Slab corruption ?

[Xavi Drudis Ferran]

Hola. 

Tinc un servidoret petit amb poca càrrega connectat a l'ADSL 
de casa. Té una debian sarge i ha funcionat bé durant molts
mesos (i anys) però d'ençà d'ahir que malgrat que segueix funcionant
em surten uns missatges estranys al log. Em surten a les 6:25 AM 
que crec que és quan s'executen tasques de manteniment del sistema. 

El nucli és un 2.6.12  compilat a mà. Fa temps que no el recompilo 
però no recordo actualitzacions de seguretat al codi font del 2.6.12, 
potser se m'han passat. 

He buscat una mica pel google sense gaire èxit. Algú sap si és greu? 
Tinc el disc dur xungo ? 

Feb  2 06:25:08 viaverda kernel: Slab corruption: start=c3f06924, len=408F
Feb  2 06:25:08 servidor kernel: Redzone: 0x5a2cf071/0x5a2cf071.
Feb  2 06:25:08 servidor kernel: Last user: 
[ext2_destroy_inode+20/32](ext2_destroy_inode+0x14/0x20)
Feb  2 06:25:08 servidor kernel: 090: 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 7b 
6b 6b
Feb  2 06:25:08 servidor kernel: Prev obj: start=c3f06780, len=408
Feb  2 06:25:08 servidor kernel: Redzone: 0x170fc2a5/0x170fc2a5.
Feb  2 06:25:08 servidor kernel: Last user: 
[ext2_alloc_inode+17/48](ext2_alloc_inode+0x11/0x30)
Feb  2 06:25:08 servidor kernel: 000: 87 70 00 00 00 00 00 00 00 00 00 00 00 00 
00 00
Feb  2 06:25:08 servidor kernel: 010: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
00 00
Feb  2 06:25:08 servidor kernel: Next obj: start=c3f06ac8, len=408
Feb  2 06:25:08 servidor kernel: Redzone: 0x5a2cf071/0x5a2cf071.
Feb  2 06:25:08 servidor kernel: Last user: 
[ext2_destroy_inode+20/32](ext2_destroy_inode+0x14/0x20)
Feb  2 06:25:08 servidor kernel: 000: 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 
6b 6b
Feb  2 06:25:08 servidor kernel: 010: 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 
6b 6b
Feb  2 06:25:08 servidor kernel: Slab corruption: start=c3f06924, len=408
Feb  2 06:25:08 servidor kernel: Redzone: 0x5a2cf071/0x5a2cf071.
Feb  2 06:25:08 servidor kernel: Last user: 
[ext2_destroy_inode+20/32](ext2_destroy_inode+0x14/0x20)
Feb  2 06:25:08 servidor kernel: 090: 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 7b 
6b 6b
Feb  2 06:25:08 servidor kernel: Prev obj: start=c3f06780, len=408
Feb  2 06:25:08 servidor kernel: Redzone: 0x170fc2a5/0x170fc2a5.
Feb  2 06:25:08 servidor kernel: Last user: 
[ext2_alloc_inode+17/48](ext2_alloc_inode+0x11/0x30)
Feb  2 06:25:08 servidor kernel: 000: 87 70 00 00 00 00 00 00 00 00 00 00 00 00 
00 00
Feb  2 06:25:08 servidor kernel: 010: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
00 00
Feb  2 06:25:08 servidor kernel: Next obj: start=c3f06ac8, len=408
Feb  2 06:25:08 servidor kernel: Redzone: 0x5a2cf071/0x5a2cf071.
Feb  2 06:25:08 servidor kernel: Last user: 
[ext2_destroy_inode+20/32](ext2_destroy_inode+0x14/0x20)
Feb  2 06:25:08 servidor kernel: 000: 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 
6b 6b
Feb  2 06:25:08 servidor kernel: 010: 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 
6b 6b



-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Slab corruption ?

[Andreu Bassols Alcón]

Hola,

Ostis, gaire maco no és...
Has provat abans que res, d'arrancar en mòde RO (o amb un Live CD) i forçar
un FSCK complet?


2007/2/2, Xavi Drudis Ferran [EMAIL PROTECTED]:


Hola.

Tinc un servidoret petit amb poca càrrega connectat a l'ADSL
de casa. Té una debian sarge i ha funcionat bé durant molts
mesos (i anys) però d'ençà d'ahir que malgrat que segueix funcionant
em surten uns missatges estranys al log. Em surten a les 6:25 AM
que crec que és quan s'executen tasques de manteniment del sistema.

El nucli és un 2.6.12  compilat a mà. Fa temps que no el recompilo
però no recordo actualitzacions de seguretat al codi font del 2.6.12,
potser se m'han passat.




Feb  2 06:25:08 viaverda kernel: Slab corruption: start=c3f06924, len=408F

Feb  2 06:25:08 servidor kernel: Redzone: 0x5a2cf071/0x5a2cf071.
Feb  2 06:25:08 servidor kernel: Last user:
[ext2_destroy_inode+20/32](ext2_destroy_inode+0x14/0x20)
Feb  2 06:25:08 servidor kernel: 090: 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b
6b 7b 6b 6b
Feb  2 06:25:08 servidor kernel: Prev obj: start=c3f06780, len=408
Feb  2 06:25:08 servidor kernel: Redzone: 0x170fc2a5/0x170fc2a5.
Feb  2 06:25:08 servidor kernel: Last user:
[ext2_alloc_inode+17/48](ext2_alloc_inode+0x11/0x30)
Feb  2 06:25:08 servidor kernel: 000: 87 70 00 00 00 00 00 00 00 00 00 00
00 00 00 00
Feb  2 06:25:08 servidor kernel: 010: 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00
Feb  2 06:25:08 servidor kernel: Next obj: start=c3f06ac8, len=408
Feb  2 06:25:08 servidor kernel: Redzone: 0x5a2cf071/0x5a2cf071.
Feb  2 06:25:08 servidor kernel: Last user:
[ext2_destroy_inode+20/32](ext2_destroy_inode+0x14/0x20)
Feb  2 06:25:08 servidor kernel: 000: 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b
6b 6b 6b 6b
Feb  2 06:25:08 servidor kernel: 010: 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b
6b 6b 6b 6b
Feb  2 06:25:08 servidor kernel: Slab corruption: start=c3f06924, len=408
Feb  2 06:25:08 servidor kernel: Redzone: 0x5a2cf071/0x5a2cf071.
Feb  2 06:25:08 servidor kernel: Last user:
[ext2_destroy_inode+20/32](ext2_destroy_inode+0x14/0x20)
Feb  2 06:25:08 servidor kernel: 090: 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b
6b 7b 6b 6b
Feb  2 06:25:08 servidor kernel: Prev obj: start=c3f06780, len=408
Feb  2 06:25:08 servidor kernel: Redzone: 0x170fc2a5/0x170fc2a5.
Feb  2 06:25:08 servidor kernel: Last user:
[ext2_alloc_inode+17/48](ext2_alloc_inode+0x11/0x30)
Feb  2 06:25:08 servidor kernel: 000: 87 70 00 00 00 00 00 00 00 00 00 00
00 00 00 00
Feb  2 06:25:08 servidor kernel: 010: 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00
Feb  2 06:25:08 servidor kernel: Next obj: start=c3f06ac8, len=408
Feb  2 06:25:08 servidor kernel: Redzone: 0x5a2cf071/0x5a2cf071.
Feb  2 06:25:08 servidor kernel: Last user:
[ext2_destroy_inode+20/32](ext2_destroy_inode+0x14/0x20)
Feb  2 06:25:08 servidor kernel: 000: 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b
6b 6b 6b 6b
Feb  2 06:25:08 servidor kernel: 010: 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b
6b 6b 6b 6b



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact
[EMAIL PROTECTED]





--
Andreu Bassols i Alcón

Re: Slab corruption ?

[Xavi Drudis Ferran]

On Fri, Feb 02, 2007 at 10:09:42AM +0100, Andreu Bassols Alcón wrote:
 Hola,

 Ostis, gaire maco no és...
 Has provat abans que res, d'arrancar en mòde RO (o amb un Live CD) i
 forçar
 un FSCK complet?


No. Ho havia pensat però no ho he fet. Si de cas ho provaré aquesta nit, per 
evitar emprenyar si algú
visita la web (tampoc és que visitin tant, però n'hi ha prou
que el pari perquè per Murphy algú visiti). El que passa és que
no té CD ni disquetera (ni monitor ni teclat, però això és més simple
de posar-li). Hauria de desmuntar el servidor
i un altre PC per posar-n'hi. Si de cas miraré de fer-lo
arrencar per USB. Però tampoc tinc memòria USB. Espero que
funcioni amb una càmera de fotos que porta una memòria SD d'1GB.

Aprofitaré la informació que vau donar al Leo per fer live-USBs

Gràcies.


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Slab corruption ?

[Leopold Palomo-Avellaneda]

A Divendres 02 Febrer 2007 10:31, Xavi Drudis Ferran va escriure:
 On Fri, Feb 02, 2007 at 10:09:42AM +0100, Andreu Bassols Alcón wrote:
  Hola,
 
  Ostis, gaire maco no és...
  Has provat abans que res, d'arrancar en mòde RO (o amb un Live CD) i
  forçar
  un FSCK complet?

 No. Ho havia pensat però no ho he fet. Si de cas ho provaré aquesta nit,
 per evitar emprenyar si algú visita la web (tampoc és que visitin tant,
 però n'hi ha prou
 que el pari perquè per Murphy algú visiti). El que passa és que
 no té CD ni disquetera (ni monitor ni teclat, però això és més simple
 de posar-li). Hauria de desmuntar el servidor
 i un altre PC per posar-n'hi. Si de cas miraré de fer-lo
 arrencar per USB. Però tampoc tinc memòria USB. Espero que
 funcioni amb una càmera de fotos que porta una memòria SD d'1GB.

clar, si no té disquetera, teclat, monitor ni cd ... has probar de posar-ho 
dintre d'una capsa tancat amb 10 claus i perdre les claus, només ho dic per 
posar mes _facilitats_ per monitoritzar una cosa d'aquestes ...

Leo

Re: Slab corruption ?

[Xavi Drudis Ferran]

On Fri, Feb 02, 2007 at 10:38:39AM +0100, Leopold Palomo-Avellaneda wrote:
 A Divendres 02 Febrer 2007 10:31, Xavi Drudis Ferran va escriure:
 
 clar, si no té disquetera, teclat, monitor ni cd ... has probar de posar-ho 
 dintre d'una capsa tancat amb 10 claus i perdre les claus, només ho dic per 
 posar mes _facilitats_ per monitoritzar una cosa d'aquestes ...


No, si amb les facilitats que tinc ja n'he tingut prou durant uns anys. 
Puntualment
si li he de mirar alguna cosa (quan em fa por que hagin entrat o alguna cosa 
així)
sí que hi he posat un CD i un teclat i un monitor, però no han sigut gaires 
vegades
amb molts anys. Total, és una debian, quan l'he volgut actualitzar ho he fet 
per 
ssh. És allò que reboota quan se'n va la llum massa estona i prou. 

No sé quina falta li fa un teclat ni un monitor ni un CD a un servidor, 
francament,
i no en compraré un només per aquesta màquina. Ja manlleva els d'altres 
màquines quan convé.
A la feina sí que he tignut servidors amb armaris amb monitor i teclat 
plegables 
tot birguero i tal, però a casa no cal. Allà al menys compartien teclat i 
monitor
entre 6 o 7 servidors...

I si no fos que el portàtil no té port sèrie encara li posaria la consola per 
port sèrie i a 
còrrer. 

Això sí, si el tanqués amb clau segur que perdia les claus, amb el despistat 
que sóc
i el poc sovint que l'he hagut d'obrir...

El que m'aniria bé seria una live-CD d'aquestes de seguretat i diagnostic, que 
la posis en una memòria USB, li configuris una sèrie de tests en un fitxer, 
posis la memòria USB al servidor, arranqui, faci els tests, deixi els resultats 
en fitxers a la mateixa memòria USB, piti (perquè sàpigues quan treure la 
memòria),
i quan hagis tret la memòria USB reinici el servidor solet perquè torni a estar
en línia com estava mentre tú estudies els resultats en una altra màquina. 
També podria deixar-se usar per xarxa, però en cas que sospitis d'un atac, 
potser el primer que faràs serà desendollar la xarxa, si t'ho pots permetre.

No deu estar fet això, o sí ? (normalment quan t'imagines alguna cosa nova en 
informàtica resulta que ja ho ha fet algú abans). 





-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Slab corruption ?

[Orestes Mas]

A Divendres 02 Febrer 2007 10:59, Xavi Drudis Ferran va escriure:
 El que m'aniria bé seria una live-CD d'aquestes de seguretat i diagnostic,
 que la posis en una memòria USB, li configuris una sèrie de tests en un
 fitxer, posis la memòria USB al servidor, arranqui, faci els tests, deixi
 els resultats en fitxers a la mateixa memòria USB, piti (perquè sàpigues
 quan treure la memòria), i quan hagis tret la memòria USB reinici el
 servidor solet perquè torni a estar en línia com estava mentre tú estudies
 els resultats en una altra màquina. També podria deixar-se usar per xarxa,
 però en cas que sospitis d'un atac, potser el primer que faràs serà
 desendollar la xarxa, si t'ho pots permetre.

Una vegada vaig llegir que això no és recomanable: l'atacant pot haver deixat 
corrent un programa que si detecta la menor anomalia, esborri qualsevol 
rastre de la seva activitat.

El millor és una solució molt gràfica: estirar del cable (es refereix a 
l'alimentació elèctrica) i fer un anàlisi posterior amb eines 
d'anàlisi post-mortem.

Re: Slab corruption ?

[Xavi Drudis Ferran]

On Fri, Feb 02, 2007 at 11:49:38AM +0100, Orestes Mas wrote:
 A Divendres 02 Febrer 2007 10:59, Xavi Drudis Ferran va escriure:
  El que m'aniria bé seria una live-CD d'aquestes de seguretat i diagnostic,
  que la posis en una memòria USB, li configuris una sèrie de tests en un
  fitxer, posis la memòria USB al servidor, arranqui, faci els tests, deixi
  els resultats en fitxers a la mateixa memòria USB, piti (perquè sàpigues
  quan treure la memòria), i quan hagis tret la memòria USB reinici el
  servidor solet perquè torni a estar en línia com estava mentre tú estudies
  els resultats en una altra màquina. També podria deixar-se usar per xarxa,
  però en cas que sospitis d'un atac, potser el primer que faràs serà
  desendollar la xarxa, si t'ho pots permetre.
 
 Una vegada vaig llegir que això no és recomanable: l'atacant pot haver deixat 
 corrent un programa que si detecta la menor anomalia, esborri qualsevol 
 rastre de la seva activitat.
 

No t'he entés. Si arrenques des d'una memòria USB que se suposa que està neta
l'atacant no hi pot haver deixat res executant-se, perquè els procesos 
executant-se
s'aturen al reiniciar el servidor. Si vols pots desendollar la xarxa abans,
per evitar que hi hagi alguna vulnerabilitat al SO de la memòria USB. 

Si no et creus que la memòria USB o l'ordinador on l'has preparada no estigui 
neta, llavors ja podem plegar, alguna cosa has d'assumir segura per poder 
començar a arreglar o diagnosticar coses, no ? 

 El millor és una solució molt gràfica: estirar del cable (es refereix a 
 l'alimentació elèctrica) i fer un anàlisi posterior amb eines 
 d'anàlisi post-mortem.
 

Aquesta hipotètica memòria USB conté eines d'anàlisi post mortem. No entenc com 
pots
fer anàlisis postmortem de sistemes informàtics sense alimentació elèctrica. 
Pots 
treure el disc dur i posar-lo a una altra màquina, però no l'hi veig l'augment 
de 
seguretat, perquè si és un codi maliciós estarà al disc dur. L'únic que 
necessites 
és no arrencar des de disc dur. 

Jo l'únic que imaginava és: 

1- Des d'un ordinador net prepares la memòria USB amb una distribució live i 
un guió per fer l'anilisi postmortem o les comprovacions de maquinari que 
vulguis.
Per prepara la memòria USB necessitaries un mínim d'informació del servidor 
avariat o compromès (dispositius, particions...) però això ho podries tenir
preparat de quan vas instal·lar el servidor, o agafor-ho d'una còpia de 
seguretat 
del servidor.

2- Atures el servidor presumptament compromés o avariat. Pots estirar el cable 
si 
ho vols fer més dramàtic i tens clar que no perdràs dades. 

3- Arrenques el servidor des de la memòria USB neta. El guió s'executa sol i fa 
els tests.
Deixa els resultats a la pròpia memòria USB. Quan acaba pita. 

4- Treus la memòria USB

5- El servidor, que encara executa el SO de la memòria USB detecta l'extracció 
de la 
memòria USB i atura o reinicia la màquina (això és el que menys clar tinc com 
es faria 
però deu ser possible).

6- (opcional) el servidor avariat o compromès torna a arrencar sense la memòria 
USB, 
des de disc dur i per tant segueix funcionant com abans, amb l'avaria o 
l'intrusió. Si no te'n 
fies doncs no el deixes arrencar (estires el cable abans de 

7- (simultani amb 6 si has volgut fer 6). Poses la memòria USB a l'ordinador 
net i analitzes 
els resultats dels tests. 

De fet ho pensava més per a una cosa que sospitis que és una avaria que per 
alguna cosa 
que sospitis que és una intrussió. Si fos una intrussió t'aniria bé tenir tot 
el disc dur
compromés a més dels resultats del test. Potser podries incloure un pas al guió 
de test 
que fos obrir un sshd i esperar, i a partir d'aquí et connectes amb un cable 
creuat des de
l'ordinador net i et mires el que calgui. 

La idea era que així t'estalvies connectar monitor i teclat i CD i tens el 
servidor apagat 
no gaire temps (si l'has d'obrir i tot plegat s'allarga una mica més). Però 
clar això 
només ho voldràs fer si sospites que la intrusió o l'avaria són improbables o 
no crítiques, 
o sia que et pots permetre el luxe de mantenir la màquina funcionant fins que 
ho arreglis. 
Si per exemple et fa por que l'avaria et faci perdre dades que no tens enlloc 
més o que 
la intrusió s'agreugi (per exemple capturi contrassenyes d'altres màquines, o 
comprometi 
la LAN, o etc.) segurament preferiràs tenir el servidor apagat. Però si és un 
simple 
servidor web, que no té cap LAN darrera, i els continguts els puges des d'una 
altra màquina, 
de manera que si es perden no passa res, no hi ha usuaris que hi entrin i els 
puguin 
capturar les contrassenyes... Bé, començoa veure perquè no ho deu haver fet mai 
ningú encara, 
perquè serveix per un cas simplot que no deu ser típic. 


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Slab corruption ?

[Orestes Mas]

A Divendres 02 Febrer 2007 14:07, Xavi Drudis Ferran va escriure:
 
  Una vegada vaig llegir que això no és recomanable: l'atacant pot haver
  deixat corrent un programa que si detecta la menor anomalia, esborri
  qualsevol rastre de la seva activitat.

 No t'he entés. Si arrenques des d'una memòria USB que se suposa que està
 neta l'atacant no hi pot haver deixat res executant-se, perquè els procesos
 executant-se s'aturen al reiniciar el servidor. Si vols pots desendollar la
 xarxa abans, per evitar que hi hagi alguna vulnerabilitat al SO de la
 memòria USB.

No ens hem entès. Jo em referia, com tu expliques més avall, a estirar el 
cable del servidor *abans* d'endollar-li la mamòria USB i rearrencar-lo amb 
el sistema d'aquesta, tal i com tu dius de fer en el pas 2.

 Si no et creus que la memòria USB o l'ordinador on l'has preparada no
 estigui neta, llavors ja podem plegar, alguna cosa has d'assumir segura per
 poder començar a arreglar o diagnosticar coses, no ?

Evident.


  El millor és una solució molt gràfica: estirar del cable (es refereix a
  l'alimentació elèctrica) i fer un anàlisi posterior amb eines
  d'anàlisi post-mortem.

 Aquesta hipotètica memòria USB conté eines d'anàlisi post mortem. No entenc
 com pots fer anàlisis postmortem de sistemes informàtics sense alimentació
 elèctrica. Pots treure el disc dur i posar-lo a una altra màquina, però no
 l'hi veig l'augment de seguretat, perquè si és un codi maliciós estarà al
 disc dur. L'únic que necessites és no arrencar des de disc dur.

Tu m'has vist a mi cara de proposar analitzar res sense alimentació elèctrica?

 Jo l'únic que imaginava és:

 1- Des d'un ordinador net prepares la memòria USB amb una distribució live
 i un guió per fer l'anilisi postmortem o les comprovacions de maquinari que
 vulguis. Per prepara la memòria USB necessitaries un mínim d'informació del
 servidor avariat o compromès (dispositius, particions...) però això ho
 podries tenir preparat de quan vas instal·lar el servidor, o agafor-ho
 d'una còpia de seguretat del servidor.

 2- Atures el servidor presumptament compromés o avariat. Pots estirar el
 cable si ho vols fer més dramàtic i tens clar que no perdràs dades.

 3- Arrenques el servidor des de la memòria USB neta. El guió s'executa sol
 i fa els tests. Deixa els resultats a la pròpia memòria USB. Quan acaba
 pita.

 4- Treus la memòria USB

 5- El servidor, que encara executa el SO de la memòria USB detecta
 l'extracció de la memòria USB i atura o reinicia la màquina (això és el que
 menys clar tinc com es faria però deu ser possible).

 6- (opcional) el servidor avariat o compromès torna a arrencar sense la
 memòria USB, des de disc dur i per tant segueix funcionant com abans, amb
 l'avaria o l'intrusió. Si no te'n fies doncs no el deixes arrencar (estires
 el cable abans de

 7- (simultani amb 6 si has volgut fer 6). Poses la memòria USB a
 l'ordinador net i analitzes els resultats dels tests.


Mira, ja ho has documentat. Potser li servirà a algú.

Orestes.