© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
On Wed, Apr 14, 2004 at 09:39:36AM +0200, Widmer Hannes wrote:
> Hallo Liste
>
Moin, Hannes
Ich hab meine Kommentare mal unten in deinen Logfileauszug mit
reingeflickt.
Fuer mich sieht das da unten nach einer Attacke auf deinen Rechner aus.
Und zwar
- mbuf exhaustion (siehe Advisory)
Sie mal bitte unter
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-04:04.tcp.asc
nach, ob du einen verwundbaren Kernel hast.
- buffer-overflow auf mysql und apache
Anders kann ich mir nicht vorstellen, warum die Prozesse mysqld
und httpd so gross werden, dass das vm Subsystem sie killt.
Nebenbemerkung: Das VM System schiesst bei Speichermangel den groesten
laufenden Prozess ab.
Es kann aber auch sein, dass es die beiden nur "zufaellig" erwischt,
weil sie gerade die groesten Prozesse sind und das VM-Subsystem irgendwie
vorgegaukelt bekommt, dass es keinen Speicher mehr hat. Aber ein solcher
Angriff ist mir nicht bekannt.
Die Liste moege mich bitte korrigieren, falls ich mich irre.
Ich emfpfehle mal dringend Kernel-Update und eventuell neuen Indianer und mysql.
Gruss,
Peter
> Mar 16 14:12:59 matrix /kernel: pid 84619 (mysqld), uid 1000, was killed: out of
> swap space
Sieht nach Buffer-Overflow Attacke aus. Bitte als reine Vermutung betrachten.
> Apr 2 16:10:53 matrix /kernel: arp: 00:06:b1:xx:xx:xx is using my IP address 62
> .2.113.168!
Wuerde ich jetzt spontan mal auf ARP-Spoofing tippen:
http://www.informatik.hu-berlin.de/~kuehnlen/spoofing/arp_spoof.html
Ueberwach mal (sofern du kannst) das entsprechende Interface mit
% tcpdump -i ${interface} arp
Wenn ein anderer Rechner deine IP als ARP-Reply schickt,
dann hast du den Kandidaten.
> ).
> Apr 12 23:26:52 matrix /kernel: vr0: no memory for tx list
> Apr 12 23:26:52 matrix /kernel: looutput: mbuf allocation failed
> Apr 12 23:26:52 matrix /kernel: All mbuf clusters exhausted, please see tuning(7
> ).
> Apr 12 23:26:52 matrix /kernel: looutput: mbuf allocation failed
> Apr 12 23:26:53 matrix last message repeated 97 times
> Apr 12 23:26:53 matrix /kernel: All mbuf clusters exhausted, please see tuning(7
Da bin ich mir nach dem zweiten Durchlesen ziemlich sicher, dass
das auf das Problem in
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-04:04.tcp.asc
zurueckzufuehren ist. Allerdings auch Vermutung, da ich eine solche
Kiste selbst noch nicht unter den Fingern hatte.
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Wed 14 Apr 2004 - 11:50:56 CEST