subject:"Server gehackt\?"

Servus,
Debian stable installieren - regelmäßig Sicherheitsupdates einspielen - 
unnötige Services deaktiveren (inetd.conf) - falls ssh benötigt wird, 
keine einfachen User/PW Kombinationen verwenden (gerade da in letzter 
Zeit die ssh Attacken zunehmen) bzw. gleich Keys erstellen - Firewall 
(iptables) - Intrusion detection system (z.b. aide)
spricht eigentlich was gegen:
mv /etc/rc2.d/S20inetd /etc/rc2.d/_S20inetd
So mach ich das immer, kommentiere sogar noch zusätzlich die Einträge in
der inetd.conf aus. Ich habe den noch nie gebraucht.
In welcher Konstellation macht es eigentlich Sinn, den inetd einzusetzen?
Grüße
Mathias
--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Server gehackt

2004-08-26 Diskussionsfäden Daniel Baumann

Mathias Tauber wrote:
In welcher Konstellation macht es eigentlich Sinn, den inetd einzusetzen?
wenn daemons nach bedarf gestartet werden sollen.
--
Address:Daniel Baumann, Burgunderstrasse 3, CH-4562 Biberist
Email:  [EMAIL PROTECTED]
Internet:   http://people.panthera-systems.net/~daniel-baumann/
--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Server gehackt

2004-08-26 Diskussionsfäden Thorsten Busse

Moin,

Mathias Tauber schrieb:
 spricht eigentlich was gegen:

   mv /etc/rc2.d/S20inetd /etc/rc2.d/_S20inetd


ich würde update-rc.d inetd remove empfehlen...

- Thorsten


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Server gehackt

In welcher Konstellation macht es eigentlich Sinn, den inetd einzusetzen?
wenn daemons nach bedarf gestartet werden sollen.
Was macht der inetd denn anders als z.B. '/etc/init.d/ab_und_zu_dienst start'?
Oder erkennt der inetd, dass ein Dienst angesprochen wird, welcher nicht läuft
und startet ihn dann automatisch?
--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Server gehackt

spricht eigentlich was gegen:
mv /etc/rc2.d/S20inetd /etc/rc2.d/_S20inetd

ich würde update-rc.d inetd remove empfehlen...
Wird er dann lediglich aus allen RC's entfernt, oder
macht der Befehl mehr?
--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Server gehackt

2004-08-26 Diskussionsfäden Andreas Kretschmer

am  26.08.2004, um 11:45:27 +0200 mailte Mathias Tauber folgendes:
 Was macht der inetd denn anders als z.B. '/etc/init.d/ab_und_zu_dienst 
 start'?
 
 Oder erkennt der inetd, dass ein Dienst angesprochen wird, welcher nicht 
 läuft
 und startet ihn dann automatisch?

So in etwa. Er lauscht am Port und startet bei Bedarf den nötigen
Dienst. man inetd


Andreas
-- 
Andreas Kretschmer(Kontakt: siehe Header)
   Tel. NL Heynitz:  035242/47212
GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net
 ===Schollglas Unternehmensgruppe=== 


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Server gehackt

2004-08-26 Diskussionsfäden Thorsten Busse

Moin,

Mathias Tauber schrieb:
spricht eigentlich was gegen:

 mv /etc/rc2.d/S20inetd /etc/rc2.d/_S20inetd



 ich würde update-rc.d inetd remove empfehlen...

 Wird er dann lediglich aus allen RC's entfernt, oder
 macht der Befehl mehr?

genau, alle symbolischen Links werden entfernt.


- Thorsten


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Server gehackt

2004-08-26 Diskussionsfäden Ulrich Mietke

Mathias Tauber schrieb:

 ... macht es ... Sinn, den inetd einzusetzen?
 wenn daemons nach bedarf gestartet werden sollen.
 Was macht der inetd denn anders als z.B. '/etc/init.d/ab_und_zu_dienst start'?
 
Nur ein Prozess! Sonst benötigt man einen Prozess für jeden Dienst!

 Oder erkennt der inetd, dass ein Dienst angesprochen wird, welcher nicht läuft
 und startet ihn dann automatisch?

Nicht ganz. Der Vorgang ist etwas anders, aber der Effekt ist der gleiche.

Gruß Uli


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Server gehackt

2004-08-26 Diskussionsfäden Daniel Baumann

Mathias Tauber wrote:
Oder erkennt der inetd, dass ein Dienst angesprochen wird, welcher nicht 
läuft
und startet ihn dann automatisch?
ja, genau das macht er.
--
Address:Daniel Baumann, Burgunderstrasse 3, CH-4562 Biberist
Email:  [EMAIL PROTECTED]
Internet:   http://people.panthera-systems.net/~daniel-baumann/
--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Server gehackt

Danke für die Infos von Euch allen!
Eine Frage noch:
Wie bereits erwähnt, habe ich den inetd noch nie gebraucht.
Ich dachte mir dann natürlich, runter mit dem Ding, aber da
kommen dann wichtige Abhängigkeiten dazu.
server01:~# apt-get remove netkit-inetd -s
Reading Package Lists... Done
Building Dependency Tree... Done
The following packages will be REMOVED:
  apache logrotate mailx netbase netkit-inetd postfix postfix-ldap 
postfix-pcre samba squid
0 packages upgraded, 0 newly installed, 10 to remove and 0  not upgraded.
Remv apache (1.3.26-0woody5 Debian-Security:3.0/stable)
Remv squid (2.4.6-2woody2 Debian-Security:3.0/stable)
Remv samba (2.2.3a-13 Debian-Security:3.0/stable)
Remv logrotate (3.5.9-8 Debian:3.0r2/stable)
Remv mailx (1:8.1.2-0.20020411cvs-1 Debian:3.0r2/stable)
Remv postfix-ldap (1.1.11-0.woody3 Debian:3.0r2/stable, 
Debian-Security:3.0/stable) [postfix ]
Remv postfix (1.1.11-0.woody3 Debian:3.0r2/stable, Debian-Security:3.0/stable) 
[postfix-pcre ]
Remv postfix-pcre (1.1.11-0.woody3 Debian:3.0r2/stable, 
Debian-Security:3.0/stable)
Remv netbase (4.07 Debian:3.0r2/stable)
Remv netkit-inetd (0.10-9 Debian:3.0r2/stable)
Kann man den trotzdem irgendwie entfernen? Weil so macht
das ja keinen Sinn...
Grüße
Mathias
--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Server gehackt

2004-08-26 Diskussionsfäden Patrick Petermair

Mathias Tauber wrote:
spricht eigentlich was gegen:
mv /etc/rc2.d/S20inetd /etc/rc2.d/_S20inetd
Eigentlich nicht ... ich mache das der Sauberkeit halber aber immer mit 
rcconf

MfG
Patrick

--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Server gehackt

2004-08-26 Diskussionsfäden Christian Schmidt

Hallo Mathias,

Mathias Tauber, 26.08.2004 (d.m.y):

 In welcher Konstellation macht es eigentlich Sinn, den inetd einzusetzen?

Man kann darueber Dienste starten lassen, die nicht als eigenstaendige
Daemons laufen, z.B. diverse POP3- oder IMAP-Server.
Falls die Dienste keine eigenen Zugriffsbeschraenkungen mitbringen,
kann man mit Hilfe des (x)inetd auch den tcpd dazwischenschalten, mit
dem man dann die Zugriffsberechtigungen auf den jeweiligen Dienst
host- und/oder netzwerkbasiert erteilen kann.
Mehr dazu kannst Du z.B. man tcpd entnehmen.

Gruss,
Christian
-- 
Wie man sein Kind nicht nennen sollte: 
  Marc Arov 


signature.asc
Description: Digital signature

Re: Server gehackt

2004-08-26 Diskussionsfäden Jan Luehr

ja hallo erstmal,...

Am Mittwoch, 25. August 2004 09:19 schrieb Christian Schmied:
 Hallo,

 ich habe seit gestern Nacht ein über 700MB größeres Transfervolumen auf
 meinem Server.

 Alles Durchsehen der Log-Dateien hat nichts gebracht.

 Mittels nmap habe einen neuen Port entdeckt: Port 88  Kerberos-sec
 und mit top finde ich ein Programm, das seit über sechs Stunden läuft und
 scan-a heißt.

Ok.
1. Schritt Verbindung zum inet physikalisch trennen. - Rechner nicht 
herunterfahren!
2. Neuen Server (anderes Gerät) mit Backups installieren Mondo - Mindi falls 
verfügbar. Dieser soll die Dienste übernehmen.
3. Gehe auch ww.chkrootkit.org Lade dir das dortige Programm herunter.
Übersetze es statisch! auf einem sauberen System. Packe zudem dieses und alle 
benötigten Binaries (die dortige Doku lesen!) auf eine CD / einen USB-Stick 
und lasse das Programm durchlaufen.
4. Stelle fest, welche Programme im Arbeitsspeicher sind, geladen sind, checke 
die IDS-Systeme (welche  Dateien wurden geändert)
5. Vergleich den geladenen Kernel mit einem Memory-Abbild (guck mal 
system.map) Liste alle geladenen Module, Programme, Bibliotheken auf und 
druck es am besten direkt aus.
6. Boote das System mit Knoppix und untersuche das System per Hand (und 
gründlich) auf Kompromitierungen.
Welche Dateien sind dort, welche müssen dort sein. Stimmen die md5-Summen der 
Dateien mit denen von den aus den Debian-Paketen überein.
7. Wenn du das Loch findest, schließe es. Falls nicht, so besteht immer wieder 
die Gefahr, dass dieses nochmal passiert. Solltest du es nicht finden, steige 
auf OpenBSD um.

fup2
[EMAIL PROTECTED]
([EMAIL PROTECTED] , www.securityfocus.com) oder 
de.comp.security.misc solltest du damit Probleme haben.

 Ich musste den Server neu aufsetzen, da ich ihn heute noch für eine andere
 Sache benötige. Trotzdem würde ich gerne wissen ob mit den beiden obigen
 Aussagen jemand von euch was anfangen kann?

Siehe oben. Alles andere ist fahrlässig.


 Hat jemand Links oder andere Tipps, wie mein sein System 100% (na ja 99,9%)
 wasserdicht bekommt?

http://www.debian.org/doc/manuals/securing-debian-howto/
http://www.grsecurity.org
oder
http://www.openbsd.org
Trusted Solaris ist auch ganz nett.


Keep smiling
yanosz

Re: Server gehackt

2004-08-26 Diskussionsfäden Alexander Schmehl

* Mathias Tauber [EMAIL PROTECTED] [040826 11:17]:
 spricht eigentlich was gegen:
   mv /etc/rc2.d/S20inetd /etc/rc2.d/_S20inetd

Sollte der inetd mal aktualisiert werden, war alle Mühe vergebens.


Yours sincerely,
  Alexander


signature.asc
Description: Digital signature

Server gehackt

2004-08-25 Diskussionsfäden Christian Schmied

Hallo,

ich habe seit gestern Nacht ein über 700MBgrößeres Transfervolumen auf meinem Server.

Alles Durchsehen der Log-Dateien hat nichts gebracht. 

Mittels nmap habe einen neuen Port entdeckt: Port 88 Kerberos-sec
und mit top finde ich ein Programm, das seit über sechs Stunden läuft und scan-a heißt.

Ich musste den Server neu aufsetzen, da ich ihn heute noch für eine andere Sache benötige. Trotzdem würde ich gerne wissen ob mit den beiden obigen Aussagen jemand von euch was anfangen kann?

Hat jemand Links oder andere Tipps, wie mein sein System 100% (na ja 99,9%) wasserdicht bekommt? 

Gruß
Christian
		Gesendet von Yahoo! Mail - Jetzt mit 100MB kostenlosem Speicher

Re: Server gehackt

2004-08-25 Diskussionsfäden Rainer Bendig

Hi Christian Schmied, *,

Christian Schmied wrote on Wed Aug 25, 2004 at 09:19:05AM +0200:
 Mittels nmap habe einen neuen Port entdeckt: Port 88  Kerberos-sec
 und mit top finde ich ein Programm, das seit über sechs Stunden läuft und scan-a 
 heißt.

Mit dem Schema hatte ich bislang noch nichts ...

 Hat jemand Links oder andere Tipps, wie mein sein System 100% (na ja 99,9%) 
 wasserdicht bekommt? 
Alles ausser den benötigten Ports sperren. @Work ist es so
eingerichtet, dass es zwei externe Firewalls gibt (Einmal der
komplette DSL Zugang, dann die IPRanges für die Clients bzw. Server
und nochmal eine auf jedem Server installiert wurde).

Remoteadministration via SSH ist hier (selbst im Firmennetz) nur über
eine IPSEC verbindung möglich.

Alle 3h läuft hier (paranoider weise) nen Prozess um rootkits
aufzudecken (chkrootkit).

Zusätzlich stehen für den Fall eines Falles saubere Festplatten, mit
einem lauffähigen System bereit. Dazu werden die Neu angefallenen
Daten alle 12h via rsync auf nem externen Server geschrieben. Backups
sind im Zeitraum von einer Woche vorhanden. Sprich wir sind in der Lage 
die Rechner innerhalb von 3 - 6 Minuten wieder am Start zu haben, und
zusätzlich noch in einem angemessenen Rahmen die Nutzerdaten
wiederherzustellen.
-- 
so long,
Rainer Bendig aka mindz PGP/GPG key   (ID: 0xCC7EA575)
http://DigitallyImpressed.com   Get it from wwwkeys.de.pgp.net
for contacting me take a look on http://digitallyimpressed.com/contact
--
Don't reply to this e-mail address and please don't cc to me on lists.
If we meet on a list, you can be sure that i am already on the list.
--
Beauty is truth, truth beauty, that is all
Ye know on earth, and all ye need to know.
-- John Keats


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Server gehackt

2004-08-25 Diskussionsfäden Robin Haunschild

Hallo,

am Mittwoch, 25. August 2004 09:58 schrieb Rainer Bendig:
 Hi Christian Schmied, *,

 Christian Schmied wrote on Wed Aug 25, 2004 at 09:19:05AM +0200:
  Mittels nmap habe einen neuen Port entdeckt: Port 88  Kerberos-sec
  und mit top finde ich ein Programm, das seit über sechs Stunden läuft und
  scan-a heißt.

 Mit dem Schema hatte ich bislang noch nichts ...

  Hat jemand Links oder andere Tipps, wie mein sein System 100% (na ja
  99,9%) wasserdicht bekommt?

 Alles ausser den benötigten Ports sperren. @Work ist es so
 eingerichtet, dass es zwei externe Firewalls gibt (Einmal der
 komplette DSL Zugang, dann die IPRanges für die Clients bzw. Server
 und nochmal eine auf jedem Server installiert wurde).

 Remoteadministration via SSH ist hier (selbst im Firmennetz) nur über
 eine IPSEC verbindung möglich.

 Alle 3h läuft hier (paranoider weise) nen Prozess um rootkits
 aufzudecken (chkrootkit).

 Zusätzlich stehen für den Fall eines Falles saubere Festplatten, mit
 einem lauffähigen System bereit. Dazu werden die Neu angefallenen
 Daten alle 12h via rsync auf nem externen Server geschrieben. Backups
 sind im Zeitraum von einer Woche vorhanden. Sprich wir sind in der Lage
 die Rechner innerhalb von 3 - 6 Minuten wieder am Start zu haben, und
 zusätzlich noch in einem angemessenen Rahmen die Nutzerdaten
 wiederherzustellen.

Nur mal so aus Interesse? Wo ist @Work? Welche Firma / Organisation braucht 
sooo viele Fallbacks? Ist schon mal etwas passiert?
Hört sich alles nett an, aber bringt es auch etwas / wurden die sauberen 
Festplatten mit Ersatzsystemen schon mal benötigt?


Viele Grüße

Robin
-- 
Robin Haunschild
[EMAIL PROTECTED]
http://www.tuxschild.de
[EMAIL PROTECTED]

  .''`. Ha Psi ist gleich Eh Psi
 : :'  :-Niemals aufgeben, niemals kapitulieren- 
 `. `'`*Linux* - apt-get into it
   `- 
Bitte senden Sie mir keine Word-, Excel- oder PowerPoint-Anhänge.
Siehe http://www.fsf.org/philosophy/no-word-attachments.de.html

Re: Server gehackt

2004-08-25 Diskussionsfäden Patrick Petermair

Christian Schmied wrote:
Mittels nmap habe einen neuen Port entdeckt: Port 88  Kerberos-sec
und mit top finde ich ein Programm, das seit über sechs Stunden läuft 
und scan-a heißt.
Also scan-a sagt mir nichts. Für die Zukunft: Mit netstat -tulpa 
kannst du dir die offenen Ports ansehen inkl. des jeweiligen Prozesses, 
der auf diesem Port lauscht. Ein last ist auch recht hilfreich, um zu 
sehen, ob irgendein Account gekapert wurde.
Ein Profi verwischt seine Spuren aber so gut, dass man ohne vorherige 
grundlegende Vorsichtsmaßnahmen nichts mehr entdeckt.


Hat jemand Links oder andere Tipps, wie mein sein System 100% (na ja 
99,9%) wasserdicht bekommt?
Debian stable installieren - regelmäßig Sicherheitsupdates einspielen - 
unnötige Services deaktiveren (inetd.conf) - falls ssh benötigt wird, 
keine einfachen User/PW Kombinationen verwenden (gerade da in letzter 
Zeit die ssh Attacken zunehmen) bzw. gleich Keys erstellen - Firewall 
(iptables) - Intrusion detection system (z.b. aide)

Ach ja, was auch nicht fehlen darf ist der obligatorische Hinweis aufs 
Debian Security HOW-TO:
http://www.debian.org/doc/manuals/securing-debian-howto/index.en.html

Btw: Welche Dienste hast du auf dem Server denn so laufen?
MfG
Patrick
--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Server gehackt

2004-08-25 Diskussionsfäden Christian Schmied

Auf dem Server läuft die stable Version.

Offene Ports
9 discard
13 daytime
22 ssh
37 time

zusätzlich dazu habe ich qmail aus den Resourcen ohne Erweiterungspatches kompilert. Der smtpd liefen mit den entsprechenden usern wie bei qmail üblich, also nicht root

Dazu noch vpopmail. Ebenso nicht unter root.

Spamassassin habe ich aus der testing Version.

Einloggen geschieht über ssh als root mit einem 15 stelligen Passwort, Sonderzeichen und Zahlen (meiner Meinung nicht knackbar)

Die Security-Updates habe ich regelmäßig gefahren.

Ich kann mir nur vorstellen das es an qmail, oder vpopmail lag. Alles andere ist nur Grundsystem.

Patrick Petermair [EMAIL PROTECTED] wrote:
Christian Schmied wrote: Mittels nmap habe einen neuen Port entdeckt: Port 88 Kerberos-sec und mit top finde ich ein Programm, das seit über sechs Stunden läuft und scan-a heißt.Also scan-a sagt mir nichts. Für die Zukunft: Mit "netstat -tulpa" kannst du dir die offenen Ports ansehen inkl. des jeweiligen Prozesses, der auf diesem Port lauscht. Ein "last" ist auch recht hilfreich, um zu sehen, ob irgendein Account gekapert wurde.Ein Profi verwischt seine Spuren aber so gut, dass man ohne vorherige grundlegende Vorsichtsmaßnahmen nichts mehr entdeckt. Hat jemand Links oder andere Tipps, wie mein sein System 100% (na ja 99,9%) wasserdicht bekommt?Debian stable installieren - regelmäßig Sicherheitsupdates einspielen - unnötige Services deaktiveren (inetd.conf) - falls ssh benötigt wird, <
BR>keine
einfachen User/PW Kombinationen verwenden (gerade da in letzter Zeit die ssh "Attacken" zunehmen) bzw. gleich Keys erstellen - Firewall (iptables) - Intrusion detection system (z.b. aide)Ach ja, was auch nicht fehlen darf ist der obligatorische Hinweis aufs Debian Security HOW-TO:http://www.debian.org/doc/manuals/securing-debian-howto/index.en.htmlBtw: Welche Dienste hast du auf dem Server denn so laufen?MfGPatrick-- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Gesendet von Yahoo! Mail - Jetzt mit 100MB kostenlosem Speicher

Re: Server gehackt

2004-08-25 Diskussionsfäden Michelle Konzack

Am 2004-08-25 10:11:02, schrieb Robin Haunschild:
 Hallo,

 Nur mal so aus Interesse? Wo ist @Work? Welche Firma / Organisation braucht 
 sooo viele Fallbacks? Ist schon mal etwas passiert?
 Hört sich alles nett an, aber bringt es auch etwas / wurden die sauberen 
 Festplatten mit Ersatzsystemen schon mal benötigt?

Ich mach zwar nur alle 24 Stunden ein Backup, aber ich habe ebenfals 
Wochenbackups. 

Und für den Fall, das ich längere zeit in den Urlaub gehen sollte, 
stelle ich sogar das löschen alter bachups ab... Bei nem Backup 
Server mit 8 mal 300 GByte im Raid-5  ist das ja kein Problem...

Und so teuer sind die Platten auch wieder nicht. 

Selbst die Server die ich in Paris habe (u.a. postgresql mit fast 
100 GByte) läßt sich in kürzester Zeit wieder herstellen.

Abgesehen davon gibt es jede menge Firmen, die es sich nicht 
leisten können, wenn Server ne Stunde ausfallen... Die Firma für 
die ich gelegentlich in Strasbourg arbeite, würde pro Server pro 
Stunde rund 60.000 ¤ verlieren. Jetzt lass mal nen Hackangriff 
auf die 150 Server ablaufen...

Die Firma hat jeden Server dreimal... Plus ein gewaltiges NAS 
als Backup in einer ANDEREN Stadt (Angebunden über eine private 
Dual STM-1)

 Viele Grüße
 
 Robin


Greetings
Michelle

-- 
Linux-User #280138 with the Linux Counter, http://counter.li.org/ 
Michelle Konzack   Apt. 917  ICQ #328449886
   50, rue de Soultz MSM LinuxMichi
0033/3/8845235667100 Strasbourg/France   IRC #Debian (irc.icq.com)


signature.pgp
Description: Digital signature

Re: Wurde mein Server gehackt?

2003-11-30 Diskussionsfäden Peter Blancke

Reinhold Plew [EMAIL PROTECTED] dixit:
 Peter Blancke schrieb:
 Tauber, Mathias  HDP [EMAIL PROTECTED] dixit:
 
Angenommen die Kiste schmiert wieder ab, was bleibt dann noch?
 
 Defekte IDE-Platte? Vor allem, wenn das eine Seagate ist.
 
 der OP schrieb doch, das er die Platte getauscht hat.

Ja, meinst Du, ich haette das ueberlesen?

Er schrieb nicht, dass er die Platte gegen eine andere tauschte, mit
der gleichzeitig ein anerkanntes Zertifikat ueber deren einwandfreie
Tauglichkeit erhalten hat.

Ich habe bei einem aehnlichen Fehler vor einem halben Jahr auch eine
defekte Platte gegen eine -- leider -- ebenfalls defekte Platte
ausgetauscht und mich bald dummgesucht.

Gruss

Peter Blancke

-- 
Hoc est enim verbum meum!


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Wurde mein Server gehackt?

2003-11-30 Diskussionsfäden Reinhold Plew



Peter Blancke schrieb:

Reinhold Plew [EMAIL PROTECTED] dixit:

Peter Blancke schrieb:

Tauber, Mathias  HDP [EMAIL PROTECTED] dixit:


Angenommen die Kiste schmiert wieder ab, was bleibt dann noch?
Defekte IDE-Platte? Vor allem, wenn das eine Seagate ist.
der OP schrieb doch, das er die Platte getauscht hat.


Ja, meinst Du, ich haette das ueberlesen?
war doch net bös gemeint :-)

Er schrieb nicht, dass er die Platte gegen eine andere tauschte, mit
der gleichzeitig ein anerkanntes Zertifikat ueber deren einwandfreie
Tauglichkeit erhalten hat.
ich ging davon aus, das er schon eine funktionierende/neue Platte 
genommen hat.

Ich habe bei einem aehnlichen Fehler vor einem halben Jahr auch eine
defekte Platte gegen eine -- leider -- ebenfalls defekte Platte
ausgetauscht und mich bald dummgesucht.
das ist wohl war, mir auch schon mal mit Memory passiert, fünf 
Riegel und alle kaputt :-(

Gruss

Peter Blancke

Gruss
Reinhold


--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

RE: Wurde mein Server gehackt?

2003-11-29 Diskussionsfäden Tauber, Mathias HDP

 Starte mal memtest86 von der Diskette, 
 das braucht dann nur 26 kBytes...
 Hmmm, ich habe keine Probleme unter 
 WOODY 3.0r2 1,5 GByte Ram zu testen...

Nabend,

also ich habe memtest86 installiert und zum Laufen gebracht.

Er hat 256MB abzüglich 32MB komplett über 18 Stunden getestet.
Ich habe den Test dann abgebrochen, er hätte ja inzwischen was
finden müssen. Defekte Elkos hab ich auf dem Board auch nicht
gefunden. Platte wurde getauscht.
Angenommen die Kiste schmiert wieder ab, was bleibt dann noch?
IDE-Kontroller, oder ein anderer Systembaustein!? Kann man da
noch was mit Software testen, oder sind hier die Grenzen
erreicht? Gibt's vielleicht noch eine Softwarem, die die Bus-
Systeme überprüft?


Grüße
Mathias


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Wurde mein Server gehackt?

2003-11-29 Diskussionsfäden Reinhold Plew



Tauber, Mathias HDP schrieb:
Starte mal memtest86 von der Diskette, 
das braucht dann nur 26 kBytes...
Hmmm, ich habe keine Probleme unter 
WOODY 3.0r2 1,5 GByte Ram zu testen...


Nabend,
ebenso

also ich habe memtest86 installiert und zum Laufen gebracht.

Er hat 256MB abzüglich 32MB komplett über 18 Stunden getestet.
Ich habe den Test dann abgebrochen, er hätte ja inzwischen was
finden müssen. Defekte Elkos hab ich auf dem Board auch nicht
sollte eigentlich komplett durchlaufen

gefunden. Platte wurde getauscht.
Angenommen die Kiste schmiert wieder ab, was bleibt dann noch?
IDE-Kontroller, oder ein anderer Systembaustein!? Kann man da
noch was mit Software testen, oder sind hier die Grenzen
erreicht? Gibt's vielleicht noch eine Softwarem, die die Bus-
Systeme überprüft?
ein Stresstest für die Platte / den Kontroller mit mit dd o.ä. 
vielleicht?

Kann ja auch sein, dass das Netzteil nen Fehler hat.



Grüße
Mathias

Gruss
Reinhold


--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Wurde mein Server gehackt?

2003-11-29 Diskussionsfäden Peter Blancke

Tauber, Mathias  HDP [EMAIL PROTECTED] dixit:

 Angenommen die Kiste schmiert wieder ab, was bleibt dann noch?

Defekte IDE-Platte? Vor allem, wenn das eine Seagate ist.

Gruss

Peter Blancke

-- 
Hoc est enim verbum meum!


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Wurde mein Server gehackt?

2003-11-29 Diskussionsfäden Reinhold Plew



Peter Blancke schrieb:

Tauber, Mathias  HDP [EMAIL PROTECTED] dixit:


Angenommen die Kiste schmiert wieder ab, was bleibt dann noch?


Defekte IDE-Platte? Vor allem, wenn das eine Seagate ist.
der OP schrieb doch, das er die Platte getauscht hat.

Gruss

Peter Blancke



--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Wurde mein Server gehackt?

2003-11-29 Diskussionsfäden Michelle Konzack

Am 2003-11-29 21:02:01, schrieb Tauber, Mathias  HDP:
 Starte mal memtest86 von der Diskette, 
 das braucht dann nur 26 kBytes...
 Hmmm, ich habe keine Probleme unter 
 WOODY 3.0r2 1,5 GByte Ram zu testen...

Nabend,

also ich habe memtest86 installiert und zum Laufen gebracht.

Er hat 256MB abzüglich 32MB komplett über 18 Stunden getestet.

Hast Du eine On-Board-Grafikkarte ???

Habe h'Hier bei einem MSI-Mainboard auch eine mit Shared Memory, 
aber memtest86 Testet ALLES.

Und 18 Stunden ist verdächtig...
Auf meinem HP Vextra XA5/200MMT (P 1 200MHz) benötige ich mit 
512 MByte EDO-Ram nur rund 11 Stunden für alle 8 Tests.

Grüße
Mathias

Grüße
Michelle

-- 
Registered Linux-User #280138 with the Linux Counter, http://counter.li.org.


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

RE: Wurde mein Server gehackt?

2003-11-27 Diskussionsfäden Tauber, Mathias HDP

 snip
  - Apache
 1.x oder 2.x ?
 
 snip

Moin moin,

ist Apache 1.3.x, stable Release...

memtest86 ist übrigens beim 145 Durchlauf und
hat bisher noch keine Fehler gefunden.

Gruß
Mathias


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Wurde mein Server gehackt?

2003-11-27 Diskussionsfäden Jakob Lenfers

Tauber, Mathias  HDP [EMAIL PROTECTED] writes:

 kann. Es sind 256MB drin, 32MB sind reserviert. Beim Booten
 von Knoppix wird der Rest angezeigt und der Befehl free
 liefert ebenfalls einen Wert über 200MB.

 Wenn ich jetzt memtest ausführe, werden nur ~112MB getestet.
 Für den Rest zeigt insufficient resources!?

Du musst memtest direkt von Diskette/CD booten, damit sonst nichts
läuft.

Jakob
-- 
Gnus sieht gut aus. Guckst Du:   http://www.jl42.de/pub/gnus/desktop_03.jpg
de.comm.software.gnus  http://www.jl42.de/pub/gnus/gnus-group-buffer_03.jpg
http://my.gnus.org   http://www.jl42.de/pub/gnus/gnus-summary-buffer_03.jpg
Wie das klappt? = http://my.gnus.org/node/view/39


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Wurde mein Server gehackt?

Hallo Leute,

in der letzten Zeit gab es mehrmals mit meinem ReverseProxy.

Insgesamt ist die Mühle 3mal abgeschmiert und nicht mehr
bootfähig (Kernel Panic!). Daher mach ich mir inzwischen
Sorgen, ob vielleicht die Kiste 'regelmäßig' gehackt wird...

Software, die ich verwende:
- Woody
- Apache
- Apache-SSL mit mod_proxy im Einsatz
- Postfix, um Statusmeldungen zu erhalten

Offen sind nur die Ports 80 und 443, Postfix ist daher
von extern nicht erreichbar. Anbei ein Auszug aus den
messages, die ich mit Knoppix noch retten konnte. Ich
habe solche Einträge bisher noch nicht gesehen! Kann
gerne auf Anfrage veruschen, weitere Infos bereitzu-
stellen.

Bin für jeden Beitrag dankbar.


Gruß
Mathias



messages:
-
...
Oct 29 12:15:32 hdphdrev01 kernel:  printing eip:
Oct 29 12:15:32 hdphdrev01 kernel: 0002
Oct 29 12:15:32 hdphdrev01 kernel: Oops: 
Oct 29 12:15:32 hdphdrev01 kernel: CPU:0
Oct 29 12:15:32 hdphdrev01 kernel: EIP:0010:[0002]Not tainted
Oct 29 12:15:32 hdphdrev01 kernel: EFLAGS: 00010202
Oct 29 12:15:32 hdphdrev01 kernel: eax: 0002   ebx: c5ccbde8   ecx:
c5ccbde8   edx: 0002
Oct 29 12:15:32 hdphdrev01 kernel: esi: c5ccbe80   edi: 0001   ebp:
c5ccbde8   esp: c7609ef4
Oct 29 12:15:32 hdphdrev01 kernel: ds: 0018   es: 0018   ss: 0018
Oct 29 12:15:32 hdphdrev01 kernel: Process bounce (pid: 15987,
stackpage=c7609000)
Oct 29 12:15:32 hdphdrev01 kernel: Stack: c0140d22 c5ccbde8 3f9fa154
c7608000 c7609f8c c014201f c5ccbde8 0001 
Oct 29 12:15:32 hdphdrev01 kernel:cb1396d0 c0138aa9 c5ccbde8
cc071000  400132b8 c7609f8c 0001 
Oct 29 12:15:32 hdphdrev01 kernel:0001 cc071010 cb1396d0
cc071005 000b e2a6dd9b c0138bca c0139089 
Oct 29 12:15:32 hdphdrev01 kernel: Call Trace: [__mark_inode_dirty+46/120]
[update_atime+75/80] [link_path_walk+1457/1720] [path_walk+26/28]
[open_namei+117/1380] 
Oct 29 12:15:32 hdphdrev01 kernel:[filp_open+49/80] [sys_open+51/152]
[system_call+51/56] 
Oct 29 12:15:32 hdphdrev01 kernel: 
Oct 29 12:15:32 hdphdrev01 kernel: Code:  Bad EIP value.
Oct 29 12:16:32 hdphdrev01 kernel:  1Unable to handle kernel NULL pointer
dereference at virtual address 0002
Oct 29 12:16:32 hdphdrev01 kernel:  printing eip:
Oct 29 12:16:32 hdphdrev01 kernel: 0002
Oct 29 12:16:32 hdphdrev01 kernel: Oops: 
Oct 29 12:16:32 hdphdrev01 kernel: CPU:0
Oct 29 12:16:32 hdphdrev01 kernel: EIP:0010:[0002]Not tainted
Oct 29 12:16:32 hdphdrmv01 kernel: EFLAGS: 00010202
Oct 29 12:16:32 hdphdrev01 kernel: eax: 0002   ebx: c5ccbde8   ecx:
c5ccbde8   edx: 0002
Oct 29 12:16:32 hdphdrev01 kernel: esi: c5ccbe80   edi: 0001   ebp:
c5ccbde8   esp: c7609ef4
Oct 29 12:16:32 hdphdrev01 kernel: ds: 0018   es: 0018   ss: 0018
Oct 29 12:16:32 hdphdrev01 kernel: Process bounce (pid: 15988,
stackpage=c7609000)
Oct 29 12:16:32 hdphdrev01 kernel: Stack: c0140d22 c5ccbde8 3f9fa190
c7608000 c7609f8c c014201f c5ccbde8 0001 
Oct 29 12:16:32 hdphdrev01 kerned:cb1396d0 c0138aa9 c5ccbde8
cbc25000  400132b8 c7609f8c 0001 
Oct 29 12:16:32 hdphdrev01 kernel:0001 cbc25010 cb1396d0
cbc25005 000b e2a6dd9b c0138bca c0139089 
Oct 29 12:16:32 hdphdrev01 kernel: Call Trace: [__mark_inode_dirty+46/120]
[update_atime+75/80] [link_path_walk+1457/1720] [path_walk+26/28]
[open_namei+117/1380] 
Oct 29 12:16:32 hdphdrev01 kernel:[filp_open+49/80] [sys_open+51/152]
[system_call+51/56] 
Oct 29 12:16:32 hdphdrev01 kernel: 
Oct 29 12:16:32 hdphdrev01 kernel: Code:  Bad EIP value.
Oct 29 12:17:32 hdphdrev01 kernel:  1Unable to handle kernel NULL pointer
dereference at virtual address 0002
Oct 29 12:17:32 hdphdrev01 kernel:  printing eip:
Oct 29 12:17:32 hdphdrev01 kernel: 0002
Oct 29 12:17:32 hdphdrev01 kernel: Oops: 
Oct 29 12:17:32 hdphdrev01 kernel: CPU:0
Oct 29 12:17:32 hdphdrev01 kernel: EIP:0010:[0002]Not tainted
Oct 29 12:17:32 hdphdrev01 kernel: EFLAGS: 00010202
Oct 29 12:17:32 hdphdrev01 kernel: eax: 0002   ebx: c5ccbde8   ecx:
c5ccbde8   edx: 0002
Oct 29 12:17:32 hdphdrev01 kernel: esi: c5ccbe80   edi: 0001   ebp:
c5ccbde8   esp: c7609ef4
Oct 29 12:17:32 hdphdrev01 kernel: ds: 0018   es: 0018   ss: 0018
Oct 29 12:17:32 hdphdrev01 kernel: Process bounce (pid: 15989,
stackpage=c7609000)
Oct 29 12:17:32 hdphdrev01 kernel: Stack: c0140d22 c5ccbde8 3f9fa1cc
c7608000 c7609f8c c014201f c5ccbde8 0001 
Oct 29 12:17:32 hdphdrev01 kernel:cb1396d0 c0138aa9 c5ccbde8
cdf4c000  400132b8 c7609f8c 0001 
Oct 29 12:17:32 hdphdrev01 kernel:0001 cdf4c010 cb1396d0
cdf4c005 000b e2a6dd9b c0138bca c0139089 
Oct 29 12:17:32 hdphdrev01 kernel: Call Trace: [__mark_inode_dirty+46/120]
[update_atime+75/80] [link_path_walk+1457/1720] [path_walk+26/28]
[open_namei+117/1380] 
Oct 29 12:17:32 hdphdrev01 kernel:[filp_open+49/80] [sys_open+51/152]
[system_call+51/56] 
Oct 29 12:17:32 hdphdrev01 kernel: 
Oct 29 12:17:32 hdphdrev01 kernel: Code:

Re: Wurde mein Server gehackt?

On Wed, Nov 26, 2003 at 11:03:27AM +0100, Tauber, Mathias  HDP wrote:
 Oct 29 12:15:32 hdphdrev01 kernel:  printing eip:
 Oct 29 12:15:32 hdphdrev01 kernel: 0002
 Oct 29 12:15:32 hdphdrev01 kernel: Oops: 
 Oct 29 12:15:32 hdphdrev01 kernel: CPU:0
 Oct 29 12:15:32 hdphdrev01 kernel: EIP:0010:[0002]Not tainted
 Oct 29 12:15:32 hdphdrev01 kernel: EFLAGS: 00010202
 Oct 29 12:15:32 hdphdrev01 kernel: eax: 0002   ebx: c5ccbde8   ecx:
 c5ccbde8   edx: 0002
 Oct 29 12:15:32 hdphdrev01 kernel: esi: c5ccbe80   edi: 0001   ebp:
 c5ccbde8   esp: c7609ef4
 Oct 29 12:15:32 hdphdrev01 kernel: ds: 0018   es: 0018   ss: 0018
 Oct 29 12:15:32 hdphdrev01 kernel: Process bounce (pid: 15987,
 stackpage=c7609000)
 Oct 29 12:15:32 hdphdrev01 kernel: Stack: c0140d22 c5ccbde8 3f9fa154
 c7608000 c7609f8c c014201f c5ccbde8 0001 
 Oct 29 12:15:32 hdphdrev01 kernel:cb1396d0 c0138aa9 c5ccbde8
 cc071000  400132b8 c7609f8c 0001 
 Oct 29 12:15:32 hdphdrev01 kernel:0001 cc071010 cb1396d0
 cc071005 000b e2a6dd9b c0138bca c0139089 
 Oct 29 12:15:32 hdphdrev01 kernel: Call Trace: [__mark_inode_dirty+46/120]
 [update_atime+75/80] [link_path_walk+1457/1720] [path_walk+26/28]
 [open_namei+117/1380] 
 Oct 29 12:15:32 hdphdrev01 kernel:[filp_open+49/80] [sys_open+51/152]
 [system_call+51/56] 
 Oct 29 12:15:32 hdphdrev01 kernel: 
 Oct 29 12:15:32 hdphdrev01 kernel: Code:  Bad EIP value.
 Oct 29 12:16:32 hdphdrev01 kernel:  1Unable to handle kernel NULL pointer
 dereference at virtual address 0002
 Oct 29 12:16:32 hdphdrev01 kernel:  printing eip:
 Oct 29 12:16:32 hdphdrev01 kernel: 0002
 Oct 29 12:16:32 hdphdrev01 kernel: Oops: 
 Oct 29 12:16:32 hdphdrev01 kernel: CPU:0
 Oct 29 12:16:32 hdphdrev01 kernel: EIP:0010:[0002]Not tainted
 Oct 29 12:16:32 hdphdrmv01 kernel: EFLAGS: 00010202
 Oct 29 12:16:32 hdphdrev01 kernel: eax: 0002   ebx: c5ccbde8   ecx:
 c5ccbde8   edx: 0002
 Oct 29 12:16:32 hdphdrev01 kernel: esi: c5ccbe80   edi: 0001   ebp:
 c5ccbde8   esp: c7609ef4
 Oct 29 12:16:32 hdphdrev01 kernel: ds: 0018   es: 0018   ss: 0018
 Oct 29 12:16:32 hdphdrev01 kernel: Process bounce (pid: 15988,
 stackpage=c7609000)
 Oct 29 12:16:32 hdphdrev01 kernel: Stack: c0140d22 c5ccbde8 3f9fa190
 c7608000 c7609f8c c014201f c5ccbde8 0001 
 Oct 29 12:16:32 hdphdrev01 kerned:cb1396d0 c0138aa9 c5ccbde8
 cbc25000  400132b8 c7609f8c 0001 
 Oct 29 12:16:32 hdphdrev01 kernel:0001 cbc25010 cb1396d0
 cbc25005 000b e2a6dd9b c0138bca c0139089 
 Oct 29 12:16:32 hdphdrev01 kernel: Call Trace: [__mark_inode_dirty+46/120]
 [update_atime+75/80] [link_path_walk+1457/1720] [path_walk+26/28]
 [open_namei+117/1380] 
 Oct 29 12:16:32 hdphdrev01 kernel:[filp_open+49/80] [sys_open+51/152]
 [system_call+51/56] 
 Oct 29 12:16:32 hdphdrev01 kernel: 
 Oct 29 12:16:32 hdphdrev01 kernel: Code:  Bad EIP value.
 Oct 29 12:17:32 hdphdrev01 kernel:  1Unable to handle kernel NULL pointer
 dereference at virtual address 0002
 Oct 29 12:17:32 hdphdrev01 kernel:  printing eip:
 Oct 29 12:17:32 hdphdrev01 kernel: 0002
 Oct 29 12:17:32 hdphdrev01 kernel: Oops: 
 Oct 29 12:17:32 hdphdrev01 kernel: CPU:0
 Oct 29 12:17:32 hdphdrev01 kernel: EIP:0010:[0002]Not tainted
 Oct 29 12:17:32 hdphdrev01 kernel: EFLAGS: 00010202
 Oct 29 12:17:32 hdphdrev01 kernel: eax: 0002   ebx: c5ccbde8   ecx:
 c5ccbde8   edx: 0002
 Oct 29 12:17:32 hdphdrev01 kernel: esi: c5ccbe80   edi: 0001   ebp:
 c5ccbde8   esp: c7609ef4
 Oct 29 12:17:32 hdphdrev01 kernel: ds: 0018   es: 0018   ss: 0018
 Oct 29 12:17:32 hdphdrev01 kernel: Process bounce (pid: 15989,
 stackpage=c7609000)
 Oct 29 12:17:32 hdphdrev01 kernel: Stack: c0140d22 c5ccbde8 3f9fa1cc
 c7608000 c7609f8c c014201f c5ccbde8 0001 
 Oct 29 12:17:32 hdphdrev01 kernel:cb1396d0 c0138aa9 c5ccbde8
 cdf4c000  400132b8 c7609f8c 0001 
 Oct 29 12:17:32 hdphdrev01 kernel:0001 cdf4c010 cb1396d0
 cdf4c005 000b e2a6dd9b c0138bca c0139089 
 Oct 29 12:17:32 hdphdrev01 kernel: Call Trace: [__mark_inode_dirty+46/120]
 [update_atime+75/80] [link_path_walk+1457/1720] [path_walk+26/28]
 [open_namei+117/1380] 
 Oct 29 12:17:32 hdphdrev01 kernel:[filp_open+49/80] [sys_open+51/152]
 [system_call+51/56] 
 Oct 29 12:17:32 hdphdrev01 kernel: 
 Oct 29 12:17:32 hdphdrev01 kernel: Code:  Bad EIP value.

Sowas deutet wohl mehr auf ein Hardwareproblem hin. Vielleicht gibt der
Speicher langsam den Geist auf. Ich hatte das auch mal. Ich habe dann
die Platte in einen anderen Rechner eingebaut und alles lief wieder wie
geschmiert.



Michael


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

RE: Wurde mein Server gehackt?

 Sowas deutet wohl mehr auf ein Hardwareproblem hin. 
 Vielleicht gibt der
 Speicher langsam den Geist auf. Ich hatte das auch mal. Ich habe dann
 die Platte in einen anderen Rechner eingebaut und alles lief 
 wieder wie
 geschmiert.

Das habe ich auch schon vermutet, ein Festplattenscan
(Lesen+Schreiben) zeigte bisher keine Probleme. Habe
trotzdem mal die Platte getauscht. Kann man den Rest
der Hardware irgendwie testen, vielleicht sogar mit
Knoppix?

Gruß
Mathias


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Wurde mein Server gehackt?

On Wed, Nov 26, 2003 at 11:16:26AM +0100, Tauber, Mathias  HDP wrote:
  Sowas deutet wohl mehr auf ein Hardwareproblem hin. 
  Vielleicht gibt der
  Speicher langsam den Geist auf. Ich hatte das auch mal. Ich habe dann
  die Platte in einen anderen Rechner eingebaut und alles lief 
  wieder wie
  geschmiert.
 
 Das habe ich auch schon vermutet, ein Festplattenscan
 (Lesen+Schreiben) zeigte bisher keine Probleme. Habe
 trotzdem mal die Platte getauscht. Kann man den Rest
 der Hardware irgendwie testen, vielleicht sogar mit
 Knoppix?

Was du brauchst is memtest86 oder so. Keine ahnung ob das auf einer
Knoppix drauf ist (muss ja speziell gebootet werden). Wenn Du die
möglichkeit hast würde ich als erstes mal den Speicher austauschen.
Vielleicht ist es auch kein direktes Hardwareproblem und es wird einfach
nur zu heiss in der Kiste ? was sagen denn CPU- and Gehäusetemperatur ? 


Michael:


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

RE: Wurde mein Server gehackt?

  Das habe ich auch schon vermutet, ein Festplattenscan
  (Lesen+Schreiben) zeigte bisher keine Probleme. Habe
  trotzdem mal die Platte getauscht. Kann man den Rest
  der Hardware irgendwie testen, vielleicht sogar mit
  Knoppix?
 
 Was du brauchst is memtest86 oder so. Keine ahnung ob das auf einer
 Knoppix drauf ist (muss ja speziell gebootet werden). Wenn Du die
 möglichkeit hast würde ich als erstes mal den Speicher austauschen.
 Vielleicht ist es auch kein direktes Hardwareproblem und es 
 wird einfach
 nur zu heiss in der Kiste ? was sagen denn CPU- and 
 Gehäusetemperatur ? 

Die Temperaturen sollten eigentlich in Ordnung sein,
Serverschrank ist klimatisiert. Kann ich die Temperatur
über SSH auslesen? Ist nämlich kein Monitor etc.
angeschlossen...

Gruß
Mathias


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Wurde mein Server gehackt?

2003-11-26 Diskussionsfäden Alexander Rink

On Wednesday 26 November 2003 11:39, Tauber, Mathias  HDP wrote:
   Das habe ich auch schon vermutet, ein Festplattenscan
   (Lesen+Schreiben) zeigte bisher keine Probleme. Habe
   trotzdem mal die Platte getauscht. Kann man den Rest
   der Hardware irgendwie testen, vielleicht sogar mit
   Knoppix?
 
  Was du brauchst is memtest86 oder so. Keine ahnung ob das auf einer
  Knoppix drauf ist (muss ja speziell gebootet werden). Wenn Du die
  möglichkeit hast würde ich als erstes mal den Speicher austauschen.
  Vielleicht ist es auch kein direktes Hardwareproblem und es
  wird einfach
  nur zu heiss in der Kiste ? was sagen denn CPU- and
  Gehäusetemperatur ?

 Die Temperaturen sollten eigentlich in Ordnung sein,
 Serverschrank ist klimatisiert. Kann ich die Temperatur
 über SSH auslesen? Ist nämlich kein Monitor etc.
 angeschlossen...
Ja, wenn die sensoren konfiguriert sind, kannst du sie mit sensors auslesen. 
Sind sie nicht konfiguriert, so kannst du das mit sensors-detect machen. Das 
benötigte Paket ist lm-sensors. Bei einem 2.4er Kernel sollte das 
funktionieren, bei 2.6er Kerneln haben sich ein paar Dinge geaendert 
(hauptsaechlich, dass die Module nun im Kernel sind und sensors-detect nicht 
mehr funktioniert).

Gruss
Alex


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Wurde mein Server gehackt?

On Wed, Nov 26, 2003 at 11:39:13AM +0100, Tauber, Mathias  HDP wrote:
 Die Temperaturen sollten eigentlich in Ordnung sein,
 Serverschrank ist klimatisiert. Kann ich die Temperatur
 über SSH auslesen? Ist nämlich kein Monitor etc.
 angeschlossen...

Sollte in den logfiles stehen wenn du lm-sensors benutzt. Natürlich gibt
es auch 3 Millionen frontends dafür ...


Michael


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

RE: Wurde mein Server gehackt?

  Das habe ich auch schon vermutet, ein Festplattenscan
  (Lesen+Schreiben) zeigte bisher keine Probleme. Habe
  trotzdem mal die Platte getauscht. Kann man den Rest
  der Hardware irgendwie testen, vielleicht sogar mit
  Knoppix?
 
 Was du brauchst is memtest86 oder so. Keine ahnung ob das auf einer
 Knoppix drauf ist (muss ja speziell gebootet werden). Wenn Du die
 möglichkeit hast würde ich als erstes mal den Speicher austauschen.
 Vielleicht ist es auch kein direktes Hardwareproblem und es 
 wird einfach
 nur zu heiss in der Kiste ? was sagen denn CPU- and 
 Gehäusetemperatur ? 

Hab jetzt mal mit memtest den Speicher getestet. Merkwürdig
ist hierbei, dass ich nicht den kompletten Speicher testen
kann. Es sind 256MB drin, 32MB sind reserviert. Beim Booten
von Knoppix wird der Rest angezeigt und der Befehl free
liefert ebenfalls einen Wert über 200MB.

Wenn ich jetzt memtest ausführe, werden nur ~112MB getestet.
Für den Rest zeigt insufficient resources!?

Was bedeutet das? Habe auch einen anderen Rechner getestet,
auch hier bekomme ich nicht alles gescannt...


Gruß
Mathias


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Wurde mein Server gehackt?

2003-11-26 Diskussionsfäden Alexander Rink

On Wednesday 26 November 2003 12:22, Tauber, Mathias  HDP wrote:
   Das habe ich auch schon vermutet, ein Festplattenscan
   (Lesen+Schreiben) zeigte bisher keine Probleme. Habe
   trotzdem mal die Platte getauscht. Kann man den Rest
   der Hardware irgendwie testen, vielleicht sogar mit
   Knoppix?
 
  Was du brauchst is memtest86 oder so. Keine ahnung ob das auf einer
  Knoppix drauf ist (muss ja speziell gebootet werden). Wenn Du die
  möglichkeit hast würde ich als erstes mal den Speicher austauschen.
  Vielleicht ist es auch kein direktes Hardwareproblem und es
  wird einfach
  nur zu heiss in der Kiste ? was sagen denn CPU- and
  Gehäusetemperatur ?

 Hab jetzt mal mit memtest den Speicher getestet. Merkwürdig
 ist hierbei, dass ich nicht den kompletten Speicher testen
 kann. Es sind 256MB drin, 32MB sind reserviert. Beim Booten
 von Knoppix wird der Rest angezeigt und der Befehl free
 liefert ebenfalls einen Wert über 200MB.

 Wenn ich jetzt memtest ausführe, werden nur ~112MB getestet.
 Für den Rest zeigt insufficient resources!?
Naja, irgendwo muessen der linux kernel und die laufenden prozesse selber ja 
auch im Speicher sitzen. Darauf einen Schreibtest durchzufuehren ist 
natuerlich nicht moeglich. Schau dir mal ftp://ftp.heise.de/pub/ct/ctsi/
ctramtst.zip an. Soweit ich weiss versucht dieses Programm sich in den VGA 
Speicher zu setzen und kann damit den kompletten Arbeitsspeicher testen.

Gruss
Alex


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Wurde mein Server gehackt?