[LUG.ro] kernel 2.4.21 bug????

.: Diego D'Angelo :. lugro@lugro.org.ar
Wed, 29 Sep 2004 10:07:34 -0300


This is a multi-part message in MIME format.

------=_NextPart_000_0016_01C4A60C.23DAD9A0
Content-Type: text/plain;
	charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

Gentes, tengo una consulta que hacerles sobre algo que me ocurrio y no =
pude saber que fue lo que paso...

En un servidor woody que tenia con kernel 2.4.21+helpers se me =
reiniciaba solo aprox. cada 10 minutos...
No habia ningun cron que hiciera semejante cosa...
El servidor corre los siguientes servicios: squid, qmail con amavis =
0.21, apache, openwebmail, ssh y nada mas.

No tiene usuarios con bash, he chequeado el syslog y no he visto ningun =
ingreso *loco*, la unica que pense es que alguien haya entrado como =
root, pero no he visto un ingreso desde algun lugar que no sea de donde =
yo haya ingresado, no encontre ningun rootkit (lo chequee con =
chkrootkit)...

Pense en un problema de recalentamiento de micro pero lo descarte al =
cambiar de kernel, puse el 2.4.27+grsec y el problema desaparecio, pero =
me sigo quedando con la bronca de no saber porque se reiniciaba =
solita...

Corriendo el comando last me tira el siguiente choclo:

reboot   system boot  2.4.21+helpers   Mon Sep 27 22:09          (11:29)
reboot   system boot  2.4.21+helpers   Mon Sep 27 21:43          (11:55)
reboot   system boot  2.4.21+helpers   Mon Sep 27 21:29          (12:08)
reboot   system boot  2.4.21+helpers   Mon Sep 27 21:08          (12:30)
reboot   system boot  2.4.21+helpers   Mon Sep 27 20:59          (12:39)
reboot   system boot  2.4.21+helpers   Mon Sep 27 20:42          (12:55)
reboot   system boot  2.4.21+helpers   Mon Sep 27 20:22          (13:16)
reboot   system boot  2.4.21+helpers   Mon Sep 27 20:09          (13:28)
reboot   system boot  2.4.21+helpers   Mon Sep 27 20:04          (13:33)
reboot   system boot  2.4.21+helpers   Mon Sep 27 19:55          (13:42)
reboot   system boot  2.4.21+helpers   Mon Sep 27 19:38          (14:00)
reboot   system boot  2.4.21+helpers   Mon Sep 27 19:31          (14:07)
reboot   system boot  2.4.21+helpers   Mon Sep 27 19:26          (14:12)
reboot   system boot  2.4.21+helpers   Mon Sep 27 19:17          (14:21)
reboot   system boot  2.4.21+helpers   Mon Sep 27 19:00          (14:37)
reboot   system boot  2.4.21+helpers   Mon Sep 27 18:21          (15:17)
reboot   system boot  2.4.21+helpers   Mon Sep 27 18:10          (15:28)
reboot   system boot  2.4.21+helpers   Mon Sep 27 17:58          (15:40)
reboot   system boot  2.4.21+helpers   Mon Sep 27 17:44          (15:53)
......etc (....la lista sigue igual...)

Si alguno se le ocurre que puede haber pasado, se lo agradezco para no =
quedarme con esta incertidumbre....
Conocen algun ataque externo que haga eso en ese kernel?...aunque ya se =
que es medio raro..pero no lo descarto...

Gracias y Salu2

Diego

------=_NextPart_000_0016_01C4A60C.23DAD9A0
Content-Type: text/html;
	charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=3DContent-Type content=3D"text/html; =
charset=3Diso-8859-1">
<META content=3D"MSHTML 6.00.2800.1400" name=3DGENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY bgColor=3D#ffffff>
<DIV><FONT face=3DArial size=3D2>Gentes, tengo una consulta que hacerles =
sobre algo=20
que me ocurrio y no pude saber que fue lo que paso...</FONT></DIV>
<DIV><FONT face=3DArial size=3D2></FONT>&nbsp;</DIV>
<DIV><FONT face=3DArial size=3D2>En un servidor woody que tenia con =
kernel=20
2.4.21+helpers se me reiniciaba solo aprox. cada&nbsp;10 =
minutos...</FONT></DIV>
<DIV><FONT face=3DArial size=3D2>No habia ningun cron que hiciera =
semejante=20
cosa...</FONT></DIV>
<DIV><FONT face=3DArial size=3D2>El servidor corre los siguientes =
servicios: squid,=20
qmail con amavis 0.21, apache, openwebmail, ssh y nada mas.</FONT></DIV>
<DIV><FONT face=3DArial size=3D2></FONT>&nbsp;</DIV>
<DIV><FONT face=3DArial size=3D2>No&nbsp;tiene usuarios con bash, he =
chequeado el=20
syslog y no he visto ningun ingreso *loco*, la unica que pense es que =
alguien=20
haya entrado como root, pero no he visto un ingreso desde algun lugar =
que no sea=20
de donde yo haya ingresado, no encontre ningun rootkit (lo chequee con=20
chkrootkit)...</FONT></DIV>
<DIV><FONT face=3DArial size=3D2></FONT>&nbsp;</DIV>
<DIV><FONT face=3DArial size=3D2>Pense en un problema de recalentamiento =
de micro=20
pero lo descarte al cambiar de kernel, puse el 2.4.27+grsec y el =
problema=20
desaparecio, pero me sigo quedando con la bronca de no saber porque se=20
reiniciaba solita...</FONT></DIV>
<DIV><FONT face=3DArial size=3D2></FONT>&nbsp;</DIV>
<DIV><FONT face=3DArial size=3D2>Corriendo el comando last me tira el =
siguiente=20
choclo:</FONT></DIV>
<DIV><FONT face=3DArial size=3D2></FONT>&nbsp;</DIV>
<DIV><FONT face=3DArial size=3D2>reboot&nbsp;&nbsp; system boot&nbsp;=20
2.4.21+helpers&nbsp;&nbsp; Mon Sep 27=20
22:09&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;=20
(11:29)<BR>reboot&nbsp;&nbsp; system boot&nbsp; =
2.4.21+helpers&nbsp;&nbsp; Mon=20
Sep 27 21:43&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;=20
(11:55)<BR>reboot&nbsp;&nbsp; system boot&nbsp; =
2.4.21+helpers&nbsp;&nbsp; Mon=20
Sep 27 21:29&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;=20
(12:08)<BR>reboot&nbsp;&nbsp; system boot&nbsp; =
2.4.21+helpers&nbsp;&nbsp; Mon=20
Sep 27 21:08&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;=20
(12:30)<BR>reboot&nbsp;&nbsp; system boot&nbsp; =
2.4.21+helpers&nbsp;&nbsp; Mon=20
Sep 27 20:59&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;=20
(12:39)<BR>reboot&nbsp;&nbsp; system boot&nbsp; =
2.4.21+helpers&nbsp;&nbsp; Mon=20
Sep 27 20:42&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;=20
(12:55)<BR>reboot&nbsp;&nbsp; system boot&nbsp; =
2.4.21+helpers&nbsp;&nbsp; Mon=20
Sep 27 20:22&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;=20
(13:16)<BR>reboot&nbsp;&nbsp; system boot&nbsp; =
2.4.21+helpers&nbsp;&nbsp; Mon=20
Sep 27 20:09&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;=20
(13:28)<BR>reboot&nbsp;&nbsp; system boot&nbsp; =
2.4.21+helpers&nbsp;&nbsp; Mon=20
Sep 27 20:04&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;=20
(13:33)<BR>reboot&nbsp;&nbsp; system boot&nbsp; =
2.4.21+helpers&nbsp;&nbsp; Mon=20
Sep 27 19:55&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;=20
(13:42)<BR>reboot&nbsp;&nbsp; system boot&nbsp; =
2.4.21+helpers&nbsp;&nbsp; Mon=20
Sep 27 19:38&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;=20
(14:00)<BR>reboot&nbsp;&nbsp; system boot&nbsp; =
2.4.21+helpers&nbsp;&nbsp; Mon=20
Sep 27 19:31&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;=20
(14:07)<BR>reboot&nbsp;&nbsp; system boot&nbsp; =
2.4.21+helpers&nbsp;&nbsp; Mon=20
Sep 27 19:26&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;=20
(14:12)<BR>reboot&nbsp;&nbsp; system boot&nbsp; =
2.4.21+helpers&nbsp;&nbsp; Mon=20
Sep 27 19:17&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;=20
(14:21)<BR>reboot&nbsp;&nbsp; system boot&nbsp; =
2.4.21+helpers&nbsp;&nbsp; Mon=20
Sep 27 19:00&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;=20
(14:37)<BR>reboot&nbsp;&nbsp; system boot&nbsp; =
2.4.21+helpers&nbsp;&nbsp; Mon=20
Sep 27 18:21&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;=20
(15:17)<BR>reboot&nbsp;&nbsp; system boot&nbsp; =
2.4.21+helpers&nbsp;&nbsp; Mon=20
Sep 27 18:10&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;=20
(15:28)<BR>reboot&nbsp;&nbsp; system boot&nbsp; =
2.4.21+helpers&nbsp;&nbsp; Mon=20
Sep 27 17:58&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;=20
(15:40)<BR>reboot&nbsp;&nbsp; system boot&nbsp; =
2.4.21+helpers&nbsp;&nbsp; Mon=20
Sep 27 17:44&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;=20
(15:53)<BR>......etc (....la lista sigue igual...)</FONT></DIV>
<DIV><FONT face=3DArial size=3D2></FONT>&nbsp;</DIV>
<DIV><FONT face=3DArial size=3D2>Si alguno se le ocurre que puede haber =
pasado, se=20
lo agradezco para no quedarme con esta incertidumbre....</FONT></DIV>
<DIV><FONT face=3DArial size=3D2>Conocen algun ataque externo que haga =
eso en ese=20
kernel?...aunque ya se que es medio raro..pero no lo =
descarto...</FONT></DIV>
<DIV><FONT face=3DArial size=3D2></FONT>&nbsp;</DIV>
<DIV><FONT face=3DArial size=3D2>Gracias y Salu2</FONT></DIV>
<DIV><FONT face=3DArial size=3D2></FONT>&nbsp;</DIV>
<DIV><FONT face=3DArial size=3D2>Diego</FONT></DIV>
<DIV><FONT face=3DArial size=3D2></FONT>&nbsp;</DIV></BODY></HTML>

------=_NextPart_000_0016_01C4A60C.23DAD9A0--