Slab corruption ?
Hola. Tinc un servidoret petit amb poca càrrega connectat a l'ADSL de casa. Té una debian sarge i ha funcionat bé durant molts mesos (i anys) però d'ençà d'ahir que malgrat que segueix funcionant em surten uns missatges estranys al log. Em surten a les 6:25 AM que crec que és quan s'executen tasques de manteniment del sistema. El nucli és un 2.6.12 compilat a mà. Fa temps que no el recompilo però no recordo actualitzacions de seguretat al codi font del 2.6.12, potser se m'han passat. He buscat una mica pel google sense gaire èxit. Algú sap si és greu? Tinc el disc dur xungo ? Feb 2 06:25:08 viaverda kernel: Slab corruption: start=c3f06924, len=408F Feb 2 06:25:08 servidor kernel: Redzone: 0x5a2cf071/0x5a2cf071. Feb 2 06:25:08 servidor kernel: Last user: [ext2_destroy_inode+20/32](ext2_destroy_inode+0x14/0x20) Feb 2 06:25:08 servidor kernel: 090: 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 7b 6b 6b Feb 2 06:25:08 servidor kernel: Prev obj: start=c3f06780, len=408 Feb 2 06:25:08 servidor kernel: Redzone: 0x170fc2a5/0x170fc2a5. Feb 2 06:25:08 servidor kernel: Last user: [ext2_alloc_inode+17/48](ext2_alloc_inode+0x11/0x30) Feb 2 06:25:08 servidor kernel: 000: 87 70 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Feb 2 06:25:08 servidor kernel: 010: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Feb 2 06:25:08 servidor kernel: Next obj: start=c3f06ac8, len=408 Feb 2 06:25:08 servidor kernel: Redzone: 0x5a2cf071/0x5a2cf071. Feb 2 06:25:08 servidor kernel: Last user: [ext2_destroy_inode+20/32](ext2_destroy_inode+0x14/0x20) Feb 2 06:25:08 servidor kernel: 000: 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b Feb 2 06:25:08 servidor kernel: 010: 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b Feb 2 06:25:08 servidor kernel: Slab corruption: start=c3f06924, len=408 Feb 2 06:25:08 servidor kernel: Redzone: 0x5a2cf071/0x5a2cf071. Feb 2 06:25:08 servidor kernel: Last user: [ext2_destroy_inode+20/32](ext2_destroy_inode+0x14/0x20) Feb 2 06:25:08 servidor kernel: 090: 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 7b 6b 6b Feb 2 06:25:08 servidor kernel: Prev obj: start=c3f06780, len=408 Feb 2 06:25:08 servidor kernel: Redzone: 0x170fc2a5/0x170fc2a5. Feb 2 06:25:08 servidor kernel: Last user: [ext2_alloc_inode+17/48](ext2_alloc_inode+0x11/0x30) Feb 2 06:25:08 servidor kernel: 000: 87 70 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Feb 2 06:25:08 servidor kernel: 010: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Feb 2 06:25:08 servidor kernel: Next obj: start=c3f06ac8, len=408 Feb 2 06:25:08 servidor kernel: Redzone: 0x5a2cf071/0x5a2cf071. Feb 2 06:25:08 servidor kernel: Last user: [ext2_destroy_inode+20/32](ext2_destroy_inode+0x14/0x20) Feb 2 06:25:08 servidor kernel: 000: 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b Feb 2 06:25:08 servidor kernel: 010: 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Slab corruption ?
Hola, Ostis, gaire maco no és... Has provat abans que res, d'arrancar en mòde RO (o amb un Live CD) i forçar un FSCK complet? 2007/2/2, Xavi Drudis Ferran [EMAIL PROTECTED]: Hola. Tinc un servidoret petit amb poca càrrega connectat a l'ADSL de casa. Té una debian sarge i ha funcionat bé durant molts mesos (i anys) però d'ençà d'ahir que malgrat que segueix funcionant em surten uns missatges estranys al log. Em surten a les 6:25 AM que crec que és quan s'executen tasques de manteniment del sistema. El nucli és un 2.6.12 compilat a mà. Fa temps que no el recompilo però no recordo actualitzacions de seguretat al codi font del 2.6.12, potser se m'han passat. Feb 2 06:25:08 viaverda kernel: Slab corruption: start=c3f06924, len=408F Feb 2 06:25:08 servidor kernel: Redzone: 0x5a2cf071/0x5a2cf071. Feb 2 06:25:08 servidor kernel: Last user: [ext2_destroy_inode+20/32](ext2_destroy_inode+0x14/0x20) Feb 2 06:25:08 servidor kernel: 090: 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 7b 6b 6b Feb 2 06:25:08 servidor kernel: Prev obj: start=c3f06780, len=408 Feb 2 06:25:08 servidor kernel: Redzone: 0x170fc2a5/0x170fc2a5. Feb 2 06:25:08 servidor kernel: Last user: [ext2_alloc_inode+17/48](ext2_alloc_inode+0x11/0x30) Feb 2 06:25:08 servidor kernel: 000: 87 70 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Feb 2 06:25:08 servidor kernel: 010: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Feb 2 06:25:08 servidor kernel: Next obj: start=c3f06ac8, len=408 Feb 2 06:25:08 servidor kernel: Redzone: 0x5a2cf071/0x5a2cf071. Feb 2 06:25:08 servidor kernel: Last user: [ext2_destroy_inode+20/32](ext2_destroy_inode+0x14/0x20) Feb 2 06:25:08 servidor kernel: 000: 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b Feb 2 06:25:08 servidor kernel: 010: 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b Feb 2 06:25:08 servidor kernel: Slab corruption: start=c3f06924, len=408 Feb 2 06:25:08 servidor kernel: Redzone: 0x5a2cf071/0x5a2cf071. Feb 2 06:25:08 servidor kernel: Last user: [ext2_destroy_inode+20/32](ext2_destroy_inode+0x14/0x20) Feb 2 06:25:08 servidor kernel: 090: 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 7b 6b 6b Feb 2 06:25:08 servidor kernel: Prev obj: start=c3f06780, len=408 Feb 2 06:25:08 servidor kernel: Redzone: 0x170fc2a5/0x170fc2a5. Feb 2 06:25:08 servidor kernel: Last user: [ext2_alloc_inode+17/48](ext2_alloc_inode+0x11/0x30) Feb 2 06:25:08 servidor kernel: 000: 87 70 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Feb 2 06:25:08 servidor kernel: 010: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Feb 2 06:25:08 servidor kernel: Next obj: start=c3f06ac8, len=408 Feb 2 06:25:08 servidor kernel: Redzone: 0x5a2cf071/0x5a2cf071. Feb 2 06:25:08 servidor kernel: Last user: [ext2_destroy_inode+20/32](ext2_destroy_inode+0x14/0x20) Feb 2 06:25:08 servidor kernel: 000: 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b Feb 2 06:25:08 servidor kernel: 010: 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- Andreu Bassols i Alcón
Re: Slab corruption ?
On Fri, Feb 02, 2007 at 10:09:42AM +0100, Andreu Bassols Alcón wrote: Hola, Ostis, gaire maco no és... Has provat abans que res, d'arrancar en mòde RO (o amb un Live CD) i forçar un FSCK complet? No. Ho havia pensat però no ho he fet. Si de cas ho provaré aquesta nit, per evitar emprenyar si algú visita la web (tampoc és que visitin tant, però n'hi ha prou que el pari perquè per Murphy algú visiti). El que passa és que no té CD ni disquetera (ni monitor ni teclat, però això és més simple de posar-li). Hauria de desmuntar el servidor i un altre PC per posar-n'hi. Si de cas miraré de fer-lo arrencar per USB. Però tampoc tinc memòria USB. Espero que funcioni amb una càmera de fotos que porta una memòria SD d'1GB. Aprofitaré la informació que vau donar al Leo per fer live-USBs Gràcies. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Slab corruption ?
A Divendres 02 Febrer 2007 10:31, Xavi Drudis Ferran va escriure: On Fri, Feb 02, 2007 at 10:09:42AM +0100, Andreu Bassols Alcón wrote: Hola, Ostis, gaire maco no és... Has provat abans que res, d'arrancar en mòde RO (o amb un Live CD) i forçar un FSCK complet? No. Ho havia pensat però no ho he fet. Si de cas ho provaré aquesta nit, per evitar emprenyar si algú visita la web (tampoc és que visitin tant, però n'hi ha prou que el pari perquè per Murphy algú visiti). El que passa és que no té CD ni disquetera (ni monitor ni teclat, però això és més simple de posar-li). Hauria de desmuntar el servidor i un altre PC per posar-n'hi. Si de cas miraré de fer-lo arrencar per USB. Però tampoc tinc memòria USB. Espero que funcioni amb una càmera de fotos que porta una memòria SD d'1GB. clar, si no té disquetera, teclat, monitor ni cd ... has probar de posar-ho dintre d'una capsa tancat amb 10 claus i perdre les claus, només ho dic per posar mes _facilitats_ per monitoritzar una cosa d'aquestes ... Leo
Re: Slab corruption ?
On Fri, Feb 02, 2007 at 10:38:39AM +0100, Leopold Palomo-Avellaneda wrote: A Divendres 02 Febrer 2007 10:31, Xavi Drudis Ferran va escriure: clar, si no té disquetera, teclat, monitor ni cd ... has probar de posar-ho dintre d'una capsa tancat amb 10 claus i perdre les claus, només ho dic per posar mes _facilitats_ per monitoritzar una cosa d'aquestes ... No, si amb les facilitats que tinc ja n'he tingut prou durant uns anys. Puntualment si li he de mirar alguna cosa (quan em fa por que hagin entrat o alguna cosa així) sí que hi he posat un CD i un teclat i un monitor, però no han sigut gaires vegades amb molts anys. Total, és una debian, quan l'he volgut actualitzar ho he fet per ssh. És allò que reboota quan se'n va la llum massa estona i prou. No sé quina falta li fa un teclat ni un monitor ni un CD a un servidor, francament, i no en compraré un només per aquesta màquina. Ja manlleva els d'altres màquines quan convé. A la feina sí que he tignut servidors amb armaris amb monitor i teclat plegables tot birguero i tal, però a casa no cal. Allà al menys compartien teclat i monitor entre 6 o 7 servidors... I si no fos que el portàtil no té port sèrie encara li posaria la consola per port sèrie i a còrrer. Això sí, si el tanqués amb clau segur que perdia les claus, amb el despistat que sóc i el poc sovint que l'he hagut d'obrir... El que m'aniria bé seria una live-CD d'aquestes de seguretat i diagnostic, que la posis en una memòria USB, li configuris una sèrie de tests en un fitxer, posis la memòria USB al servidor, arranqui, faci els tests, deixi els resultats en fitxers a la mateixa memòria USB, piti (perquè sàpigues quan treure la memòria), i quan hagis tret la memòria USB reinici el servidor solet perquè torni a estar en línia com estava mentre tú estudies els resultats en una altra màquina. També podria deixar-se usar per xarxa, però en cas que sospitis d'un atac, potser el primer que faràs serà desendollar la xarxa, si t'ho pots permetre. No deu estar fet això, o sí ? (normalment quan t'imagines alguna cosa nova en informàtica resulta que ja ho ha fet algú abans). -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Slab corruption ?
A Divendres 02 Febrer 2007 10:59, Xavi Drudis Ferran va escriure: El que m'aniria bé seria una live-CD d'aquestes de seguretat i diagnostic, que la posis en una memòria USB, li configuris una sèrie de tests en un fitxer, posis la memòria USB al servidor, arranqui, faci els tests, deixi els resultats en fitxers a la mateixa memòria USB, piti (perquè sàpigues quan treure la memòria), i quan hagis tret la memòria USB reinici el servidor solet perquè torni a estar en línia com estava mentre tú estudies els resultats en una altra màquina. També podria deixar-se usar per xarxa, però en cas que sospitis d'un atac, potser el primer que faràs serà desendollar la xarxa, si t'ho pots permetre. Una vegada vaig llegir que això no és recomanable: l'atacant pot haver deixat corrent un programa que si detecta la menor anomalia, esborri qualsevol rastre de la seva activitat. El millor és una solució molt gràfica: estirar del cable (es refereix a l'alimentació elèctrica) i fer un anàlisi posterior amb eines d'anàlisi post-mortem.
Re: Slab corruption ?
On Fri, Feb 02, 2007 at 11:49:38AM +0100, Orestes Mas wrote: A Divendres 02 Febrer 2007 10:59, Xavi Drudis Ferran va escriure: El que m'aniria bé seria una live-CD d'aquestes de seguretat i diagnostic, que la posis en una memòria USB, li configuris una sèrie de tests en un fitxer, posis la memòria USB al servidor, arranqui, faci els tests, deixi els resultats en fitxers a la mateixa memòria USB, piti (perquè sàpigues quan treure la memòria), i quan hagis tret la memòria USB reinici el servidor solet perquè torni a estar en línia com estava mentre tú estudies els resultats en una altra màquina. També podria deixar-se usar per xarxa, però en cas que sospitis d'un atac, potser el primer que faràs serà desendollar la xarxa, si t'ho pots permetre. Una vegada vaig llegir que això no és recomanable: l'atacant pot haver deixat corrent un programa que si detecta la menor anomalia, esborri qualsevol rastre de la seva activitat. No t'he entés. Si arrenques des d'una memòria USB que se suposa que està neta l'atacant no hi pot haver deixat res executant-se, perquè els procesos executant-se s'aturen al reiniciar el servidor. Si vols pots desendollar la xarxa abans, per evitar que hi hagi alguna vulnerabilitat al SO de la memòria USB. Si no et creus que la memòria USB o l'ordinador on l'has preparada no estigui neta, llavors ja podem plegar, alguna cosa has d'assumir segura per poder començar a arreglar o diagnosticar coses, no ? El millor és una solució molt gràfica: estirar del cable (es refereix a l'alimentació elèctrica) i fer un anàlisi posterior amb eines d'anàlisi post-mortem. Aquesta hipotètica memòria USB conté eines d'anàlisi post mortem. No entenc com pots fer anàlisis postmortem de sistemes informàtics sense alimentació elèctrica. Pots treure el disc dur i posar-lo a una altra màquina, però no l'hi veig l'augment de seguretat, perquè si és un codi maliciós estarà al disc dur. L'únic que necessites és no arrencar des de disc dur. Jo l'únic que imaginava és: 1- Des d'un ordinador net prepares la memòria USB amb una distribució live i un guió per fer l'anilisi postmortem o les comprovacions de maquinari que vulguis. Per prepara la memòria USB necessitaries un mínim d'informació del servidor avariat o compromès (dispositius, particions...) però això ho podries tenir preparat de quan vas instal·lar el servidor, o agafor-ho d'una còpia de seguretat del servidor. 2- Atures el servidor presumptament compromés o avariat. Pots estirar el cable si ho vols fer més dramàtic i tens clar que no perdràs dades. 3- Arrenques el servidor des de la memòria USB neta. El guió s'executa sol i fa els tests. Deixa els resultats a la pròpia memòria USB. Quan acaba pita. 4- Treus la memòria USB 5- El servidor, que encara executa el SO de la memòria USB detecta l'extracció de la memòria USB i atura o reinicia la màquina (això és el que menys clar tinc com es faria però deu ser possible). 6- (opcional) el servidor avariat o compromès torna a arrencar sense la memòria USB, des de disc dur i per tant segueix funcionant com abans, amb l'avaria o l'intrusió. Si no te'n fies doncs no el deixes arrencar (estires el cable abans de 7- (simultani amb 6 si has volgut fer 6). Poses la memòria USB a l'ordinador net i analitzes els resultats dels tests. De fet ho pensava més per a una cosa que sospitis que és una avaria que per alguna cosa que sospitis que és una intrussió. Si fos una intrussió t'aniria bé tenir tot el disc dur compromés a més dels resultats del test. Potser podries incloure un pas al guió de test que fos obrir un sshd i esperar, i a partir d'aquí et connectes amb un cable creuat des de l'ordinador net i et mires el que calgui. La idea era que així t'estalvies connectar monitor i teclat i CD i tens el servidor apagat no gaire temps (si l'has d'obrir i tot plegat s'allarga una mica més). Però clar això només ho voldràs fer si sospites que la intrusió o l'avaria són improbables o no crítiques, o sia que et pots permetre el luxe de mantenir la màquina funcionant fins que ho arreglis. Si per exemple et fa por que l'avaria et faci perdre dades que no tens enlloc més o que la intrusió s'agreugi (per exemple capturi contrassenyes d'altres màquines, o comprometi la LAN, o etc.) segurament preferiràs tenir el servidor apagat. Però si és un simple servidor web, que no té cap LAN darrera, i els continguts els puges des d'una altra màquina, de manera que si es perden no passa res, no hi ha usuaris que hi entrin i els puguin capturar les contrassenyes... Bé, començoa veure perquè no ho deu haver fet mai ningú encara, perquè serveix per un cas simplot que no deu ser típic. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Slab corruption ?
A Divendres 02 Febrer 2007 14:07, Xavi Drudis Ferran va escriure: Una vegada vaig llegir que això no és recomanable: l'atacant pot haver deixat corrent un programa que si detecta la menor anomalia, esborri qualsevol rastre de la seva activitat. No t'he entés. Si arrenques des d'una memòria USB que se suposa que està neta l'atacant no hi pot haver deixat res executant-se, perquè els procesos executant-se s'aturen al reiniciar el servidor. Si vols pots desendollar la xarxa abans, per evitar que hi hagi alguna vulnerabilitat al SO de la memòria USB. No ens hem entès. Jo em referia, com tu expliques més avall, a estirar el cable del servidor *abans* d'endollar-li la mamòria USB i rearrencar-lo amb el sistema d'aquesta, tal i com tu dius de fer en el pas 2. Si no et creus que la memòria USB o l'ordinador on l'has preparada no estigui neta, llavors ja podem plegar, alguna cosa has d'assumir segura per poder començar a arreglar o diagnosticar coses, no ? Evident. El millor és una solució molt gràfica: estirar del cable (es refereix a l'alimentació elèctrica) i fer un anàlisi posterior amb eines d'anàlisi post-mortem. Aquesta hipotètica memòria USB conté eines d'anàlisi post mortem. No entenc com pots fer anàlisis postmortem de sistemes informàtics sense alimentació elèctrica. Pots treure el disc dur i posar-lo a una altra màquina, però no l'hi veig l'augment de seguretat, perquè si és un codi maliciós estarà al disc dur. L'únic que necessites és no arrencar des de disc dur. Tu m'has vist a mi cara de proposar analitzar res sense alimentació elèctrica? Jo l'únic que imaginava és: 1- Des d'un ordinador net prepares la memòria USB amb una distribució live i un guió per fer l'anilisi postmortem o les comprovacions de maquinari que vulguis. Per prepara la memòria USB necessitaries un mínim d'informació del servidor avariat o compromès (dispositius, particions...) però això ho podries tenir preparat de quan vas instal·lar el servidor, o agafor-ho d'una còpia de seguretat del servidor. 2- Atures el servidor presumptament compromés o avariat. Pots estirar el cable si ho vols fer més dramàtic i tens clar que no perdràs dades. 3- Arrenques el servidor des de la memòria USB neta. El guió s'executa sol i fa els tests. Deixa els resultats a la pròpia memòria USB. Quan acaba pita. 4- Treus la memòria USB 5- El servidor, que encara executa el SO de la memòria USB detecta l'extracció de la memòria USB i atura o reinicia la màquina (això és el que menys clar tinc com es faria però deu ser possible). 6- (opcional) el servidor avariat o compromès torna a arrencar sense la memòria USB, des de disc dur i per tant segueix funcionant com abans, amb l'avaria o l'intrusió. Si no te'n fies doncs no el deixes arrencar (estires el cable abans de 7- (simultani amb 6 si has volgut fer 6). Poses la memòria USB a l'ordinador net i analitzes els resultats dels tests. Mira, ja ho has documentat. Potser li servirà a algú. Orestes.