com; Sat, 25 Oct 2003 23:45:20 +0200
Date: Sat, 25 Oct 2003 23:45:20 +0200
From: root <root>
Message-Id: <200310252145.h9PLjKQ02178@server.arbeitszimmer>
To: slamet_irdak@yahoo.com
Subject: Samba Info
MIME-Version: 1.0
Im root-Verzeichnis gibt es eine Datei namens slamet. Sie hat eine Zeile mit:
Linux server (Bezeichnungen, aber dann) unknown uid=0(root) gid=0(root) groups=655534(nogroup)
In der mail-Queue des root gibt es zwei mails mit ganz langen (nichtssagenden) Dateinamen. Eine ist an slamet_irdak@yahoo.com gerichtet. Sie lautet:
V4
T10671............ (Ziffern habe ich mal vorsichtshalber gelöscht)
K10673.............
N1...
P1173.......
I3/4/682887
MDeferred: Name server: yahoo.com.: host name lookup failure
Fwb
$_root@localhost
${daemon_flags}
Sroot
Aroot@server.arbeitszimmer
RPFD:slamet_irdak@yahoo.com
Der Virenscanner findet bei zwei Dateien:
signature of the Linux virus Linux/OSF-8759
Ein Schüler, mit dem ich zusammen arbeite, hat seit etwa einer Woche ebenfalls das gleiche Problem. Er betreibt zwei Server, die nun beide abgestürzt sind.
Da ich gewaltig unter Druck stehe, wäre ich Ihnen für einen Hilfe sehr dankbar!!!
Dieter Peter
in der Liste habe ich schon einmal gepostet - jetzt weiß ich mehr:
Ich betreue an unserer Schule seit Jahren das Schulverwaltungsnetz und das
Schulnetz, außerdem bei mir privat zuhause ein Netz und neuerdings ein weiteres, das bis jetzt allerdings noch nicht auffällig wurde.
Seit Anfang August bin ich überall auf die Version 7.3 umgestiegen, sendmail und fetchmail sind zwar aufgespielt, aber im Augenblick nicht eingerichtet.
Bei allen Netzen fiel hin und wieder Samba aus. Nach einem Neustart wurde kein Fehler sichtbar, es klappte wieder.
Bei allen Netzen kam es zu Abstürzen. Meistens konnte sich root nach dem Neustart nicht mehr anmelden, das Passwort wurde als fehlerhaft gemeldet. Eine Neuinstallation war unvermeidlich. Die Programmdaten und die Homeverzeichnisse, jeweils auf einer anderen Platte gelegen, waren aber noch vorhanden.
Letzten Monat kam es in zwei der drei Netzen wieder zu Totalausfällen. Beim Versuch einer Anmeldung des root wurde noch der loginname abgefragt, dann blieben die Server jeweils hängen. Nach dem Auftrennen der Stromnetzverbindung liefen sie wieder hoch, meldeten irgendeine fehlende Initialisierung und das war's. Sämtliche Daten auf allen Platten waren verloren, denn beim checken der Dateisysteme wurden jede Menge Fehler angezeigt und "behoben". Kurz: Alles weg.
Seit gut einer Woche betreibe ich zu Hause einen Testserver, den ich stets beobachte. Mit dem Befehl ls -la /etc/passwd kontrolliere ich Veränderungen der Passwortdatei. Und wurde heute fündig. Die ganze Zeit wurde als Datum der 20.10.
genannt, heute steht dort der 11.9.
Die Liste der vormals benutzten Befehlen über die history des root kann ich nicht mehr aufrufen.
chkroot findet bei 'init' Infected
in /var/spool/mail gibt es eine verdächtige Stelle:
From MAILER-DAEMON@server.arbeitszimmer Sun Oct 26 23:05:08 2003
Return-Path: <MAILER-DAEMON@server.arbeitszimmer>
Received: from localhost (localhost)
by server.arbeitszimmer (8.11.6/8.11.6/SuSE Linux 0.5) id h9QM3mI04749;
Sun, 26 Oct 2003 23:05:08 +0100
Date: Sun, 26 Oct 2003 23:05:08 +0100
From: Mail Delivery Subsystem <MAILER-DAEMON@server.arbeitszimmer>
Message-Id: <200310262205.h9QM3mI04749@server.arbeitszimmer>
To: root@server.arbeitszimmer
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
boundary="h9QM3mI04749.1067205908/server.arbeitszimmer"
Subject: Warning: could not send message for past 1 day
Auto-Submitted: auto-generated (warning-timeout)
This is a MIME-encapsulated message
--h9QM3mI04749.1067205908/server.arbeitszimmer
**********************************************
** THIS IS A WARNING MESSAGE ONLY **
** YOU DO NOT NEED TO RESEND YOUR MESSAGE **
**********************************************
The original message was received at Sat, 25 Oct 2003 23:45:20 +0100
from root@localhost
----- The following addresses had transient non-fatal errors -----
slamet_irdak@yahoo.com
----- Transcript of session follows -----
slamet_irdak@yahoo.com... Deferred: Name server: yahoo.com.: host name lookup failure
Warning: message still undelivered after 1 day
Will keep trying until message is 5 days old
--h9QM3mI04749.1067205908/server.arbeitszimmer
Content-Type: message/delivery-status
Reporting-MTA: dns; server.arbeitszimmer
Arrival-Date: Sat, 25 Oct 2003 23:45:20 +0100
Final-Recipient: RFC822; slamet_irdak@yahoo.com
Action: delayed
Status: 4.4.3
Remote-MTA: DNS; yahoo.com
Last-Attempt-Date: Sun, 26 Oct 2003 23:05:08 +0100
Will-Retry-Until: Thu, 30 Oct 2003 22:45:20 +0100
--h9QM3mI04749.1067205908/server.arbeitszimmer
Content-Type: message/rfc822
Return-Path: <root>
Received: (from root@localhost)
by server.arbeitszimmer (8.11.6/8.11.6/SuSE Linux 0.5) id h9PLjKQ02178
for slamet_irdak@yahoo.com; Sat, 25 Oct 2003 23:45:20 +0200
Date: Sat, 25 Oct 2003 23:45:20 +0200
From: root <root>
Message-Id: <200310252145.h9PLjKQ02178@server.arbeitszimmer>
To: slamet_irdak@yahoo.com
Subject: Samba Info
MIME-Version: 1.0
Im root-Verzeichnis gibt es eine Datei namens slamet. Sie hat eine Zeile mit:
Linux server (Bezeichnungen, aber dann) unknown uid=0(root) gid=0(root) groups=655534(nogroup)
In der mail-Queue des root gibt es zwei mails mit ganz langen (nichtssagenden) Dateinamen. Eine ist an slamet_irdak@yahoo.com gerichtet. Sie lautet:
V4
T10671............ (Ziffern habe ich mal vorsichtshalber gelöscht)
K10673.............
N1...
P1173.......
I3/4/682887
MDeferred: Name server: yahoo.com.: host name lookup failure
Fwb
$_root@localhost
${daemon_flags}
Sroot
Aroot@server.arbeitszimmer
RPFD:slamet_irdak@yahoo.com
Der Virenscanner findet bei zwei Dateien:
signature of the Linux virus Linux/OSF-8759
Ein Schüler, mit dem ich zusammen arbeite, hat seit etwa einer Woche ebenfalls das gleiche Problem. Er betreibt zwei Server, die nun beide abgestürzt sind.
Da ich gewaltig unter Druck stehe, wäre ich Ihnen für einen Hilfe sehr dankbar!!!
Dieter Peter