NeWsOfTzzz
02.04.08, 16:20
Ich hab einen Linuxserver(Debian) und erst hat ein Dienst mit Verbindungsabbrüchen zu kämpfen, ich logg mich ein per SSH und selbst SSH "ruckelt", teilweise 10 Sekunden und mehr keine Rückmeldung obwohl Pings in beide Richtungen absolut perfekt ablaufen.
Ich hab testweise alle meine Serverdienste beendet und dann schau ich per free -m rein:
total used free shared buffers cached
Mem: 987 912 75 0 186 90
-/+ buffers/cache: 635 352
Swap: 976 0 976
Jetzt war der problematische Dienst der "betagte" Jabber Server der per Debian Paketmanager verteilt wird (apt-get jabber) und ich hab jetzt natürlich Angst dass dort eine Sicherheitslücke drin war oder eventuell auch ein Speicherleck.
Jetzt hab ich mehrere Fragen/Probleme:
1) Was zählt eigentlich für den Speicherverbrauch eines Prozesses? Der virtuelle Speicher (VIRT) oder der residente Speicher (RES)? Also ist der Kernel so schlau den nicht benutzen virtuellen Speicher wieder freizugeben oder wird er komplett reserviert?
2) Selbst wenn ich alle virtuellen Speicher aller Prozesse zusammenzähle komme ich gerade mal auf knapp 200MB, wo kommen die anderen 435 MB her? Kann ein guter Hacker seinen Prozess verstecken vor Linux? Wenn ja wie kann man solche Prozesse finden?
3) Wenn ich die residenten Speicher zusammenzähle komme ich gerade mal auf ~30MB, das wäre natürlich noch krasser!
Meine Überprüfung auf Logins eines Hackers (last -10) sind erfolglos, aber er würde ja sowieso den Log löschen. Da ich hier noch auf einem Windows PC arbeite ist es durchaus möglich dass jemand per Virus an den Rootlogin gekommen ist, bei den Antworten bitte das bedenken!
PS: Zumindestens mein extern gemessener Traffic zeigt keine Bewegung an, daher wird das mit dem gehackt sein wohl doch eher unwahrscheinlich sein.
PPS: chkrootkit sagt das:
The following suspicious files and directories were found:
/lib/init/rw/.ramfs
Hab's gegoogled scheint normal zu sein auf Debian.
Ich hab testweise alle meine Serverdienste beendet und dann schau ich per free -m rein:
total used free shared buffers cached
Mem: 987 912 75 0 186 90
-/+ buffers/cache: 635 352
Swap: 976 0 976
Jetzt war der problematische Dienst der "betagte" Jabber Server der per Debian Paketmanager verteilt wird (apt-get jabber) und ich hab jetzt natürlich Angst dass dort eine Sicherheitslücke drin war oder eventuell auch ein Speicherleck.
Jetzt hab ich mehrere Fragen/Probleme:
1) Was zählt eigentlich für den Speicherverbrauch eines Prozesses? Der virtuelle Speicher (VIRT) oder der residente Speicher (RES)? Also ist der Kernel so schlau den nicht benutzen virtuellen Speicher wieder freizugeben oder wird er komplett reserviert?
2) Selbst wenn ich alle virtuellen Speicher aller Prozesse zusammenzähle komme ich gerade mal auf knapp 200MB, wo kommen die anderen 435 MB her? Kann ein guter Hacker seinen Prozess verstecken vor Linux? Wenn ja wie kann man solche Prozesse finden?
3) Wenn ich die residenten Speicher zusammenzähle komme ich gerade mal auf ~30MB, das wäre natürlich noch krasser!
Meine Überprüfung auf Logins eines Hackers (last -10) sind erfolglos, aber er würde ja sowieso den Log löschen. Da ich hier noch auf einem Windows PC arbeite ist es durchaus möglich dass jemand per Virus an den Rootlogin gekommen ist, bei den Antworten bitte das bedenken!
PS: Zumindestens mein extern gemessener Traffic zeigt keine Bewegung an, daher wird das mit dem gehackt sein wohl doch eher unwahrscheinlich sein.
PPS: chkrootkit sagt das:
The following suspicious files and directories were found:
/lib/init/rw/.ramfs
Hab's gegoogled scheint normal zu sein auf Debian.