Re: PAM: Authentication failure + Apache crash

From: Oliver Fromme <olli(at)secnetix.de>
Date: Wed, 2 Jul 2003 10:39:07 +0200 (CEST)



Widmer Hannes <h.widmer(at)cybernet.ch> wrote:


 > Hatte diesen Morgen einen nichtmehr funktionierenden Apache Server.



Hast Du mal geguckt, ob er einen Coredump produziert hat?


Was waren die letzten Einträge im access- und error-log?



 > [...] habe im apche log folgenden 


 > Fehler gefunden:


 > 


 > [Wed Jul  2 08:40:12 2003] [warn] pid file /usr/local/apache/logs/httpd.pid over


 > written -- Unclean shutdown of previous Apache run?


 > [Wed Jul  2 08:40:12 2003] [notice] Apache/1.3.27 (Unix) mod_perl/1.27 PHP/4.3.2


 >  configured -- resuming normal operations


 > [Wed Jul  2 08:40:12 2003] [notice] Accept mutex: flock (Default: flock)



Fehler?  Ich sehe da kein [error], sondern nur ein [warn]


(was logisch ist, wenn der Apache vorher abgeschmiert war)


und zwei [notice], die normal sind.



 > Und da hatte ich den ersten ausfall


 > 


 > Jul  1 23:46:47 matrix /kernel: Connection attempt to TCP 62.2.113.168:80 from 6


 > 2.2.113.165:4822



Logisch.  Der Apache war weg, also war kein prozeß mehr auf


Port 80, also greift das in-vain-logging.  Zu dem Zeitpunkt


war es also schon zu spät.  Gab es unmittelbar vorher ir-


gendwelche Einträge in den messages?



 > Sonst finde ich nicht's in den logs ausser noch diesem PAM Fehler: 


 > 


 > Jun 30 23:05:14 matrix sshd[3038]: error: PAM: Authentication failure



Sollte mit dem Apache nichts zu tun haben.



 > Ich weiss nun nicht was da los war und möchte diesen Dienst stabil anbieten. 


 > Nun, an was könnte dies gelegen haben?...Hacker ? System oder Kernel Fehler? 


 > Ich weiss man sieht nicht viel aus den logs aber könnte ich noch an einem 


 > anderen Ort schauen?



Ein paar Infos wären nicht schlecht.  Benutzt Du mod_ssl,


mod_perl, PHP oder sonstige Dinge, die wichtig sein könn-


ten?  Wie gesagt, die letzten paar Einträge im access- und


error-log vor dem Crash könnten Hinweise enthalten.  Wenn


Du mod_ssl verwendest, könnte auch ein Blick in die beiden


ssl-Logs nicht schaden.



An Hacker glaube ich eigentlich nicht, eher an einen Bug


im Apache oder einem Apache-Modul, oder »Maschinenschaden«.



Gruß


   Olli



-- 
Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"A single death is a tragedy.  A million deaths is a statistic."
         -- Josef Stalin
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Wed 02 Jul 2003 - 10:39:14 CEST













search this site