PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Probleme mit root-Server



strgv
25.01.06, 09:55
Hallo Linuxexperten,

ich habe ein grosses Problem. Mein Root-Server bei einsundeins, wo mein internetseite läuft ist nicht mehr erreichbar. Ich kann das System nicht mehr in normal Modus hochfahren. Es ist nur in Linux Rescue-System (debian/woody - 2.6.x) Modus zu starten.

Könntet Ihr mir bitte behilflich sein, wie ich das Problem lokalisieren könnte. Meine LINUX-Kenntnisse reichen nicht mehr aus.

Vielen Dank im Voraus für Eure Hilfe.


login as: root
root@217.160.187.149's password:
Linux rescue 2.4.27-040930 #1 SMP Thu Sep 30 19:03:28 CEST 2004 i686 unknown

Most of the programs included with the Debian GNU/Linux system are
freely redistributable; the exact distribution terms for each program
are described in the individual files in /usr/share/doc/*/copyright

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.


rescue:~# fdisk -l

Disk /dev/hda: 255 heads, 63 sectors, 5005 cylinders
Units = cylinders of 16065 * 512 bytes

Device Boot Start End Blocks Id System
/dev/hda1 1 33 265041 83 Linux
/dev/hda2 34 131 787185 82 Linux swap
/dev/hda3 132 5005 39150405 83 Linux
rescue:~#

Tomek
25.01.06, 09:59
Was ist denn vorher passiert? Hast du etwas geändert? Warum und wie ist der Server neugestartet worden?

Hast du auch mal aus dem Rescuesystem die Dateisysteme geprüft und mal nach den Logfiles geschaut?

Zudem hat man bei 1und1 z.B. auch eine serielle Konsole, mit der man den gesamten Bootvorgang beobachten kann. Hast du das auch mal gemacht?

strgv
25.01.06, 10:14
Hallo Tomek,

der Server war von ein Tag auf anderen nicht mehr erreichbar. Weder über putty noch über IE.
Auf dem Server sind keine Änderungen statgefunden. Nach dem ich festgestellt habe, dass Server nicht erreichtbar ist, habe über 1und1 Control-Center versucht den Server ín normal modus neuzustarten. Aber ohne erfolg.
Danach habe die Rescuesystem gestarte um das Problem zu lokalisieren.
Ich habe fsck bereits aufgerufen. (s.u.)

Wo bzw. welche Logfiles soll ich überprüfen?

Wie rufe ich eine serielle Konsole bei 1und1 auf?

Danke für dein Unterstützung.

rescue:~# fsck /dev/hda1
fsck 1.27 (8-Mar-2002)
e2fsck 1.27 (8-Mar-2002)
/dev/hda1: clean, 41/65536 files, 7837/65536 blocks
rescue:~# fsck /dev/hda2
fsck 1.27 (8-Mar-2002)
e2fsck 1.27 (8-Mar-2002)
Couldn't find ext2 superblock, trying backup blocks...
fsck.ext2: Bad magic number in super-block while trying to open /dev/hda2

The superblock could not be read or does not describe a correct ext2
filesystem. If the device is valid and it really contains an ext2
filesystem (and not swap or ufs or something else), then the superblock
is corrupt, and you might try running e2fsck with an alternate superblock:
e2fsck -b 8193 <device>

rescue:~# fsck /dev/hda3
fsck 1.27 (8-Mar-2002)
e2fsck 1.27 (8-Mar-2002)
/dev/hda3: clean, 46261/4898816 files, 732563/9787601 blocks
rescue:~#

marce
25.01.06, 10:19
interessant ist das meiste in /var/log

wie Du an die serielle Konsole kommst solltest Du über die 1&1-Seite erfahren können...

was ist denn auf dem System selbst für eine Distri drauf?

strgv
25.01.06, 10:31
@Marce
Debian

Die Inhalt von syslog und messages sieht wie folgt aus:



rescue:/var/log# ls -lt
total 90
-rw-r--r-- 1 root root 9667 Jan 25 10:06 messages
-rw-r--r-- 1 root root 10603 Jan 25 10:06 syslog
-rw-r----- 1 root adm 425 Jan 25 10:05 auth.log
drwxr-xr-x 2 root root 1024 Jan 25 09:48 ntpstats
-rw-r----- 1 root adm 548 Jan 25 09:29 daemon.log
-rw-rw-r-- 1 root utmp 292 Jan 25 09:28 lastlog
-rw-rw-r-- 1 root utmp 8064 Jan 25 09:28 wtmp
-rw-r--r-- 1 root root 5903 Jan 25 09:26 dmesg
-rw-r----- 1 root adm 9937 Jan 25 09:26 kern.log
-rw-r--r-- 1 root root 0 Jan 25 09:26 lpr.log
-rw-r--r-- 1 root root 0 Jan 25 09:26 mail.err
-rw-r--r-- 1 root root 0 Jan 25 09:26 mail.info
-rw-r--r-- 1 root root 0 Jan 25 09:26 mail.log
-rw-r--r-- 1 root root 0 Jan 25 09:26 mail.warn
-rw-r--r-- 1 root root 0 Jan 25 09:26 user.log
-rw-r--r-- 1 root root 0 Jan 25 09:26 uucp.log
-rw-r----- 1 root adm 467 Jan 25 09:26 debug
drwxr-xr-x 2 root root 1024 Oct 16 2002 sysstat
drwxr-xr-x 2 root root 1024 Feb 16 2002 ksymoops
rescue:/var/log# cat syslog
Jan 25 09:26:20 rescue syslogd 1.4.1#10: restart.
Jan 25 09:26:20 rescue kernel: klogd 1.4.1#10, log source = /proc/kmsg started.
Jan 25 09:26:20 rescue kernel: Cannot find map file.
Jan 25 09:26:20 rescue kernel: No module symbols loaded - kernel modules not ena
bled.
Jan 25 09:26:20 rescue kernel: Linux version 2.4.27-040930 (jacko@neverland) (gc
c version 2.95.4 20011002 (Debian prerelease)) #1 SMP Thu Sep 30 19:03:28 CEST 2
004
Jan 25 09:26:20 rescue kernel: BIOS-provided physical RAM map:
Jan 25 09:26:20 rescue kernel: BIOS-e820: 0000000000000000 - 00000000000a0000 (
usable)
Jan 25 09:26:20 rescue kernel: BIOS-e820: 00000000000f0000 - 0000000000100000 (
reserved)
Jan 25 09:26:20 rescue kernel: BIOS-e820: 0000000000100000 - 000000000f7f0000 (
usable)
Jan 25 09:26:20 rescue kernel: BIOS-e820: 000000000f7f0000 - 000000000f7f3000 (
ACPI NVS)
Jan 25 09:26:20 rescue kernel: BIOS-e820: 000000000f7f3000 - 000000000f800000 (
ACPI data)
Jan 25 09:26:20 rescue kernel: BIOS-e820: 00000000ffff0000 - 0000000100000000 (
reserved)
Jan 25 09:26:20 rescue kernel: 0MB HIGHMEM available.
Jan 25 09:26:20 rescue kernel: 247MB LOWMEM available.
Jan 25 09:26:20 rescue kernel: On node 0 totalpages: 63472
Jan 25 09:26:20 rescue kernel: zone(0): 4096 pages.
Jan 25 09:26:20 rescue kernel: zone(1): 59376 pages.
Jan 25 09:26:20 rescue kernel: zone(2): 0 pages.
Jan 25 09:26:20 rescue kernel: ACPI: RSDP (v000 VIAP4M
) @ 0x000f6610
Jan 25 09:26:20 rescue kernel: ACPI: RSDT (v001 VIAP4M AWRDACPI 0x42302e31 AWRD
0x00000000) @ 0x0f7f3000
Jan 25 09:26:20 rescue kernel: ACPI: FADT (v001 VIAP4M AWRDACPI 0x42302e31 AWRD
0x00000000) @ 0x0f7f3040
Jan 25 09:26:20 rescue kernel: ACPI: DSDT (v001 VIAP4M AWRDACPI 0x00001000 MSFT
0x0100000c) @ 0x00000000
Jan 25 09:26:20 rescue kernel: Kernel command line: console=tty0 console=ttyS0,5
7600 load_ramdisk=1 prompt_ramdisk=0 ramdisk_size=81920 initrd=linux/rescue32-2.
4-woody.gz pw=$1$hUKVdZxR$NcxKezjlmuK/O2NMvsmVc/ tz=Europe/Berlin root=/dev/ram0
rw BOOT_IMAGE=linux/kernel32-2.4
Jan 25 09:26:20 rescue kernel: No local APIC present or hardware disabled
Jan 25 09:26:20 rescue kernel: Initializing CPU#0
Jan 25 09:26:20 rescue kernel: Detected 2003.459 MHz processor.
Jan 25 09:26:20 rescue kernel: Console: colour VGA+ 80x25
Jan 25 09:26:20 rescue kernel: Calibrating delay loop... 3997.69 BogoMIPS
Jan 25 09:26:20 rescue kernel: Memory: 218968k/253888k available (2512k kernel c
ode, 34536k reserved, 609k data, 532k init, 0k highmem)
Jan 25 09:26:20 rescue kernel: Dentry cache hash table entries: 32768 (order: 6,
262144 bytes)
Jan 25 09:26:20 rescue kernel: Inode cache hash table entries: 16384 (order: 5,
131072 bytes)
Jan 25 09:26:20 rescue kernel: Mount cache hash table entries: 512 (order: 0, 40
96 bytes)
Jan 25 09:26:20 rescue kernel: Buffer cache hash table entries: 16384 (order: 4,
65536 bytes)
Jan 25 09:26:20 rescue kernel: Page-cache hash table entries: 65536 (order: 6, 2
62144 bytes)
Jan 25 09:26:20 rescue kernel: CPU: Trace cache: 12K uops, L1 D cache: 8K
Jan 25 09:26:20 rescue kernel: CPU: L2 cache: 128K
Jan 25 09:26:20 rescue kernel: CPU: Hyper-Threading is disabled
Jan 25 09:26:20 rescue kernel: Intel machine check architecture supported.
Jan 25 09:26:20 rescue kernel: Intel machine check reporting enabled on CPU#0.
Jan 25 09:26:20 rescue kernel: CPU: After generic, caps: bfebf9ff 00000000 0
0000000 00000000
Jan 25 09:26:20 rescue kernel: CPU: Common caps: bfebf9ff 00000000 0
0000000 00000000
Jan 25 09:26:20 rescue kernel: Enabling fast FPU save and restore... done.
Jan 25 09:26:20 rescue kernel: Enabling unmasked SIMD FPU exception support... d
one.
Jan 25 09:26:20 rescue kernel: Checking 'hlt' instruction... OK.
Jan 25 09:26:20 rescue kernel: POSIX conformance testing by UNIFIX
Jan 25 09:26:20 rescue kernel: mtrr: v1.40 (20010327) Richard Gooch (rgooch@atnf
.csiro.au)
Jan 25 09:26:20 rescue kernel: mtrr: detected mtrr type: Intel
Jan 25 09:26:20 rescue kernel: CPU: Trace cache: 12K uops, L1 D cache: 8K
Jan 25 09:26:20 rescue kernel: CPU: L2 cache: 128K
Jan 25 09:26:20 rescue kernel: CPU: Hyper-Threading is disabled
Jan 25 09:26:20 rescue kernel: Intel machine check reporting enabled on CPU#0.
Jan 25 09:26:20 rescue kernel: CPU: After generic, caps: bfebf9ff 00000000 0
0000000 00000000
Jan 25 09:26:20 rescue kernel: CPU: Common caps: bfebf9ff 00000000 0
0000000 00000000
Jan 25 09:26:20 rescue kernel: CPU0: Intel(R) Celeron(R) CPU 2.00GHz stepping 07
Jan 25 09:26:20 rescue kernel: per-CPU timeslice cutoff: 365.70 usecs.
Jan 25 09:26:20 rescue kernel: SMP motherboard not detected.
Jan 25 09:26:20 rescue kernel: Local APIC not detected. Using dummy APIC emulati
on.
Jan 25 09:26:20 rescue kernel: Waiting on wait_init_idle (map = 0x0)
Jan 25 09:26:20 rescue kernel: All processors have done init_idle
Jan 25 09:26:20 rescue kernel: PCI: PCI BIOS revision 2.10 entry at 0xfb350, las
t bus=1
Jan 25 09:26:20 rescue kernel: PCI: Using configuration type 1
Jan 25 09:26:20 rescue kernel: PCI: Probing PCI hardware
Jan 25 09:26:20 rescue kernel: PCI: Probing PCI hardware (bus 00)
Jan 25 09:26:20 rescue kernel: PCI: Using IRQ router default [1106/3148] at 00:0
0.0
Jan 25 09:26:20 rescue kernel: PCI: Via IRQ fixup for 00:10.1, from 255 to 0
Jan 25 09:26:20 rescue kernel: Linux NET4.0 for Linux 2.4
Jan 25 09:26:20 rescue kernel: Based upon Swansea University Computer Society NE
T3.039
Jan 25 09:26:20 rescue kernel: Initializing RT netlink socket
Jan 25 09:26:20 rescue kernel: IA-32 Microcode Update Driver: v1.14 <tigran@veri
tas.com>
Jan 25 09:26:20 rescue kernel: Starting kswapd
Jan 25 09:26:20 rescue kernel: VFS: Disk quotas vdquot_6.5.1
Jan 25 09:26:20 rescue kernel: Journalled Block Device driver loaded
Jan 25 09:26:20 rescue kernel: NTFS driver v1.1.22 [Flags: R/W]
Jan 25 09:26:20 rescue kernel: SGI XFS with no debug enabled
Jan 25 09:26:20 rescue kernel: SGI XFS Quota Management subsystem
Jan 25 09:26:20 rescue kernel: pty: 256 Unix98 ptys configured
Jan 25 09:26:20 rescue kernel: Serial driver version 5.05c (2001-07-08) with MAN
Y_PORTS SHARE_IRQ SERIAL_PCI enabled
Jan 25 09:26:20 rescue kernel: keyboard: Timeout - AT keyboard not present?(ed)
Jan 25 09:26:20 rescue kernel: keyboard: Timeout - AT keyboard not present?(f4)
Jan 25 09:26:20 rescue kernel: ttyS00 at 0x03f8 (irq = 4) is a 16550A
Jan 25 09:26:20 rescue kernel: Real Time Clock Driver v1.10f
Jan 25 09:26:20 rescue kernel: Non-volatile memory driver v1.2
Jan 25 09:26:20 rescue kernel: FDC 0 is a post-1991 82077
Jan 25 09:26:20 rescue kernel: RAMDISK driver initialized: 16 RAM disks of 81920
K size 1024 blocksize
Jan 25 09:26:20 rescue kernel: loop: loaded (max 8 devices)
Jan 25 09:26:20 rescue kernel: Intel(R) PRO/1000 Network Driver - version 5.2.52
-k3
Jan 25 09:26:20 rescue kernel: Copyright (c) 1999-2004 Intel Corporation.
Jan 25 09:26:20 rescue kernel: sk98lin: No adapter found.
Jan 25 09:26:20 rescue kernel: via-rhine.c:v1.10-LK1.1.19 July-12-2003 Written
by Donald Becker
Jan 25 09:26:20 rescue kernel: http://www.scyld.com/network/via-rhine.html
Jan 25 09:26:20 rescue kernel: eth0: VIA VT6102 Rhine-II at 0xe000, 00:40:63:c4:
29:e2, IRQ 15.
Jan 25 09:26:20 rescue kernel: eth0: MII PHY found at address 1, status 0x786d a
dvertising 05e1 Link 41e1.
Jan 25 09:26:20 rescue kernel: Uniform Multi-Platform E-IDE driver Revision: 7.0
0beta4-2.4
Jan 25 09:26:20 rescue kernel: ide: Assuming 33MHz system bus speed for PIO mode
s; override with idebus=xx
Jan 25 09:26:20 rescue kernel: VP_IDE: IDE controller at PCI slot 00:11.1
Jan 25 09:26:20 rescue kernel: VP_IDE: chipset revision 6
Jan 25 09:26:20 rescue kernel: VP_IDE: not 100%% native mode: will probe irqs la
ter
Jan 25 09:26:20 rescue kernel: ide: Assuming 33MHz system bus speed for PIO mode
s; override with idebus=xx
Jan 25 09:26:20 rescue kernel: VP_IDE: VIA vt8235 (rev 00) IDE UDMA133 controlle
r on pci00:11.1
Jan 25 09:26:20 rescue kernel: ide0: BM-DMA at 0xdc00-0xdc07, BIOS settings:
hda:DMA, hdb:pio
Jan 25 09:26:20 rescue kernel: hda: IC35L040AVVN07-0, ATA DISK drive
Jan 25 09:26:20 rescue kernel: blk: queue c04ed6c0, I/O limit 4095Mb (mask 0xfff
fffff)
Jan 25 09:26:20 rescue kernel: ide0 at 0x1f0-0x1f7,0x3f6 on irq 14
Jan 25 09:26:20 rescue kernel: hda: attached ide-disk driver.
Jan 25 09:26:20 rescue kernel: hda: host protected area => 1
Jan 25 09:26:20 rescue kernel: hda: 80418240 sectors (41174 MB) w/1863KiB Cache,
CHS=5005/255/63, UDMA(100)
Jan 25 09:26:20 rescue kernel: Partition check:
Jan 25 09:26:20 rescue kernel: hda: hda1 hda2 hda3
Jan 25 09:26:20 rescue kernel: SCSI subsystem driver Revision: 1.00
Jan 25 09:26:20 rescue kernel: Red Hat/Adaptec aacraid driver (1.1-3 Sep 30 2004
19:04:52)
Jan 25 09:26:20 rescue kernel: 3ware Storage Controller device driver for Linux
v1.02.00.037.
Jan 25 09:26:20 rescue kernel: 3w-xxxx: No cards found.
Jan 25 09:26:20 rescue kernel: Fusion MPT base driver 2.05.16
Jan 25 09:26:20 rescue kernel: Copyright (c) 1999-2004 LSI Logic Corporation
Jan 25 09:26:20 rescue kernel: mptbase: 0 MPT adapters found, 0 installed.
Jan 25 09:26:20 rescue kernel: Fusion MPT SCSI Host driver 2.05.16
Jan 25 09:26:20 rescue kernel: LVM version 1.0.8(17/11/2003)
Jan 25 09:26:20 rescue kernel: NET4: Linux TCP/IP 1.0 for NET4.0
Jan 25 09:26:20 rescue kernel: IP Protocols: ICMP, UDP, TCP
Jan 25 09:26:20 rescue kernel: IP: routing cache hash table of 2048 buckets, 16K
bytes
Jan 25 09:26:20 rescue kernel: TCP: Hash tables configured (established 16384 bi
nd 16384)
Jan 25 09:26:20 rescue kernel: NET4: Unix domain sockets 1.0/SMP for Linux NET4.
0.
Jan 25 09:26:20 rescue kernel: RAMDISK: Compressed image found at block 0
Jan 25 09:26:20 rescue kernel: Freeing initrd memory: 27376k freed
Jan 25 09:26:20 rescue kernel: VFS: Mounted root (ext2 filesystem).
Jan 25 09:26:20 rescue kernel: Freeing unused kernel memory: 532k freed
Jan 25 09:26:20 rescue kernel: eth0: Setting full-duplex based on MII #1 link pa
rtner capability of 41e1.
Jan 25 09:26:19 rescue ntpdate[208]: step time server 195.20.224.142 offset -1.8
82772 sec
Jan 25 09:26:19 rescue ntpd[211]: ntpd 4.1.0 Mon Mar 25 23:39:47 UTC 2002 (2)
Jan 25 09:26:19 rescue ntpd[211]: signal_no_reset: signal 13 had flags 4000000
Jan 25 09:26:19 rescue init: open(/dev/console): Input/output error
Jan 25 09:26:19 rescue ntpd[211]: precision = 13 usec
Jan 25 09:26:19 rescue ntpd[211]: kernel time discipline status 0040
Jan 25 09:29:38 rescue ntpd[211]: time set -0.000182 s
Jan 25 09:29:38 rescue ntpd[211]: synchronisation lost
Jan 25 09:46:18 rescue -- MARK --
Jan 25 10:06:18 rescue -- MARK --

rescue:/var/log# cat messages
Jan 25 09:26:20 rescue syslogd 1.4.1#10: restart.
Jan 25 09:26:20 rescue kernel: klogd 1.4.1#10, log source = /proc/kmsg started.
Jan 25 09:26:20 rescue kernel: Cannot find map file.
Jan 25 09:26:20 rescue kernel: No module symbols loaded - kernel modules not enabled.
Jan 25 09:26:20 rescue kernel: Linux version 2.4.27-040930 (jacko@neverland) (gcc version 2.95.4 20011002 (Debian prerelease)) #1 SMP Thu Sep 30 19:03:28 CEST 2004
Jan 25 09:26:20 rescue kernel: BIOS-provided physical RAM map:
Jan 25 09:26:20 rescue kernel: BIOS-e820: 0000000000000000 - 00000000000a0000 (usable)
Jan 25 09:26:20 rescue kernel: BIOS-e820: 00000000000f0000 - 0000000000100000 (reserved)
Jan 25 09:26:20 rescue kernel: BIOS-e820: 0000000000100000 - 000000000f7f0000 (usable)
Jan 25 09:26:20 rescue kernel: BIOS-e820: 000000000f7f0000 - 000000000f7f3000 (ACPI NVS)
Jan 25 09:26:20 rescue kernel: BIOS-e820: 000000000f7f3000 - 000000000f800000 (ACPI data)
Jan 25 09:26:20 rescue kernel: BIOS-e820: 00000000ffff0000 - 0000000100000000 (reserved)
Jan 25 09:26:20 rescue kernel: 0MB HIGHMEM available.
Jan 25 09:26:20 rescue kernel: 247MB LOWMEM available.
Jan 25 09:26:20 rescue kernel: On node 0 totalpages: 63472
Jan 25 09:26:20 rescue kernel: zone(0): 4096 pages.
Jan 25 09:26:20 rescue kernel: zone(1): 59376 pages.
Jan 25 09:26:20 rescue kernel: zone(2): 0 pages.
Jan 25 09:26:20 rescue kernel: ACPI: RSDP (v000 VIAP4M ) @ 0x000f6610
Jan 25 09:26:20 rescue kernel: ACPI: RSDT (v001 VIAP4M AWRDACPI 0x42302e31 AWRD 0x00000000) @ 0x0f7f3000
Jan 25 09:26:20 rescue kernel: ACPI: FADT (v001 VIAP4M AWRDACPI 0x42302e31 AWRD 0x00000000) @ 0x0f7f3040
Jan 25 09:26:20 rescue kernel: ACPI: DSDT (v001 VIAP4M AWRDACPI 0x00001000 MSFT 0x0100000c) @ 0x00000000
Jan 25 09:26:20 rescue kernel: Kernel command line: console=tty0 console=ttyS0,57600 load_ramdisk=1 prompt_ramdisk=0 ramdisk_size=81920 initrd=linux/rescue32-2.4-woody.gz pw=$1$hUKVdZxR$NcxKezjlmuK/O2NMvsmVc/ tz=Europe/Berlin root=/dev/ram0 rw BOOT_IMAGE=linux/kernel32-2.4
Jan 25 09:26:20 rescue kernel: No local APIC present or hardware disabled
Jan 25 09:26:20 rescue kernel: Initializing CPU#0
Jan 25 09:26:20 rescue kernel: Detected 2003.459 MHz processor.
Jan 25 09:26:20 rescue kernel: Console: colour VGA+ 80x25
Jan 25 09:26:20 rescue kernel: Calibrating delay loop... 3997.69 BogoMIPS
Jan 25 09:26:20 rescue kernel: Memory: 218968k/253888k available (2512k kernel code, 34536k reserved, 609k data, 532k init, 0k highmem)
Jan 25 09:26:20 rescue kernel: Dentry cache hash table entries: 32768 (order: 6, 262144 bytes)
Jan 25 09:26:20 rescue kernel: Inode cache hash table entries: 16384 (order: 5, 131072 bytes)
Jan 25 09:26:20 rescue kernel: Mount cache hash table entries: 512 (order: 0, 4096 bytes)
Jan 25 09:26:20 rescue kernel: Buffer cache hash table entries: 16384 (order: 4, 65536 bytes)
Jan 25 09:26:20 rescue kernel: Page-cache hash table entries: 65536 (order: 6, 262144 bytes)
Jan 25 09:26:20 rescue kernel: CPU: Trace cache: 12K uops, L1 D cache: 8K
Jan 25 09:26:20 rescue kernel: CPU: L2 cache: 128K
Jan 25 09:26:20 rescue kernel: CPU: Hyper-Threading is disabled
Jan 25 09:26:20 rescue kernel: Intel machine check architecture supported.
Jan 25 09:26:20 rescue kernel: Intel machine check reporting enabled on CPU#0.
Jan 25 09:26:20 rescue kernel: Enabling fast FPU save and restore... done.
Jan 25 09:26:20 rescue kernel: Enabling unmasked SIMD FPU exception support... done.
Jan 25 09:26:20 rescue kernel: Checking 'hlt' instruction... OK.
Jan 25 09:26:20 rescue kernel: POSIX conformance testing by UNIFIX
Jan 25 09:26:20 rescue kernel: mtrr: v1.40 (20010327) Richard Gooch (rgooch@atnf.csiro.au)
Jan 25 09:26:20 rescue kernel: mtrr: detected mtrr type: Intel
Jan 25 09:26:20 rescue kernel: CPU: Trace cache: 12K uops, L1 D cache: 8K
Jan 25 09:26:20 rescue kernel: CPU: L2 cache: 128K
Jan 25 09:26:20 rescue kernel: CPU: Hyper-Threading is disabled
Jan 25 09:26:20 rescue kernel: Intel machine check reporting enabled on CPU#0.
Jan 25 09:26:20 rescue kernel: CPU0: Intel(R) Celeron(R) CPU 2.00GHz stepping 07
Jan 25 09:26:20 rescue kernel: per-CPU timeslice cutoff: 365.70 usecs.
Jan 25 09:26:20 rescue kernel: SMP motherboard not detected.
Jan 25 09:26:20 rescue kernel: Local APIC not detected. Using dummy APIC emulation.
Jan 25 09:26:20 rescue kernel: Waiting on wait_init_idle (map = 0x0)
Jan 25 09:26:20 rescue kernel: All processors have done init_idle
Jan 25 09:26:20 rescue kernel: PCI: PCI BIOS revision 2.10 entry at 0xfb350, last bus=1
Jan 25 09:26:20 rescue kernel: PCI: Using configuration type 1
Jan 25 09:26:20 rescue kernel: PCI: Probing PCI hardware
Jan 25 09:26:20 rescue kernel: PCI: Probing PCI hardware (bus 00)
Jan 25 09:26:20 rescue kernel: PCI: Using IRQ router default [1106/3148] at 00:00.0
Jan 25 09:26:20 rescue kernel: PCI: Via IRQ fixup for 00:10.1, from 255 to 0
Jan 25 09:26:20 rescue kernel: Linux NET4.0 for Linux 2.4
Jan 25 09:26:20 rescue kernel: Based upon Swansea University Computer Society NET3.039
Jan 25 09:26:20 rescue kernel: Initializing RT netlink socket
Jan 25 09:26:20 rescue kernel: IA-32 Microcode Update Driver: v1.14 <tigran@veritas.com>
Jan 25 09:26:20 rescue kernel: Starting kswapd
Jan 25 09:26:20 rescue kernel: VFS: Disk quotas vdquot_6.5.1
Jan 25 09:26:20 rescue kernel: Journalled Block Device driver loaded
Jan 25 09:26:20 rescue kernel: NTFS driver v1.1.22 [Flags: R/W]
Jan 25 09:26:20 rescue kernel: SGI XFS with no debug enabled
Jan 25 09:26:20 rescue kernel: SGI XFS Quota Management subsystem
Jan 25 09:26:20 rescue kernel: pty: 256 Unix98 ptys configured
Jan 25 09:26:20 rescue kernel: Serial driver version 5.05c (2001-07-08) with MANY_PORTS SHARE_IRQ SERIAL_PCI enabled
Jan 25 09:26:20 rescue kernel: keyboard: Timeout - AT keyboard not present?(ed)
Jan 25 09:26:20 rescue kernel: keyboard: Timeout - AT keyboard not present?(f4)
Jan 25 09:26:20 rescue kernel: ttyS00 at 0x03f8 (irq = 4) is a 16550A
Jan 25 09:26:20 rescue kernel: Real Time Clock Driver v1.10f
Jan 25 09:26:20 rescue kernel: Non-volatile memory driver v1.2
Jan 25 09:26:20 rescue kernel: FDC 0 is a post-1991 82077
Jan 25 09:26:20 rescue kernel: RAMDISK driver initialized: 16 RAM disks of 81920K size 1024 blocksize
Jan 25 09:26:20 rescue kernel: loop: loaded (max 8 devices)
Jan 25 09:26:20 rescue kernel: Intel(R) PRO/1000 Network Driver - version 5.2.52-k3
Jan 25 09:26:20 rescue kernel: Copyright (c) 1999-2004 Intel Corporation.
Jan 25 09:26:20 rescue kernel: sk98lin: No adapter found.
Jan 25 09:26:20 rescue kernel: via-rhine.c:v1.10-LK1.1.19 July-12-2003 Written by Donald Becker
Jan 25 09:26:20 rescue kernel: http://www.scyld.com/network/via-rhine.html
Jan 25 09:26:20 rescue kernel: eth0: VIA VT6102 Rhine-II at 0xe000, 00:40:63:c4:29:e2, IRQ 15.
Jan 25 09:26:20 rescue kernel: eth0: MII PHY found at address 1, status 0x786d advertising 05e1 Link 41e1.
Jan 25 09:26:20 rescue kernel: Uniform Multi-Platform E-IDE driver Revision: 7.00beta4-2.4
Jan 25 09:26:20 rescue kernel: ide: Assuming 33MHz system bus speed for PIO modes; override with idebus=xx
Jan 25 09:26:20 rescue kernel: VP_IDE: IDE controller at PCI slot 00:11.1
Jan 25 09:26:20 rescue kernel: VP_IDE: chipset revision 6
Jan 25 09:26:20 rescue kernel: VP_IDE: not 100%% native mode: will probe irqs later
Jan 25 09:26:20 rescue kernel: ide: Assuming 33MHz system bus speed for PIO modes; override with idebus=xx
Jan 25 09:26:20 rescue kernel: VP_IDE: VIA vt8235 (rev 00) IDE UDMA133 controller on pci00:11.1
Jan 25 09:26:20 rescue kernel: ide0: BM-DMA at 0xdc00-0xdc07, BIOS settings: hda:DMA, hdb:pio
Jan 25 09:26:20 rescue kernel: hda: IC35L040AVVN07-0, ATA DISK drive
Jan 25 09:26:20 rescue kernel: blk: queue c04ed6c0, I/O limit 4095Mb (mask 0xffffffff)
Jan 25 09:26:20 rescue kernel: ide0 at 0x1f0-0x1f7,0x3f6 on irq 14
Jan 25 09:26:20 rescue kernel: hda: attached ide-disk driver.
Jan 25 09:26:20 rescue kernel: hda: host protected area => 1
Jan 25 09:26:20 rescue kernel: hda: 80418240 sectors (41174 MB) w/1863KiB Cache, CHS=5005/255/63, UDMA(100)
Jan 25 09:26:20 rescue kernel: Partition check:
Jan 25 09:26:20 rescue kernel: hda: hda1 hda2 hda3
Jan 25 09:26:20 rescue kernel: SCSI subsystem driver Revision: 1.00
Jan 25 09:26:20 rescue kernel: Red Hat/Adaptec aacraid driver (1.1-3 Sep 30 2004 19:04:52)
Jan 25 09:26:20 rescue kernel: 3ware Storage Controller device driver for Linux v1.02.00.037.
Jan 25 09:26:20 rescue kernel: 3w-xxxx: No cards found.
Jan 25 09:26:20 rescue kernel: Fusion MPT base driver 2.05.16
Jan 25 09:26:20 rescue kernel: Copyright (c) 1999-2004 LSI Logic Corporation
Jan 25 09:26:20 rescue kernel: mptbase: 0 MPT adapters found, 0 installed.
Jan 25 09:26:20 rescue kernel: Fusion MPT SCSI Host driver 2.05.16
Jan 25 09:26:20 rescue kernel: LVM version 1.0.8(17/11/2003)
Jan 25 09:26:20 rescue kernel: NET4: Linux TCP/IP 1.0 for NET4.0
Jan 25 09:26:20 rescue kernel: IP Protocols: ICMP, UDP, TCP
Jan 25 09:26:20 rescue kernel: IP: routing cache hash table of 2048 buckets, 16Kbytes
Jan 25 09:26:20 rescue kernel: TCP: Hash tables configured (established 16384 bind 16384)
Jan 25 09:26:20 rescue kernel: NET4: Unix domain sockets 1.0/SMP for Linux NET4.0.
Jan 25 09:26:20 rescue kernel: RAMDISK: Compressed image found at block 0
Jan 25 09:26:20 rescue kernel: Freeing initrd memory: 27376k freed
Jan 25 09:26:20 rescue kernel: VFS: Mounted root (ext2 filesystem).
Jan 25 09:26:20 rescue kernel: Freeing unused kernel memory: 532k freed
Jan 25 09:26:20 rescue kernel: eth0: Setting full-duplex based on MII #1 link partner capability of 41e1.
Jan 25 09:46:18 rescue -- MARK --
Jan 25 10:06:18 rescue -- MARK --
Jan 25 10:26:18 rescue -- MARK --
rescue:/var/log#

marce
25.01.06, 10:41
... und jetzt bitte die Logfiles vom Server und nicht die vom Rescue-System.

Also die Platte des Servers mounten und dann dort in /var/log/*

strgv
25.01.06, 10:56
Wie kann ich die Platte des Servers mounten?

rescue:~# fdisk -l

Disk /dev/hda: 255 heads, 63 sectors, 5005 cylinders
Units = cylinders of 16065 * 512 bytes

Device Boot Start End Blocks Id System
/dev/hda1 1 33 265041 83 Linux
/dev/hda2 34 131 787185 82 Linux swap
/dev/hda3 132 5005 39150405 83 Linux
rescue:~# mount /dev/hda1
mount: can't find /dev/hda1 in /etc/fstab or /etc/mtab
rescue:~# mount /dev/hda3
mount: can't find /dev/hda3 in /etc/fstab or /etc/mtab
rescue:~#

marce
25.01.06, 11:16
ehrlich gesagt: ich fürchte, dass Du mit einem root-Server gnadenlos überfordert bist....

ich kenne das rescue-System von 1&1 nicht - aber die Bedienung davon sollte dort in der Hilfe doch irgendwo erklärt sein. Vielleicht ist die Platte ja auch schon gemountet - was sagt denn ein df?

übrigens gibt es lt. 1&1-HP kein Debian auf den Servern - nur SuSE...

Tomek
25.01.06, 11:22
In der Ausgabe ist zu finden:

Jan 25 09:26:20 rescue kernel: Partition check:
Jan 25 09:26:20 rescue kernel: hda: hda1 hda2 hda3 Vermutlich ist hda1 SWAP, hda2 /boot und hda3 das Root-Dateisystem. Wenn man jetzt noch davon ausgeht, dass ext3 verwendet wird, sollte man das hinbekommen. :)

Ich würde aber stattdessen mal die serielle Konsole in deinem SSH-Client einrichten und mal den normalen Bootvorgang beobachten um zu sehen, warum die Kiste nicht richtig startet.

EDIT: Nebenbei will ich auch mal auf die 1und1-Server-FAQ verweisen: http://faq.1und1.de/server/root_server/index.html

strgv
25.01.06, 11:41
@Marce
Ich glaube Du hast recht. Aber ich versuche trotzdem irgenwie das Prroblem zu lösen.
rescue:~# df
Filesystem 1k-blocks Used Available Use% Mounted on
/dev/ram0 79637 78542 1095 99% /
rescue:~#

derJoe
25.01.06, 13:58
In der Ausgabe ist zu finden:

Jan 25 09:26:20 rescue kernel: Partition check:
Jan 25 09:26:20 rescue kernel: hda: hda1 hda2 hda3 Vermutlich ist hda1 SWAP, hda2 /boot und hda3 das Root-Dateisystem.


rescue:~# fdisk -l

Disk /dev/hda: 255 heads, 63 sectors, 5005 cylinders
Units = cylinders of 16065 * 512 bytes

Device Boot Start End Blocks Id System
/dev/hda1 1 33 265041 83 Linux
/dev/hda2 34 131 787185 82 Linux swap
/dev/hda3 132 5005 39150405 83 Linux

Sieht eher nach hda1 /boot, hda2 swap und hda3 Root aus ;)

Gruß

derJoe

strgv
25.01.06, 15:28
ich habe jetzt folgende Schritte gemacht.(s.u.) Am ende habe die letzten Einträge von Datei "Messages" ausgegeben.
Könnte Ihr mir bitte mitteilen, was diese Einträge genau bedeuten?
Gibt es irgend ein Hinweis, die mir Helfen könnte das System in normal Modus zu starten? Danke.

rescue:~# fdisk -l

Disk /dev/hda: 255 heads, 63 sectors, 5005 cylinders
Units = cylinders of 16065 * 512 bytes

Device Boot Start End Blocks Id System
/dev/hda1 1 33 265041 83 Linux
/dev/hda2 34 131 787185 82 Linux swap
/dev/hda3 132 5005 39150405 83 Linux
rescue:~# mount /dev/hd3a /mnt
mount: special device /dev/hd3a does not exist
rescue:~# mount /dev/hda3 /mnt
rescue:~# mount /dev/hda3 /mnt/boot
rescue:~# mount /dev/hda1 /mnt/boot
rescue:~# umount /dev/hda3 /mnt/boot
rescue:~# chroot /mnt
rescue:/# pwd
/
rescue:/# cd /var/log
rescue:/var/log# ls
. mail-20050328.gz mail-20050819.gz messages-20041221.gz
.. mail-20050403.gz mail-20050825.gz messages-20050117.gz
YaST2 mail-20050409.gz mail-20050831.gz messages-20050213.gz
boot.msg mail-20050415.gz mail-20050906.gz messages-20050311.gz
boot.omsg mail-20050421.gz mail-20050912.gz messages-20050404.gz
faillog mail-20050427.gz mail-20050918.gz messages-20050501.gz
httpd mail-20050503.gz mail-20050924.gz messages-20050527.gz
lastlog mail-20050509.gz mail-20050930.gz messages-20050620.gz
localmessages mail-20050515.gz mail-20051006.gz messages-20050706.gz
mail mail-20050521.gz mail-20051012.gz messages-20050731.gz
mail-20050103.gz mail-20050527.gz mail-20051018.gz messages-20050826.gz
mail-20050109.gz mail-20050602.gz mail-20051024.gz messages-20050920.gz
mail-20050115.gz mail-20050608.gz mail-20051030.gz messages-20051014.gz
mail-20050121.gz mail-20050614.gz mail-20051105.gz messages-20051106.gz
mail-20050127.gz mail-20050620.gz mail-20051111.gz messages-20051129.gz
mail-20050202.gz mail-20050626.gz mail-20051117.gz messages-20051216.gz
mail-20050208.gz mail-20050702.gz mail-20051123.gz news
mail-20050214.gz mail-20050708.gz mail-20051129.gz ntp
mail-20050220.gz mail-20050714.gz mail-20051205.gz sapdb
mail-20050226.gz mail-20050720.gz mail-20051211.gz warn
mail-20050304.gz mail-20050726.gz mail-20051217.gz wtmp
mail-20050310.gz mail-20050801.gz mail-20051223.gz xferlog
mail-20050316.gz mail-20050807.gz mail-20051229.gz xinetd.log
mail-20050322.gz mail-20050813.gz messages
rescue:/var/log#


rescue:/var/log# tail messages
Jan 1 22:42:07 p15131154 kernel: 00000287 bfffbdb8 0000002b
Jan 1 22:42:07 p15131154 kernel: Call Trace: [system_call+51/56]
Jan 1 22:42:07 p15131154 kernel: Call Trace: [<c0106f23>]
Jan 1 22:42:07 p15131154 kernel:
Jan 1 22:42:07 p15131154 kernel: Code: 00 00 00 04 00 00 00 04 00 00 00 08 01 00 00 08 81 04 08 08
Jan 1 22:42:08 p15131154 dhcpcd[386]: terminating on signal 15
Jan 1 22:42:08 p15131154 dhcpcd[386]: modify_resolvconf restore
Jan 1 22:42:08 p15131154 kernel: <5>eth0: Promiscuous mode enabled.
Jan 1 22:42:08 p15131154 kernel: device eth0 left promiscuous mode
Jan 1 22:42:08 p15131154 dhcpcd[386]: modify_resolvconf returns 0
rescue:/var/log#

MiGo
25.01.06, 16:20
Hänge bitte mal die komplette "messages" hier an.
Jan 1 22:42:07 p15131154 kernel: 00000287 bfffbdb8 0000002b
Jan 1 22:42:07 p15131154 kernel: Call Trace: [system_call+51/56]
Jan 1 22:42:07 p15131154 kernel: Call Trace: [<c0106f23>]
Jan 1 22:42:07 p15131154 kernel:
Jan 1 22:42:07 p15131154 kernel: Code: 00 00 00 04 00 00 00 04 00 00 00 08 01 00 00 08 81 04 08 08
Da ist irgendwas abgestürzt. Liegt evtl. ein Hardware-Defekt vor?
Vielleicht ist allerdings das Rootkit auch nur gegen eine falsche glibc gelinkt :D

MiGo

P.S.: Macht der Server noch was anderes, ausser eine Internetseite bereit zu stellen? Wenn nicht gibst du vermutlich gerade unnötig viel Geld aus...

strgv
25.01.06, 16:34
Laut 1und1/Helpdesk liegt kein Hardwareproblem vor.
Auf dem Server laufen schon wichtige Applikationen/DB programme, die aber nicht permanent aufgerufen werden.
Ich habe jeztz bisschen mehr Details aud "messages" angehängt.


Jan 1 20:31:00 p15131154 /USR/SBIN/CRON[8328]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 20:32:00 p15131154 /USR/SBIN/CRON[8349]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 20:33:00 p15131154 /USR/SBIN/CRON[8361]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 20:34:00 p15131154 /USR/SBIN/CRON[8382]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 20:35:00 p15131154 /USR/SBIN/CRON[8394]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 20:36:00 p15131154 /USR/SBIN/CRON[8415]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 20:37:00 p15131154 /USR/SBIN/CRON[8427]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 20:38:00 p15131154 /USR/SBIN/CRON[8448]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 20:39:00 p15131154 /USR/SBIN/CRON[8460]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 20:40:00 p15131154 /USR/SBIN/CRON[8481]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 20:41:00 p15131154 /USR/SBIN/CRON[8493]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 20:42:00 p15131154 /USR/SBIN/CRON[8513]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 20:43:00 p15131154 /USR/SBIN/CRON[8525]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 20:44:00 p15131154 /USR/SBIN/CRON[8546]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 20:45:00 p15131154 /USR/SBIN/CRON[8560]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 20:46:00 p15131154 /USR/SBIN/CRON[8604]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 20:47:00 p15131154 /USR/SBIN/CRON[8616]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 20:48:00 p15131154 /USR/SBIN/CRON[8637]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 20:49:00 p15131154 /USR/SBIN/CRON[8649]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 20:50:00 p15131154 /USR/SBIN/CRON[8670]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 20:51:00 p15131154 /USR/SBIN/CRON[8682]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 20:52:00 p15131154 /USR/SBIN/CRON[8703]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 20:53:00 p15131154 /USR/SBIN/CRON[8715]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 20:54:00 p15131154 /USR/SBIN/CRON[8736]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 20:55:00 p15131154 /USR/SBIN/CRON[8748]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 20:56:00 p15131154 /USR/SBIN/CRON[8765]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 20:57:00 p15131154 /USR/SBIN/CRON[8781]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 20:58:00 p15131154 /USR/SBIN/CRON[8798]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 20:59:00 p15131154 /USR/SBIN/CRON[8815]: (root) CMD ( rm -f /var/spool/cron/lastrun/cron.hourly)
Jan 1 20:59:00 p15131154 /USR/SBIN/CRON[8816]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:00:00 p15131154 /USR/SBIN/CRON[8838]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:01:00 p15131154 /USR/SBIN/CRON[8877]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:02:00 p15131154 /USR/SBIN/CRON[8894]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:03:00 p15131154 /USR/SBIN/CRON[8910]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:04:00 p15131154 /USR/SBIN/CRON[8927]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:05:00 p15131154 /USR/SBIN/CRON[8940]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:06:00 p15131154 /USR/SBIN/CRON[8959]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:07:00 p15131154 /USR/SBIN/CRON[8971]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:08:00 p15131154 /USR/SBIN/CRON[8992]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:09:00 p15131154 /USR/SBIN/CRON[9004]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:10:00 p15131154 /USR/SBIN/CRON[9025]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:11:00 p15131154 /USR/SBIN/CRON[9037]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:12:00 p15131154 /USR/SBIN/CRON[9058]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:13:00 p15131154 /USR/SBIN/CRON[9070]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:14:00 p15131154 /USR/SBIN/CRON[9091]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:15:00 p15131154 /USR/SBIN/CRON[9105]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:16:00 p15131154 /USR/SBIN/CRON[9149]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:17:00 p15131154 /USR/SBIN/CRON[9161]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:18:00 p15131154 /USR/SBIN/CRON[9182]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:19:00 p15131154 /USR/SBIN/CRON[9194]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:20:00 p15131154 /USR/SBIN/CRON[9215]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:21:00 p15131154 /USR/SBIN/CRON[9227]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:22:00 p15131154 /USR/SBIN/CRON[9248]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:23:00 p15131154 /USR/SBIN/CRON[9260]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:24:00 p15131154 /USR/SBIN/CRON[9281]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:25:00 p15131154 /USR/SBIN/CRON[9293]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:26:00 p15131154 /USR/SBIN/CRON[9313]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:27:00 p15131154 /USR/SBIN/CRON[9325]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:28:00 p15131154 /USR/SBIN/CRON[9346]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:29:00 p15131154 /USR/SBIN/CRON[9358]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:30:00 p15131154 /USR/SBIN/CRON[9381]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:31:00 p15131154 /USR/SBIN/CRON[9416]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:32:00 p15131154 /USR/SBIN/CRON[9436]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:33:00 p15131154 /USR/SBIN/CRON[9448]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:34:00 p15131154 /USR/SBIN/CRON[9469]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:35:00 p15131154 /USR/SBIN/CRON[9481]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:36:00 p15131154 /USR/SBIN/CRON[9502]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:37:00 p15131154 /USR/SBIN/CRON[9514]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:38:00 p15131154 /USR/SBIN/CRON[9535]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:39:00 p15131154 /USR/SBIN/CRON[9547]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:40:00 p15131154 /USR/SBIN/CRON[9568]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:41:00 p15131154 /USR/SBIN/CRON[9580]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:42:00 p15131154 /USR/SBIN/CRON[9601]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:43:00 p15131154 /USR/SBIN/CRON[9613]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:44:00 p15131154 /USR/SBIN/CRON[9634]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:45:00 p15131154 /USR/SBIN/CRON[9648]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:46:00 p15131154 /USR/SBIN/CRON[9692]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:47:00 p15131154 /USR/SBIN/CRON[9704]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:48:00 p15131154 /USR/SBIN/CRON[9725]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:49:00 p15131154 /USR/SBIN/CRON[9737]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:50:00 p15131154 /USR/SBIN/CRON[9758]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:51:00 p15131154 /USR/SBIN/CRON[9770]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:52:00 p15131154 /USR/SBIN/CRON[9791]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:53:00 p15131154 /USR/SBIN/CRON[9803]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:54:00 p15131154 /USR/SBIN/CRON[9824]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:55:00 p15131154 /USR/SBIN/CRON[9836]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:56:00 p15131154 /USR/SBIN/CRON[9856]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:57:00 p15131154 /USR/SBIN/CRON[9868]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:58:00 p15131154 /USR/SBIN/CRON[9889]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 21:59:00 p15131154 /USR/SBIN/CRON[9902]: (root) CMD ( rm -f /var/spool/cron/lastrun/cron.hourly)
Jan 1 21:59:00 p15131154 /USR/SBIN/CRON[9903]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 22:00:00 p15131154 /USR/SBIN/CRON[9929]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 22:01:00 p15131154 /USR/SBIN/CRON[9964]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 22:02:00 p15131154 /USR/SBIN/CRON[9985]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 22:03:00 p15131154 /USR/SBIN/CRON[9997]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 22:04:00 p15131154 /USR/SBIN/CRON[10018]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 22:05:00 p15131154 /USR/SBIN/CRON[10030]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 22:06:00 p15131154 /USR/SBIN/CRON[10051]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 22:07:00 p15131154 /USR/SBIN/CRON[10063]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 22:08:00 p15131154 /USR/SBIN/CRON[10094]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 22:08:03 p15131154 sshd[10083]: Could not reverse map address 211.121.160.90.
Jan 1 22:08:06 p15131154 sshd[10085]: Could not reverse map address 211.121.160.90.
Jan 1 22:08:08 p15131154 sshd[10087]: Could not reverse map address 211.121.160.90.
Jan 1 22:08:11 p15131154 sshd[10089]: Could not reverse map address 211.121.160.90.
Jan 1 22:08:13 p15131154 sshd[10091]: Could not reverse map address 211.121.160.90.
Jan 1 22:08:14 p15131154 sshd[10097]: Could not reverse map address 211.121.160.90.
Jan 1 22:08:17 p15131154 sshd[10103]: Could not reverse map address 211.121.160.90.
Jan 1 22:08:20 p15131154 sshd[10105]: Could not reverse map address 211.121.160.90.
Jan 1 22:08:22 p15131154 sshd[10107]: Could not reverse map address 211.121.160.90.
Jan 1 22:08:24 p15131154 sshd[10109]: Could not reverse map address 211.121.160.90.
Jan 1 22:08:26 p15131154 sshd[10111]: Could not reverse map address 211.121.160.90.
Jan 1 22:08:26 p15131154 sshd[10111]: Failed password for cyrus from 211.121.160.90 port 40450 ssh2
Jan 1 22:09:00 p15131154 /USR/SBIN/CRON[10118]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 22:10:00 p15131154 /USR/SBIN/CRON[10139]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 22:11:00 p15131154 /USR/SBIN/CRON[10151]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 22:12:00 p15131154 /USR/SBIN/CRON[10171]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 22:13:00 p15131154 /USR/SBIN/CRON[10183]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 22:14:00 p15131154 /USR/SBIN/CRON[10204]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 22:15:00 p15131154 /USR/SBIN/CRON[10218]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 22:16:00 p15131154 /USR/SBIN/CRON[10262]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 22:17:00 p15131154 /USR/SBIN/CRON[10274]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 22:18:00 p15131154 /USR/SBIN/CRON[10295]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 22:18:54 p15131154 sshd[10306]: Failed password for root from 83.39.184.203 port 3722 ssh2
Jan 1 22:19:00 p15131154 /USR/SBIN/CRON[10311]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 22:20:00 p15131154 /USR/SBIN/CRON[10337]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 22:21:00 p15131154 /USR/SBIN/CRON[10351]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 22:21:59 p15131154 /USR/SBIN/CRON[10372]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 22:23:01 p15131154 /USR/SBIN/CRON[10384]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 22:23:59 p15131154 /USR/SBIN/CRON[10405]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 22:25:01 p15131154 /USR/SBIN/CRON[10417]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 22:25:59 p15131154 /USR/SBIN/CRON[10438]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 22:27:01 p15131154 /USR/SBIN/CRON[10450]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 22:27:59 p15131154 /USR/SBIN/CRON[10471]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 22:29:01 p15131154 /USR/SBIN/CRON[10483]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 22:29:59 p15131154 /USR/SBIN/CRON[10506]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 22:31:01 p15131154 /USR/SBIN/CRON[10541]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 22:31:59 p15131154 /USR/SBIN/CRON[10562]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 22:33:01 p15131154 /USR/SBIN/CRON[10578]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 22:33:59 p15131154 /USR/SBIN/CRON[10613]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 22:35:01 p15131154 /USR/SBIN/CRON[10656]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 22:35:59 p15131154 /USR/SBIN/CRON[10702]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 22:36:55 p15131154 stunnel[10715]: Using 'qpopper' as tcpwrapper service name
Jan 1 22:36:55 p15131154 stunnel[10715]: Wrong permissions on /etc/stunnel/stunnel.pem
Jan 1 22:36:55 p15131154 stunnel[10715]: stunnel 3.14 on i586-suse-linux PTHREAD
Jan 1 22:36:55 p15131154 stunnel[10715]: qpopper connected from 83.39.184.203:3792
Jan 1 22:37:01 p15131154 /USR/SBIN/CRON[10720]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 22:37:01 p15131154 stunnel[10715]: SSL_accept: error:00000000:lib(0):func(0):reason(0)
Jan 1 22:37:59 p15131154 /USR/SBIN/CRON[10743]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 22:38:25 p15131154 kernel: Unable to handle kernel NULL pointer dereference at virtual address 0000003b
Jan 1 22:38:25 p15131154 kernel: printing eip:
Jan 1 22:38:25 p15131154 kernel: c505e0cd
Jan 1 22:38:25 p15131154 kernel: *pde = 00000000
Jan 1 22:38:25 p15131154 kernel: Oops: 0002
Jan 1 22:38:25 p15131154 kernel: CPU: 0
Jan 1 22:38:25 p15131154 kernel: EIP: 0010:[ipt_REDIRECT:__insmod_ipt_REDIRECT_O/lib/modules/2.4.20/kernel/net/ipv4/+-184733491/96] Not tainted
Jan 1 22:38:25 p15131154 kernel: EIP: 0010:[<c505e0cd>] Not tainted
Jan 1 22:38:25 p15131154 kernel: EFLAGS: 00010283
Jan 1 22:38:25 p15131154 kernel: eax: 0000003b ebx: c2fa8000 ecx: bfffbd28 edx: 00000018
Jan 1 22:38:25 p15131154 kernel: esi: bffffe7d edi: 0804c8c1 ebp: c2fa9fb8 esp: c2fa9fb4
Jan 1 22:38:25 p15131154 kernel: ds: 0018 es: 0018 ss: 0018
Jan 1 22:38:25 p15131154 kernel: Process init (pid: 10752, stackpage=c2fa9000)
Jan 1 22:38:25 p15131154 kernel: Stack: c2fa0018 c2fa9fbc bfffbcfc c0106f23 bfffbd28 bfffbd28 0000000a bffffe7d
Jan 1 22:38:25 p15131154 kernel: 0804c8c1 bfffbcfc 0000003b 0000002b 0000002b 0000003b 08048b63 00000023
Jan 1 22:38:25 p15131154 kernel: 00000287 bfffbcf8 0000002b
Jan 1 22:38:25 p15131154 kernel: Call Trace: [system_call+51/56]
Jan 1 22:38:25 p15131154 kernel: Call Trace: [<c0106f23>]
Jan 1 22:38:25 p15131154 kernel:
Jan 1 22:38:25 p15131154 kernel: Code: 00 00 00 04 00 00 00 04 00 00 00 08 01 00 00 08 81 04 08 08
Jan 1 22:39:01 p15131154 /USR/SBIN/CRON[10766]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 22:39:59 p15131154 /USR/SBIN/CRON[10794]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 22:40:47 p15131154 kernel: <1>Unable to handle kernel NULL pointer dereference at virtual address 0000003b
Jan 1 22:40:47 p15131154 kernel: printing eip:
Jan 1 22:40:47 p15131154 kernel: c505e0cd
Jan 1 22:40:47 p15131154 kernel: *pde = 00000000
Jan 1 22:40:47 p15131154 kernel: Oops: 0002
Jan 1 22:40:47 p15131154 kernel: CPU: 0
Jan 1 22:40:47 p15131154 kernel: EIP: 0010:[ipt_REDIRECT:__insmod_ipt_REDIRECT_O/lib/modules/2.4.20/kernel/net/ipv4/+-184733491/96] Not tainted
Jan 1 22:40:47 p15131154 kernel: EIP: 0010:[<c505e0cd>] Not tainted
Jan 1 22:40:47 p15131154 kernel: EFLAGS: 00010283
Jan 1 22:40:47 p15131154 kernel: eax: 0000003b ebx: ceec6000 ecx: bfffbd18 edx: 00000018
Jan 1 22:40:47 p15131154 kernel: esi: bffffe73 edi: 0804c8c1 ebp: ceec7fb8 esp: ceec7fb4
Jan 1 22:40:47 p15131154 kernel: ds: 0018 es: 0018 ss: 0018
Jan 1 22:40:47 p15131154 kernel: Process init (pid: 10809, stackpage=ceec7000)
Jan 1 22:40:47 p15131154 kernel: Stack: ceec0018 ceec7fbc bfffbcec c0106f23 bfffbd18 bfffbd18 0000000a bffffe73
Jan 1 22:40:47 p15131154 kernel: 0804c8c1 bfffbcec 0000003b 0000002b 0000002b 0000003b 08048b63 00000023
Jan 1 22:40:47 p15131154 kernel: 00000287 bfffbce8 0000002b
Jan 1 22:40:47 p15131154 kernel: Call Trace: [system_call+51/56]
Jan 1 22:40:47 p15131154 kernel: Call Trace: [<c0106f23>]
Jan 1 22:40:47 p15131154 kernel:
Jan 1 22:40:47 p15131154 kernel: Code: 00 00 00 04 00 00 00 04 00 00 00 08 01 00 00 08 81 04 08 08
Jan 1 22:41:00 p15131154 /USR/SBIN/CRON[10812]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 22:41:54 p15131154 kernel: <1>Unable to handle kernel NULL pointer dereference at virtual address 0000003b
Jan 1 22:41:54 p15131154 kernel: printing eip:
Jan 1 22:41:54 p15131154 kernel: c505e0cd
Jan 1 22:41:54 p15131154 kernel: *pde = 00000000
Jan 1 22:41:54 p15131154 kernel: Oops: 0002
Jan 1 22:41:54 p15131154 kernel: CPU: 0
Jan 1 22:41:54 p15131154 kernel: EIP: 0010:[ipt_REDIRECT:__insmod_ipt_REDIRECT_O/lib/modules/2.4.20/kernel/net/ipv4/+-184733491/96] Not tainted
Jan 1 22:41:54 p15131154 kernel: EIP: 0010:[<c505e0cd>] Not tainted
Jan 1 22:41:54 p15131154 kernel: EFLAGS: 00010283
Jan 1 22:41:54 p15131154 kernel: eax: 0000003b ebx: c4a44000 ecx: bfffbd18 edx: 00000018
Jan 1 22:41:54 p15131154 kernel: esi: bffffe73 edi: 0804c8c1 ebp: c4a45fb8 esp: c4a45fb4
Jan 1 22:41:54 p15131154 kernel: ds: 0018 es: 0018 ss: 0018
Jan 1 22:41:54 p15131154 kernel: Process init (pid: 10841, stackpage=c4a45000)
Jan 1 22:41:54 p15131154 kernel: Stack: c4a40018 c4a45fbc bfffbcec c0106f23 bfffbd18 bfffbd18 0000000a bffffe73
Jan 1 22:41:54 p15131154 kernel: 0804c8c1 bfffbcec 0000003b 0000002b 0000002b 0000003b 08048b63 00000023
Jan 1 22:41:54 p15131154 kernel: 00000287 bfffbce8 0000002b
Jan 1 22:41:54 p15131154 kernel: Call Trace: [system_call+51/56]
Jan 1 22:41:54 p15131154 kernel: Call Trace: [<c0106f23>]
Jan 1 22:41:54 p15131154 kernel:
Jan 1 22:41:54 p15131154 kernel: Code: 00 00 00 04 00 00 00 04 00 00 00 08 01 00 00 08 81 04 08 08
Jan 1 22:42:00 p15131154 /USR/SBIN/CRON[10844]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 1 22:42:04 p15131154 kernel: <1>Unable to handle kernel NULL pointer dereference at virtual address 0000003b
Jan 1 22:42:04 p15131154 kernel: printing eip:
Jan 1 22:42:04 p15131154 kernel: c505e0cd
Jan 1 22:42:04 p15131154 kernel: *pde = 00000000
Jan 1 22:42:04 p15131154 kernel: Oops: 0002
Jan 1 22:42:04 p15131154 kernel: CPU: 0
Jan 1 22:42:04 p15131154 kernel: EIP: 0010:[ipt_REDIRECT:__insmod_ipt_REDIRECT_O/lib/modules/2.4.20/kernel/net/ipv4/+-184733491/96] Not tainted
Jan 1 22:42:04 p15131154 kernel: EIP: 0010:[<c505e0cd>] Not tainted
Jan 1 22:42:04 p15131154 kernel: EFLAGS: 00010283
Jan 1 22:42:04 p15131154 kernel: eax: 0000003b ebx: c34dc000 ecx: bfffbd18 edx: 00000018
Jan 1 22:42:04 p15131154 kernel: esi: bffffe73 edi: 0804c8c1 ebp: c34ddfb8 esp: c34ddfb4
Jan 1 22:42:04 p15131154 kernel: ds: 0018 es: 0018 ss: 0018
Jan 1 22:42:04 p15131154 kernel: Process init (pid: 10850, stackpage=c34dd000)
Jan 1 22:42:04 p15131154 kernel: Stack: c34d0018 c34ddfbc bfffbcec c0106f23 bfffbd18 bfffbd18 0000000a bffffe73
Jan 1 22:42:04 p15131154 kernel: 0804c8c1 bfffbcec 0000003b 0000002b 0000002b 0000003b 08048b63 00000023
Jan 1 22:42:04 p15131154 kernel: 00000287 bfffbce8 0000002b
Jan 1 22:42:04 p15131154 kernel: Call Trace: [system_call+51/56]
Jan 1 22:42:04 p15131154 kernel: Call Trace: [<c0106f23>]
Jan 1 22:42:04 p15131154 kernel:
Jan 1 22:42:04 p15131154 kernel: Code: 00 00 00 04 00 00 00 04 00 00 00 08 01 00 00 08 81 04 08 08
Jan 1 22:42:07 p15131154 kernel: <1>Unable to handle kernel NULL pointer dereference at virtual address 0000003b
Jan 1 22:42:07 p15131154 kernel: printing eip:
Jan 1 22:42:07 p15131154 kernel: c505e0cd
Jan 1 22:42:07 p15131154 kernel: *pde = 00000000
Jan 1 22:42:07 p15131154 kernel: Oops: 0002
Jan 1 22:42:07 p15131154 kernel: CPU: 0
Jan 1 22:42:07 p15131154 kernel: EIP: 0010:[ipt_REDIRECT:__insmod_ipt_REDIRECT_O/lib/modules/2.4.20/kernel/net/ipv4/+-184733491/96] Not tainted
Jan 1 22:42:07 p15131154 kernel: EIP: 0010:[<c505e0cd>] Not tainted
Jan 1 22:42:07 p15131154 kernel: EFLAGS: 00010283
Jan 1 22:42:07 p15131154 kernel: eax: 0000003b ebx: c183e000 ecx: bfffbde8 edx: 00000018
Jan 1 22:42:07 p15131154 kernel: esi: bfffff2c edi: 0804c8c1 ebp: c183ffb8 esp: c183ffb4
Jan 1 22:42:07 p15131154 kernel: ds: 0018 es: 0018 ss: 0018
Jan 1 22:42:07 p15131154 kernel: Process telinit (pid: 10863, stackpage=c183f000)
Jan 1 22:42:07 p15131154 kernel: Stack: c1830018 c183ffbc bfffbdbc c0106f23 bfffbde8 bfffbde8 0000000a bfffff2c
Jan 1 22:42:07 p15131154 kernel: 0804c8c1 bfffbdbc 0000003b 0000002b 0000002b 0000003b 08048b63 00000023
Jan 1 22:42:07 p15131154 kernel: 00000287 bfffbdb8 0000002b
Jan 1 22:42:07 p15131154 kernel: Call Trace: [system_call+51/56]
Jan 1 22:42:07 p15131154 kernel: Call Trace: [<c0106f23>]
Jan 1 22:42:07 p15131154 kernel:
Jan 1 22:42:07 p15131154 kernel: Code: 00 00 00 04 00 00 00 04 00 00 00 08 01 00 00 08 81 04 08 08
Jan 1 22:42:08 p15131154 dhcpcd[386]: terminating on signal 15
Jan 1 22:42:08 p15131154 dhcpcd[386]: modify_resolvconf restore
Jan 1 22:42:08 p15131154 kernel: <5>eth0: Promiscuous mode enabled.
Jan 1 22:42:08 p15131154 kernel: device eth0 left promiscuous mode
Jan 1 22:42:08 p15131154 dhcpcd[386]: modify_resolvconf returns 0
rescue:/var/log#

mbo
25.01.06, 17:12
Auf dem Server laufen schon wichtige Applikationen/DB programme, die aber nicht permanent aufgerufen werden.
Ich habe jeztz bisschen mehr Details aud "messages" angehängt.
...
Jan 1 22:08:03 p15131154 sshd[10083]: Could not reverse map address 211.121.160.90.
Jan 1 22:08:26 p15131154 sshd[10111]: Failed password for cyrus from 211.121.160.90 port 40450 ssh2

Eine IP-Adresse aus Japan ohne Hosteintrag ..



Jan 1 22:36:55 p15131154 stunnel[10715]: Using 'qpopper' as tcpwrapper service name
Jan 1 22:36:55 p15131154 stunnel[10715]: Wrong permissions on /etc/stunnel/stunnel.pem
Jan 1 22:36:55 p15131154 stunnel[10715]: stunnel 3.14 on i586-suse-linux PTHREAD
Jan 1 22:36:55 p15131154 stunnel[10715]: qpopper connected from 83.39.184.203:3792
...
Jan 1 22:37:01 p15131154 stunnel[10715]: SSL_accept: error:00000000:lib(0):func(0):reason(0)
...


Hm, hier kommt ein Kerneloops ...


Jan 1 22:38:25 p15131154 kernel: Unable to handle kernel NULL pointer dereference at virtual address 0000003b
Jan 1 22:38:25 p15131154 kernel: printing eip:
Jan 1 22:38:25 p15131154 kernel: c505e0cd
Jan 1 22:38:25 p15131154 kernel: *pde = 00000000
Jan 1 22:38:25 p15131154 kernel: Oops: 0002
Jan 1 22:38:25 p15131154 kernel: CPU: 0
Jan 1 22:38:25 p15131154 kernel: EIP: 0010:[ipt_REDIRECT:__insmod_ipt_REDIRECT_O/lib/modules/2.4.20/kernel/net/ipv4/+-184733491/96] Not tainted
Jan 1 22:38:25 p15131154 kernel: EIP: 0010:[<c505e0cd>] Not tainted
Jan 1 22:38:25 p15131154 kernel: EFLAGS: 00010283
Jan 1 22:38:25 p15131154 kernel: eax: 0000003b ebx: c2fa8000 ecx: bfffbd28 edx: 00000018
Jan 1 22:38:25 p15131154 kernel: esi: bffffe7d edi: 0804c8c1 ebp: c2fa9fb8 esp: c2fa9fb4
Jan 1 22:38:25 p15131154 kernel: ds: 0018 es: 0018 ss: 0018
Jan 1 22:38:25 p15131154 kernel: Process init (pid: 10752, stackpage=c2fa9000)
Jan 1 22:38:25 p15131154 kernel: Stack: c2fa0018 c2fa9fbc bfffbcfc c0106f23 bfffbd28 bfffbd28 0000000a bffffe7d
Jan 1 22:38:25 p15131154 kernel: 0804c8c1 bfffbcfc 0000003b 0000002b 0000002b 0000003b 08048b63 00000023
Jan 1 22:38:25 p15131154 kernel: 00000287 bfffbcf8 0000002b
Jan 1 22:38:25 p15131154 kernel: Call Trace: [system_call+51/56]
Jan 1 22:38:25 p15131154 kernel: Call Trace: [<c0106f23>]
Jan 1 22:38:25 p15131154 kernel:
Jan 1 22:38:25 p15131154 kernel: Code: 00 00 00 04 00 00 00 04 00 00 00 08 01 00 00 08 81 04 08 08


... und noch einer (?)


Jan 1 22:40:47 p15131154 kernel: <1>Unable to handle kernel NULL pointer dereference at virtual address 0000003b
Jan 1 22:40:47 p15131154 kernel: printing eip:
Jan 1 22:40:47 p15131154 kernel: c505e0cd
Jan 1 22:40:47 p15131154 kernel: *pde = 00000000
Jan 1 22:40:47 p15131154 kernel: Oops: 0002
Jan 1 22:40:47 p15131154 kernel: CPU: 0
Jan 1 22:40:47 p15131154 kernel: EIP: 0010:[ipt_REDIRECT:__insmod_ipt_REDIRECT_O/lib/modules/2.4.20/kernel/net/ipv4/+-184733491/96] Not tainted
Jan 1 22:40:47 p15131154 kernel: EIP: 0010:[<c505e0cd>] Not tainted
Jan 1 22:40:47 p15131154 kernel: EFLAGS: 00010283
Jan 1 22:40:47 p15131154 kernel: eax: 0000003b ebx: ceec6000 ecx: bfffbd18 edx: 00000018
Jan 1 22:40:47 p15131154 kernel: esi: bffffe73 edi: 0804c8c1 ebp: ceec7fb8 esp: ceec7fb4
Jan 1 22:40:47 p15131154 kernel: ds: 0018 es: 0018 ss: 0018
Jan 1 22:40:47 p15131154 kernel: Process init (pid: 10809, stackpage=ceec7000)

Du weiß nicht zufällig noch, welcher Prozess die ID 10809 hatte?

Da hatte ipt_redirect ein Problem. Ursachen kann es dafür viele geben, im Zweifelsfall "ein falsch gelinktes rootkit" oder einfach nur fehlerhafte Pakete.
Nur wie wird aus dem oops ein Panic bei dir? Die Infos fehlen da.
Das würde ich mir gerne genauer ansehen, dazu wird aber ne Shell nötig sein.

cu/2 iae

marce
25.01.06, 17:19
hm, ohne exakt alles gelesen zu haben - sieht so aus, als ob da ein unerwünschter Besucher da war...

.morph
25.01.06, 17:26
Hi,

als allererstes wäre von Nöten bei Dir zu Hause einen Debianrechner einzurichten damit Du die Vorgänge besser begreifen lernst. Die CDs sind kostenlos verfügbar. Am besten per Bittorrent runterladen. Geht aber auch per HTTP/FTP.

http://www.debian.org/CD/

Im Letzten Posting sieht man, dass da Leute versuchen sich per ssh anzumelden.

Der Punkt ist folgender:
Auch wenn SSH eingesetzt wird, sollte das System so eingerichtet sein, dass root sich nicht remote anmelden darf. Wenn nun 1und1 sein Netzwerk nicht richtig überwacht, kann ein Angreifer ohne Probleme einen Brutforce auf Deinen Server durchführen. Und davon muss man immer ausgehen. Du weißt nie, welcher überwachende Administrator gerade einen Brass auf seinen Chef hat. ;)

Außerdem: Äußerste Vorsicht mit Confixx! :eek:
http://www.securityfocus.com/bid/13355
http://www.securityfocus.com/bid/10607
http://www.securityfocus.com/bid/9831
http://www.securityfocus.com/bid/9830

Dringend die eingesetzte Version checken!

Dann:


qpopper connected from 83.39.184.203:3792

qpopper ist ein tcpwrapper. Was man damit machen kann? Informiere Dich!

Ich ahne schreckliches! Außerdem sieht man, dass da einer mit SuSE Linux am Werk war. Und by the way, das war ein Volldepp. :)

Verwende mal meine WHOIS Abfrage (Link in der Signatur) um wenigstens herauszufinden, aus welchem Netzwerk die bösen Buben kamen. Dort wirst Du dann auch meist auch eine abuse-eMailadresse finden, an die Du diese Einbruchsversuche, und vor allem die Erfolgreichen, melden kannst.

Auf jeden Fall solche Sachen immer im Auge behalten, und vor allem die eigene IP kennen mit der man sich am RootServer anmeldet!

So 'ne Geschichten können für Dich richtig teuer werden, denn ein Anbieter von RootServern zieht sich da immer galant aus der Affähre! ;)

Sei mir nicht bös' wenn ich das jetzt so hart sage, aber lerne erst mal mit Linux umzugehen, bevor Du an einen RootServer gehst. Hier im Forum gibt es einen super Thread über dieses Thema.

-uw

Roger Wilco
25.01.06, 19:49
@strgv:
Der von dir eingesetzte Kernel ist ein bisschen alt und es gab einige ausnutzbare Sicherheitslücken, um Root-Rechte zu erlangen. Die Kernel-Oopses sind IMHO auf den (gescheiterten?) Versuch zurückzuführen, ein Rootkit zu installieren (wie auch mbo schon vermutet hat).


Im Letzten Posting sieht man, dass da Leute versuchen sich per ssh anzumelden.
Gewöhnliches Hintergrundrauschen. Solange die Logins nicht erfolgreich waren, kein Grund zur Sorge.


Wenn nun 1und1 sein Netzwerk nicht richtig überwacht, kann ein Angreifer ohne Probleme einen Brutforce auf Deinen Server durchführen.
Was hat das Eine mit dem Anderen zu tun? Was interessiert es den Provider, ob Verbindungsversuche zu dem sshd auf einem Root-Server unternommen werden, solange diese nicht aus dem eigenen Netz stammen?


qpopper ist ein tcpwrapper. Was man damit machen kann? Informiere Dich!
qpopper ist ein POP3-Daemon...


Ich ahne schreckliches! Außerdem sieht man, dass da einer mit SuSE Linux am Werk war. Und by the way, das war ein Volldepp. :)
Dir ist aber schon klar, dass das die Distribution ist, die auf dem Root-Server läuft, oder?


So 'ne Geschichten können für Dich richtig teuer werden, denn ein Anbieter von RootServern zieht sich da immer galant aus der Affähre! ;)
Klar, deswegen sind es ja auch Root-Server, weil man die so leicht r00ten kann. ;)

.morph
25.01.06, 20:01
qpopper ist ein POP3-Daemon...
Aha.



Dir ist aber schon klar, dass das die Distribution ist, die auf dem Root-Server läuft, oder?
Bist Du sicher? Dann lade Dir die 1. Seite des Threads noch einmal und fang von vorne an zu lesen. ;)

EDIT:
Natürlich sollte es einen Anbieter von Rootservern interessieren, wenn Bruteforces durchgeführt werden. Ich hatte auch nicht gesagt, dass das passiert ist, sondern dass das möglich ist.

-uw

Roger Wilco
25.01.06, 20:09
Bist Du sicher? Dann lade Dir die 1. Seite des Threads noch einmal und fang von vorne an zu lesen. ;)
Dito. Rescue-System -> Debian, System auf der Festplatte -> Suse. Der Logauszug kam von der Festplatte...

.morph
25.01.06, 20:19
Das würde ja bedeuten, das Resque-System ist gar nicht sein Rootserver. Aha, wieder was gelernt.

Würde das weiterhin bedeuten, dass 1und1 seinen Server schon vom Netz getrennt hat? Wieso benachrichtigen die ihn dann nicht?

-uw

Roger Wilco
25.01.06, 20:26
Das Rescue-System wird über das Netzwerk gebootet. Das System läuft schon auf seinem Root-Server, aber komplett im Hauptspeicher. Auf die Festplatte des Servers kann man aus dem Rescue-System aber trotzdem, auch wenn sie nicht per default eingehängt ist. Das ist z. B. hilfreich, wenn der Server geknackt wurde (*hint*, *hint*) und du die Festplatte noch analysieren oder deine Daten sichern willst.

.morph
25.01.06, 20:32
Aha, so ist das. Na dann muss ich mich für den unqualifiziertern Teil meiner Posts mal entschuldigen.

Man lernt nie aus. ;)

-uw

Tomek
25.01.06, 21:48
Verschoben ins Forum "Server und Clients".

.morph
26.01.06, 20:16
Vielen Dank auch. :))

Ich hab's verstanden. Ich bin ja lernfähig.

greetz.

Sargnagel
03.02.06, 13:17
ehrlich gesagt: ich fürchte, dass Du mit einem root-Server gnadenlos überfordert bist....

ich kenne das rescue-System von 1&1 nicht - aber die Bedienung davon sollte dort in der Hilfe doch irgendwo erklärt sein. Vielleicht ist die Platte ja auch schon gemountet - was sagt denn ein df?

übrigens gibt es lt. 1&1-HP kein Debian auf den Servern - nur SuSE...

Der serielle Konsolenserver läuft bei meinem Rootserver (1und1) unter Debian...

marce
03.02.06, 13:20
... nur hat das vermutlich mit dem realen System auf dem Rechner wenig zu tun, oder? Und da gibt's bei 1&1 eben _kein_ Debain.

forux
10.12.06, 16:12
http://www.linuxforen.de/forums/showthread.php?p=1468606#post1468606

michael.sprick
10.12.06, 17:45
ich habe seit heute ein ahnliches problem
du meinst das Problem, keine Dokumentation lesen zu können, die FAQ vom Provider nicht zu finden oder nichtmal diesen Thread genau lesen zu können? Jaja... damit bist Du in der Tat nicht allein.

1) Rescue System booten
2) fdisk -l
3) Device der root-Partition "/" ablesen ... zum Beispiel: /dev/hda3
4) mkdir /root/system
5) mount /dev/hda3 /root/system

In /root/system solltest Du nun den Inhalt von /dev/hda3 sehen...

Wenn Du dann auch noch chrooten willst:

6) mount -t proc none /root/system/proc
7) chroot /root/system /bin/bash


viel Glück

mbo
11.12.06, 19:40
Immer diese Leichfledderei ;)