[LUG.ro] kernel 2.4.21 bug????
.: Diego D'Angelo :.
lugro@lugro.org.ar
Wed, 29 Sep 2004 10:07:34 -0300
This is a multi-part message in MIME format.
------=_NextPart_000_0016_01C4A60C.23DAD9A0
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
Gentes, tengo una consulta que hacerles sobre algo que me ocurrio y no =
pude saber que fue lo que paso...
En un servidor woody que tenia con kernel 2.4.21+helpers se me =
reiniciaba solo aprox. cada 10 minutos...
No habia ningun cron que hiciera semejante cosa...
El servidor corre los siguientes servicios: squid, qmail con amavis =
0.21, apache, openwebmail, ssh y nada mas.
No tiene usuarios con bash, he chequeado el syslog y no he visto ningun =
ingreso *loco*, la unica que pense es que alguien haya entrado como =
root, pero no he visto un ingreso desde algun lugar que no sea de donde =
yo haya ingresado, no encontre ningun rootkit (lo chequee con =
chkrootkit)...
Pense en un problema de recalentamiento de micro pero lo descarte al =
cambiar de kernel, puse el 2.4.27+grsec y el problema desaparecio, pero =
me sigo quedando con la bronca de no saber porque se reiniciaba =
solita...
Corriendo el comando last me tira el siguiente choclo:
reboot system boot 2.4.21+helpers Mon Sep 27 22:09 (11:29)
reboot system boot 2.4.21+helpers Mon Sep 27 21:43 (11:55)
reboot system boot 2.4.21+helpers Mon Sep 27 21:29 (12:08)
reboot system boot 2.4.21+helpers Mon Sep 27 21:08 (12:30)
reboot system boot 2.4.21+helpers Mon Sep 27 20:59 (12:39)
reboot system boot 2.4.21+helpers Mon Sep 27 20:42 (12:55)
reboot system boot 2.4.21+helpers Mon Sep 27 20:22 (13:16)
reboot system boot 2.4.21+helpers Mon Sep 27 20:09 (13:28)
reboot system boot 2.4.21+helpers Mon Sep 27 20:04 (13:33)
reboot system boot 2.4.21+helpers Mon Sep 27 19:55 (13:42)
reboot system boot 2.4.21+helpers Mon Sep 27 19:38 (14:00)
reboot system boot 2.4.21+helpers Mon Sep 27 19:31 (14:07)
reboot system boot 2.4.21+helpers Mon Sep 27 19:26 (14:12)
reboot system boot 2.4.21+helpers Mon Sep 27 19:17 (14:21)
reboot system boot 2.4.21+helpers Mon Sep 27 19:00 (14:37)
reboot system boot 2.4.21+helpers Mon Sep 27 18:21 (15:17)
reboot system boot 2.4.21+helpers Mon Sep 27 18:10 (15:28)
reboot system boot 2.4.21+helpers Mon Sep 27 17:58 (15:40)
reboot system boot 2.4.21+helpers Mon Sep 27 17:44 (15:53)
......etc (....la lista sigue igual...)
Si alguno se le ocurre que puede haber pasado, se lo agradezco para no =
quedarme con esta incertidumbre....
Conocen algun ataque externo que haga eso en ese kernel?...aunque ya se =
que es medio raro..pero no lo descarto...
Gracias y Salu2
Diego
------=_NextPart_000_0016_01C4A60C.23DAD9A0
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=3DContent-Type content=3D"text/html; =
charset=3Diso-8859-1">
<META content=3D"MSHTML 6.00.2800.1400" name=3DGENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY bgColor=3D#ffffff>
<DIV><FONT face=3DArial size=3D2>Gentes, tengo una consulta que hacerles =
sobre algo=20
que me ocurrio y no pude saber que fue lo que paso...</FONT></DIV>
<DIV><FONT face=3DArial size=3D2></FONT> </DIV>
<DIV><FONT face=3DArial size=3D2>En un servidor woody que tenia con =
kernel=20
2.4.21+helpers se me reiniciaba solo aprox. cada 10 =
minutos...</FONT></DIV>
<DIV><FONT face=3DArial size=3D2>No habia ningun cron que hiciera =
semejante=20
cosa...</FONT></DIV>
<DIV><FONT face=3DArial size=3D2>El servidor corre los siguientes =
servicios: squid,=20
qmail con amavis 0.21, apache, openwebmail, ssh y nada mas.</FONT></DIV>
<DIV><FONT face=3DArial size=3D2></FONT> </DIV>
<DIV><FONT face=3DArial size=3D2>No tiene usuarios con bash, he =
chequeado el=20
syslog y no he visto ningun ingreso *loco*, la unica que pense es que =
alguien=20
haya entrado como root, pero no he visto un ingreso desde algun lugar =
que no sea=20
de donde yo haya ingresado, no encontre ningun rootkit (lo chequee con=20
chkrootkit)...</FONT></DIV>
<DIV><FONT face=3DArial size=3D2></FONT> </DIV>
<DIV><FONT face=3DArial size=3D2>Pense en un problema de recalentamiento =
de micro=20
pero lo descarte al cambiar de kernel, puse el 2.4.27+grsec y el =
problema=20
desaparecio, pero me sigo quedando con la bronca de no saber porque se=20
reiniciaba solita...</FONT></DIV>
<DIV><FONT face=3DArial size=3D2></FONT> </DIV>
<DIV><FONT face=3DArial size=3D2>Corriendo el comando last me tira el =
siguiente=20
choclo:</FONT></DIV>
<DIV><FONT face=3DArial size=3D2></FONT> </DIV>
<DIV><FONT face=3DArial size=3D2>reboot system boot =20
2.4.21+helpers Mon Sep 27=20
22:09 =20
(11:29)<BR>reboot system boot =
2.4.21+helpers Mon=20
Sep 27 21:43 =20
(11:55)<BR>reboot system boot =
2.4.21+helpers Mon=20
Sep 27 21:29 =20
(12:08)<BR>reboot system boot =
2.4.21+helpers Mon=20
Sep 27 21:08 =20
(12:30)<BR>reboot system boot =
2.4.21+helpers Mon=20
Sep 27 20:59 =20
(12:39)<BR>reboot system boot =
2.4.21+helpers Mon=20
Sep 27 20:42 =20
(12:55)<BR>reboot system boot =
2.4.21+helpers Mon=20
Sep 27 20:22 =20
(13:16)<BR>reboot system boot =
2.4.21+helpers Mon=20
Sep 27 20:09 =20
(13:28)<BR>reboot system boot =
2.4.21+helpers Mon=20
Sep 27 20:04 =20
(13:33)<BR>reboot system boot =
2.4.21+helpers Mon=20
Sep 27 19:55 =20
(13:42)<BR>reboot system boot =
2.4.21+helpers Mon=20
Sep 27 19:38 =20
(14:00)<BR>reboot system boot =
2.4.21+helpers Mon=20
Sep 27 19:31 =20
(14:07)<BR>reboot system boot =
2.4.21+helpers Mon=20
Sep 27 19:26 =20
(14:12)<BR>reboot system boot =
2.4.21+helpers Mon=20
Sep 27 19:17 =20
(14:21)<BR>reboot system boot =
2.4.21+helpers Mon=20
Sep 27 19:00 =20
(14:37)<BR>reboot system boot =
2.4.21+helpers Mon=20
Sep 27 18:21 =20
(15:17)<BR>reboot system boot =
2.4.21+helpers Mon=20
Sep 27 18:10 =20
(15:28)<BR>reboot system boot =
2.4.21+helpers Mon=20
Sep 27 17:58 =20
(15:40)<BR>reboot system boot =
2.4.21+helpers Mon=20
Sep 27 17:44 =20
(15:53)<BR>......etc (....la lista sigue igual...)</FONT></DIV>
<DIV><FONT face=3DArial size=3D2></FONT> </DIV>
<DIV><FONT face=3DArial size=3D2>Si alguno se le ocurre que puede haber =
pasado, se=20
lo agradezco para no quedarme con esta incertidumbre....</FONT></DIV>
<DIV><FONT face=3DArial size=3D2>Conocen algun ataque externo que haga =
eso en ese=20
kernel?...aunque ya se que es medio raro..pero no lo =
descarto...</FONT></DIV>
<DIV><FONT face=3DArial size=3D2></FONT> </DIV>
<DIV><FONT face=3DArial size=3D2>Gracias y Salu2</FONT></DIV>
<DIV><FONT face=3DArial size=3D2></FONT> </DIV>
<DIV><FONT face=3DArial size=3D2>Diego</FONT></DIV>
<DIV><FONT face=3DArial size=3D2></FONT> </DIV></BODY></HTML>
------=_NextPart_000_0016_01C4A60C.23DAD9A0--