Re: Memory Problem ?

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Wed, 14 Apr 2004 14:58:45 +0200 (CEST)



Hannes Widmer <h.widmer(at)cybernet.ch> wrote:


 > Salü Peter


 > [...]


 > >       - buffer-overflow auf mysql und apache



Wohl nur Apache.



 > >         Anders kann ich mir nicht vorstellen, warum die 


 > > Prozesse mysqld


 > >       und httpd so gross werden, dass das vm Subsystem sie killt.



Der mysqld ist schon von Natur aus so groß gewesen; dazu


braucht's keinen Angriff, und schon gar keinen mit Buffer-


Overflow (normalerweise kann man sowas schon mit einfache-


ren Angriffen (DoS) erreichen).



Bei Speichermangel killt der Kernel der Kernel halt die


größten Verbraucher zuerst, und das war in diesem Fall der


mysqld, obgleich er nicht Primärziel des Angriffs war.



 > Okay, apache verstehe ich noch aber wieso Mysql?.. Der Port 3306 


 > ist zu und der Apache (php) schreibt da rein. 


 > Wie geht es da nen overflow auf mysql zu erreichen?



Siehe oben.



 > Muss mal bei apache schauen ob meine Ver buggy ist oder php etc.



Und viel wichtiger:  MaxChilds in der Apache-Config redu-


zieren, und für den www-User (UID 80) geeignete Prozeß-


Limits setzen (z.B. per /etc/login.conf).



 > > > Apr  2 16:10:53 matrix /kernel: arp: 00:06:b1:xx:xx:xx is using my IP 


 > > > address 62 .2.113.168!


 > 


 > > Wenn ein anderer Rechner deine IP als ARP-Reply schickt,


 > > dann hast du den Kandidaten.


 > 


 > Ja, aber der ist ja nicht in meinem Netz?



Doch, muß er sein.  ARP-Pakete verlassen normalerweise


Netz nicht.  (Es kann aber auch irgendwo eine falsche


Netzmaske eingestellt sein, so daß Du Pakete abkriegst,


die gar nicht in Dein Netz gehören -- davon abgesehen


sollten ARP-Pakete auch gar nicht geroutet werden.)



Irgendwo ist jedenfalls definitiv was falsch konfiguriert


-- auf Deinem Rechner, auf einem anderen Rechner in Dei-


nem Netz, oder bei Deinem ISP.  



Gruß


   Olli



-- 
Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
'Instead of asking why a piece of software is using "1970s technology,"
start asking why software is ignoring 30 years of accumulated wisdom.'
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Wed 14 Apr 2004 - 14:59:32 CEST













search this site