Ich hab hier ein Problem welches mächtig nach Virus (wobei ich nicht wüsste dass es ernstzunehmende schadhafte Viren unter Linux gibt) oder DoS Angriff (das wohl schon eher) aussieht. Ist bisher zweimal aufgetreten.

Das ganze läuft so ab, dass während einer grafischen Sitzung auf einmal ohne ersichtlichen Grund hunderte Bash-Sitzungen geöffnet werden wodurch der Rechner (in meinem Fall der Netzwerkserver) unter der Last irgendwann zusammenbricht und nicht einmal mehr Soft-Power-Off durchgeführt werden kann.

Auch direkt nach dem Login zeigt er manchmal ein seltsames Verhalten, es werden wahllos Anwendungen geöffnet, meistens aber Konqueror im Wurzelverzeichnis, Konqueror im Home-Verzeichnis oder Koffein-Media-Player.

Ist das ein DoS (wie ja, wie kann ich mich schützen) oder ist das ein Bug (wenn ja, wie fixen)?

Die bash Prozesse können auch nur von einem fehlerhaften Skript kommen.

Die sich öffnenden Fenster in KDE nach dem Login könnten von einer gespeicherten Sitzung kommen.

Ohne genauere Informationen kann man genau gar nichts dazu sagen.

Es handelt sich um die SuSE Linux 9.1 Professional Distribution in der 32-bit Version. Der verwendete Kernel ist 2.6.4-52. Die CPU ist ein 686-Nachfolger (AMD Palomino). Es wurde vor kurzer Zeit Hardware getauscht (Radeon 9800 XT raus, GeForce 2 Ti rein) weil die Grafikkarte das Zeitliche gesegnet hat. Als die Fehler auftraten war ich meist abwesend und der Rechner nicht in-use. Außerdem war ich nicht als Root eingeloggt.

Verbunden ist der Rechner mit dem Internet über ADSL (K-Internet), die KDE Version ist 3.2. Eine Firewall ist installiert und der Server führt sowohl Apache2 mit PHP-4 als auch diverse Gateway- und DNS-Services aus. Außerdem übt er Masquerading-Funktionen über den Firewall aus.

Der Server hat im LAN die IP 192.168.0.1, Subnetzmaske 255.255.255.0 im LAN und ist per PPPoE zum Internet verbunden. Als Browser wird Konqueror verwendet. Außerdem läuft die ganze Zeit LICQ. Der Server ist in SAMBA eingebunden.

Nähere Informationen zur Hardware gibt's im PYS-Link.

Was sagen die Logs wie /var/log/messages dazu?

mfg
cane

Hmmm, was sehr auffälliges ist dort nicht vermerkt. Muss aber auch gestehen dass mir der Blick dafür sowieso fehlt. Ich bin nicht so der Linux/Unix Checker. Ich bin froh dass ich das Teil installiert bekommen kann und mal ab und zu an der Konfig was drehen kann und ein paar Bash-Befehle kenne. Aber "umfassendes Wissen" kann man das nicht nennen. :rolleyes:


Die sich öffnenden Fenster in KDE nach dem Login könnten von einer gespeicherten Sitzung kommen.
Bestimmt nicht, ich hab sicher noch kein einziges mal "Koffein-Media-Player" oder son Krampf geöffnet.

Poste doch mal den Zeitraum der /messages in dem die Fehler aufgetreten sind...

mfg
cane

Hier stand eine Logfile!

Du solltest für dne Anfang evtl. die Firewall so konfigurieren, das sie _alle_ sperrt, was von aussen auf deinen Rechner will, was noch zu keiner gültigen Verbindung gehört. Damit schliesst du aus, das jemand irgendwelche Programmfehler ausnutzen kann um dein System anzugreifen.

Hmm - in den Logs kann ich auch nichts erkennen.

Ich würde nach dem Ausschlußverfahren vorgehen:
- Tritt der Fehler ohne Internetverbindung auf?
- Tritt der Fehler auf wenn Du als anderer User angemeldet bist?
- Tritt der fehler auf wenn Du einen anderen Window-Manager nutzt?

mfg
cane

Das ist vielleicht etwas ineffektiv da der Fehler sporadisch auftritt... :confused: Wenn er zu ganz bestimmten Anlässen auftreten würde könnte ich zum Beispiel vorher die Inet-Connection trennen oder statt KDM was anderes starten oder vorher als root einloggen, aber so?

Die beim Booten zufällig geöffneten Anwendungen erscheinen auf jeden Fall auch ohne Internetverbindung da beim Booten ja noch keine Verbindung existiert (der Rechner ist der Server, ohne dass der eingewählt ist gibt's ja keine Verbindung und Router gibt's keinen).

Beim Einloggen mit Root werden auch keine zufälligen Anwendungen geöffnet.

Aber vielleicht haben die zufälligen Anwendungen beim Booten eine andere Ursache als die hunderten Bashs die manchmal geöffnet werden und das System lahmlegen.

Ich werd den Server jetzt mal für einige Stunden idle lassen und vom Netz nehmen. Wenn er dann abschmiert mit hunderten Bashs offen weiß ich dass es keine DoS ist. Falls er dann nicht abschmiert bin ich aber so dumm wie vorher weil der Fehler ja sporadisch auftritt.

Hi

ich hab irgendwo schon mal von diesem Fehler gelesen ich weiß leider nicht mehr wo. Die Lösung an der Stelle war, die Maus hatte einen Kabelbruch. Mit neuer Maus war die Welt wieder in Ordnung

Joachim

Das mit dem Kabelbruch könnte ich mir vorstellen...

Man könnte es verifizieren indem man einfach mal ein, zwei tage ohne Maus arbeitet - hat sogar den Vorteil das man sich viele Tastenkombinationen merkst ;)

mfg
cane

Moin..

kann ich sogar verstärkend berichten.. wenn ich aus meinem KVM die Maus entferne und wieder einstecke, macht der Debianrechner genau oben genanntes. Das reicht von zufällig öffnenden Anwendungen, über das verschieben der KDE Leiste bis hin zu vielen vielen Instanzen eines Programms, die geöffnet werden (zB die Bash), und daraus resultierendem Crash. Passiert mit leider ab und an, da Debian nicht immer eine Tastatur anbietet, wenn ich auf Konsole und zurück wechsel. Nur aus/wieder einstecken hilft dann, eben selten mit o.g. Resultat. Oder eben die Maus stattdessen (KVM im Eimer?).

LG

Ich habe den Rechner jetzt 2 Stunden lang offline rennen lassen, es hat sich zwar "nur" eine einzige Bash geöffnet, aber ich denke damit lässt sich ein Denial-of-Service aus dem Internet als Ursache ausschließen. Seht ihr das genauso?

Ich werde jetzt mal absichtlich die Maus entfernen um den Fehler zu provozieren. Da die Maus hotplugging-fähig ist brauch ich den Rechner nicht neu zu starten um sie wieder anzuschließen.

EDIT: Habe die Maus jetzt 10 mal hintereinander an- und abgeklemmt während ich sie bewegt habe. Es wurden keine zufälligen Programme geöffnet.

Die Fehler treten auch erst auf, seitdem ich eine andere Grafikkarte reingehängt habe. Könnte also auch ein Hardware-Konflikt sein oder?

Wenn er zu ganz bestimmten Anlässen auftreten würde könnte ich zum Beispiel vorher die Inet-Connection trennen oder statt KDM was anderes starten oder vorher als root einloggen, aber so?

Ich bin ja nun auch nicht der Crack, aber wenn Du einen Virus oder einen Angriff von außen befürchtest, würde ich das lassen...


Kreol

Wenn jemand in's System kommt ist es egal, als was der lokale User eingeloggt ist. Je nach dem was er schafft zu cracken kommt der Angreifer auf die entsprechende Sicherheitsstufe. Mit einem Buffer-Overflow lassen sich Root-Rechte erzielen. Crackt er die Kennwort-Encryption, kann er sich als Root einloggen. Egal als was der lokale User eingeloggt ist.

Wenn jemand in's System kommt ist es egal, als was der lokale User eingeloggt ist. Je nach dem was er schafft zu cracken kommt der Angreifer auf die entsprechende Sicherheitsstufe. Mit einem Buffer-Overflow lassen sich Root-Rechte erzielen. Crackt er die Kennwort-Encryption, kann er sich als Root einloggen. Egal als was der lokale User eingeloggt ist.

Egal ist es nicht - wenn der User kaum Privilegien hat muß man schon erstmal ein buggy Programm finden um root zu werden.

Die Hashes der Kennwörter sind nicht in absehbarer Zeit zu errechnen falls die Passwörter gut sind!

mfg
cane

Nur nebenbei zur Passwortsicherheit: Wenn er es nicht geändert hat, nimmt SuSE standardmässig DES und das kann man auch mit den besten Passwörtern in die Tonne treten. Erst ab 9.2 hat sich das geändert und es wird defaultmässig Blowfish verwendet

Nope, hab MD5 Challange eingestellt weil DES ja nur 56-bit hat.