Re: странные kernel ошибки в логе
On 29.07.2017 17:13, Sohin Vyacheslav wrote: 29.07.2017 06:54, artiom пишет: Короче, ничего интересного. Интереснее выяснить: - Как вы его словили? читал email отчеты logwatch и увидел мегатонны kernel варнингов/ерроров 8-) В смысле, как вы его словили в систему? - Как он запускается? судя по ps auxw | fgrep vnsoxpd запускался ручками примерно так: $ ./vnsoxpd Чьими? o.O
Re: странные kernel ошибки в логе
29.07.2017 06:54, artiom пишет: > Короче, ничего интересного. > Интереснее выяснить: > > - Как вы его словили? читал email отчеты logwatch и увидел мегатонны kernel варнингов/ерроров 8-) > - Каков механизм сокрытия процесса? полностью еще не разобрался, примерно еаждые 2-3 секунды он как бы появляется/исчезает > - Как он запускается? судя по ps auxw | fgrep vnsoxpd запускался ручками примерно так: $ ./vnsoxpd -- BW, Сохин Вячеслав
Re: странные kernel ошибки в логе
Загрузитесь с лайва и проверьте:
- Наличие каталога /etc/ld.preload.config (и если есть, то содержимое).
- Содержимое /etc/modprobe.d
- Модули для текущего ядра в /lib (что-нибудь типа find
/lib/modules/4.9.0-3-amd64/ -exec dpkg -S {} \; | grep -v '.*:
/lib/modules')
- /etc/rc.local
- profile и profile.d (для пользователей тоже и для разных оболочек).
- Лишние службы systemd (в /lib/systemd и в /etc/systemd).
Что-нибудь ещё, думаю, стоит проверить?
Любопытно, аналог autoruns для Linux есть?
28.07.2017 11:13, Sohin Vyacheslav пишет:
>
>
> 27.07.2017 21:03, artiom пишет:
>> Скиньте бинарь.
>
>
> нагуглил только 1 ссылку по запросу vnsoxpd:
> http://forexhelper.co.uk/archive/vnso
>
>
> но это явно не в кассу((
>
Re: странные kernel ошибки в логе
29.07.2017 07:35, Artem Chuprina пишет: > Артём Н. -> debian-russian@lists.debian.org @ Sat, 29 Jul 2017 06:49:44 > +0300: > > >>> Скиньте бинарь. > >> > >> Willkommen Sie => das ist nicht problem => http://bit.ly/2w5rR6z > >> > > Действительно, это "обычный майнер"... > > С открытыми исходниками (см. по строкам, там даже Usage сохранился), > ссылку на которые дали выше. > > С непострипанной отладочной информацией. > > И даже вирустоталом он определяется, как майнер. > > > Майнинг сервер: xmr.crypto-pool.fr: > > Майнит он некий cryptonight (очередная криптовалюта). > > Видимо, это кошелёк: 46qz79xUEuijoncPp3T96o2uLg9UFoyT6SKT6t2 > > > Почему он криво работает, я разбираться не стал. > > Криворукий (не скажу, что дурачок, ибо начинать надо с малого) автор > просто выкинул все проверки, > > видимо какая-то фигня при работе с XMM расширением (сразу в начале он его > пытается использовать). > > Так автору майнера это не надо. Автор его имел в виду честно > использовать там, где железо подходящее. > > Криворук в данном случае автор вируса, который использует этот майнер в > качестве payload'а. Зато, возможно, дешев. > И всё-таки я бы поостерёгся называть систему доставки "вирусом": терминологически это некорректно. Часто путают. Вирусы, по-идее, в начале 2000-х вымерли, в чистом виде.
Re: странные kernel ошибки в логе
29.07.2017 07:35, Artem Chuprina пишет: > Артём Н. -> debian-russian@lists.debian.org @ Sat, 29 Jul 2017 06:49:44 > +0300: > > >>> Скиньте бинарь. > >> > >> Willkommen Sie => das ist nicht problem => http://bit.ly/2w5rR6z > >> > > Действительно, это "обычный майнер"... > > С открытыми исходниками (см. по строкам, там даже Usage сохранился), > ссылку на которые дали выше. > > С непострипанной отладочной информацией. > > И даже вирустоталом он определяется, как майнер. > > > Майнинг сервер: xmr.crypto-pool.fr: > > Майнит он некий cryptonight (очередная криптовалюта). > > Видимо, это кошелёк: 46qz79xUEuijoncPp3T96o2uLg9UFoyT6SKT6t2 > > > Почему он криво работает, я разбираться не стал. > > Криворукий (не скажу, что дурачок, ибо начинать надо с малого) автор > просто выкинул все проверки, > > видимо какая-то фигня при работе с XMM расширением (сразу в начале он его > пытается использовать). > > Так автору майнера это не надо. Автор его имел в виду честно > использовать там, где железо подходящее. > Имелся ввиду автор бинаря. Автор оригинального майнера делает кучу проверок. Он не криворук по определению. > Криворук в данном случае автор вируса, который использует этот майнер в > качестве payload'а. Зато, возможно, дешев. > Это криво модифицированный майнер. Остались вопросы по механизму загрузки на машину жертвы.
Re: странные kernel ошибки в логе
Артём Н. -> debian-russian@lists.debian.org @ Sat, 29 Jul 2017 06:49:44 +0300: >>> Скиньте бинарь. >> >> Willkommen Sie => das ist nicht problem => http://bit.ly/2w5rR6z >> > Действительно, это "обычный майнер"... > С открытыми исходниками (см. по строкам, там даже Usage сохранился), ссылку > на которые дали выше. > С непострипанной отладочной информацией. > И даже вирустоталом он определяется, как майнер. > Майнинг сервер: xmr.crypto-pool.fr: > Майнит он некий cryptonight (очередная криптовалюта). > Видимо, это кошелёк: 46qz79xUEuijoncPp3T96o2uLg9UFoyT6SKT6t2 > Почему он криво работает, я разбираться не стал. > Криворукий (не скажу, что дурачок, ибо начинать надо с малого) автор просто > выкинул все проверки, > видимо какая-то фигня при работе с XMM расширением (сразу в начале он его > пытается использовать). Так автору майнера это не надо. Автор его имел в виду честно использовать там, где железо подходящее. Криворук в данном случае автор вируса, который использует этот майнер в качестве payload'а. Зато, возможно, дешев.
Re: странные kernel ошибки в логе
Короче, ничего интересного. Интереснее выяснить: - Как вы его словили? - Каков механизм сокрытия процесса? - Как он запускается? 28.07.2017 11:03, Sohin Vyacheslav пишет: > > > 27.07.2017 21:03, artiom пишет: >> Скиньте бинарь. > > Willkommen Sie => das ist nicht problem => http://bit.ly/2w5rR6z >
Re: странные kernel ошибки в логе
On 28.07.2017 11:03, Sohin Vyacheslav wrote: 27.07.2017 21:03, artiom пишет: Скиньте бинарь. Willkommen Sie => das ist nicht problem => http://bit.ly/2w5rR6z Действительно, это "обычный майнер"... С открытыми исходниками (см. по строкам, там даже Usage сохранился), ссылку на которые дали выше. С непострипанной отладочной информацией. И даже вирустоталом он определяется, как майнер. Майнинг сервер: xmr.crypto-pool.fr: Майнит он некий cryptonight (очередная криптовалюта). Видимо, это кошелёк: 46qz79xUEuijoncPp3T96o2uLg9UFoyT6SKT6t2 Почему он криво работает, я разбираться не стал. Криворукий (не скажу, что дурачок, ибо начинать надо с малого) автор просто выкинул все проверки, видимо какая-то фигня при работе с XMM расширением (сразу в начале он его пытается использовать).
Re: странные kernel ошибки в логе
В Fri, 28 Jul 2017 11:30:33 +0300 "Andrey Jr. Melnikov" пишет: > Sohin Vyacheslav wrote: > > > > 27.07.2017 21:03, artiom пишет: > > > Скиньте бинарь. > > > Willkommen Sie => das ist nicht problem => http://bit.ly/2w5rR6z > > Хехе.. > Характерный 'User-Agent: cpuminer/2.3.3' как-бэ намекает, что это. Это просто утилита, ну может чуть переделанная,у оригинала даже исходники открыты https://github.com/pooler/cpuminer Проблема возможно не в этом бинарнике. Тут вроде похоже: https://security.stackexchange.com/questions/129448/how-can-i-kill-minerd-malware-on-an-aws-ec2-instance
Re: странные kernel ошибки в логе
Sohin Vyacheslav wrote: > 27.07.2017 21:03, artiom пишет: > > Скиньте бинарь. > Willkommen Sie => das ist nicht problem => http://bit.ly/2w5rR6z Хехе.. Характерный 'User-Agent: cpuminer/2.3.3' как-бэ намекает, что это.
Re: странные kernel ошибки в логе
27.07.2017 21:03, artiom пишет: > Скиньте бинарь. нагуглил только 1 ссылку по запросу vnsoxpd: http://forexhelper.co.uk/archive/vnso но это явно не в кассу(( -- BW, Сохин Вячеслав
Re: странные kernel ошибки в логе
27.07.2017 21:03, artiom пишет: > Скиньте бинарь. Willkommen Sie => das ist nicht problem => http://bit.ly/2w5rR6z -- BW, Сохин Вячеслав
Re: странные kernel ошибки в логе
Sohin Vyacheslav -> debian-russian@lists.debian.org @ Thu, 27 Jul 2017 14:08:11 +0300: >> В репах сходу нашлись chkrootkit, rkhunter и unhide. >> Наверное, там же ещё пяток найдётся за 5 минут... > когда-то я юзал chkrootkit и rkhunter - помню было прилично ложных > срабатываний, поищу что-нибудь посовременнее, спс. Сейчас, похоже, лучше все-таки применить. Среди ложных будет по крайней мере одно истинное.
Re: странные kernel ошибки в логе
В Thu, 27 Jul 2017 17:20:04 +0300 ilya пишет: > Я так думаю отловить надо что то типа > или подобное watch -d ps xl --cumulative Проверил - на обычных процессах работает :). Меняем galculator на нужное имя процесса. Может есть способ лучше? Не силен в скриптах. $ proc=galculator ; while true; do pidof $proc && ps -o ppid,pid,cmd --pid `pidof $proc` && break; done 16478 PPID PID CMD 1 16478 galculator
Re: странные kernel ошибки в логе
On 27/07/17 02:03 PM, artiom wrote: > Скиньте бинарь. > > не надо засорять рассылку. лучше ссылку где его скачать.
Re: странные kernel ошибки в логе
Скиньте бинарь. 27.07.2017 11:52, Sohin Vyacheslav пишет: > > > 26.07.2017 23:35, Tim Sattarov пишет: >> Похоже vnsoxpd требует от ядра инструкцию, которой у него нет. >> В "dmesg" или "journalctl -k" должно быть больше информации вокруг этих >> ошибок > > в journalctl -k и в dmesg кроме указанных kernel errors больше никакой > дополнительной инфы, сыпятся часто - почти каждую секунду... > >
Re: странные kernel ошибки в логе
А скиньте его сюда, этот "майнер". 27.07.2017 13:00, Sohin Vyacheslav пишет: > > > 27.07.2017 12:53, Eugene Berdnikov пишет: >> Странно, тем более вызывает желание понять что это за зверь... >> Что выдаёт ldd /tmp/vnsoxpd ? >> Кто запустил процесс? Посмотрите выдачу "ps auxfww" и поищите >> в дереве vnsoxpd и его родителя. > > $ ldd /tmp/vnsoxpd > linux-vdso.so.1 => (0x7ffdb0b5e000) > libpthread.so.0 => /lib/x86_64-linux-gnu/libpthread.so.0 > (0x7fea7b87) > libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x7fea7b4a9000) > libcurl.so.4 => /usr/lib/x86_64-linux-gnu/libcurl.so.4 > (0x7fea7b239000) > /lib64/ld-linux-x86-64.so.2 (0x556fb1c7b000) > libidn.so.11 => /lib/x86_64-linux-gnu/libidn.so.11 (0x7fea7b006000) > librtmp.so.1 => /usr/lib/x86_64-linux-gnu/librtmp.so.1 > (0x7fea7adea000) > libssl.so.1.0.0 => /lib/x86_64-linux-gnu/libssl.so.1.0.0 > (0x7fea7ab7f000) > libcrypto.so.1.0.0 => /lib/x86_64-linux-gnu/libcrypto.so.1.0.0 > (0x7fea7a73b000) > libgssapi_krb5.so.2 => /usr/lib/x86_64-linux-gnu/libgssapi_krb5.so.2 > (0x7fea7a4f1000) > liblber-2.4.so.2 => /usr/lib/x86_64-linux-gnu/liblber-2.4.so.2 > (0x7fea7a2e3000) > libldap_r-2.4.so.2 => /usr/lib/x86_64-linux-gnu/libldap_r-2.4.so.2 > (0x7fea7a091000) > libz.so.1 => /lib/x86_64-linux-gnu/libz.so.1 (0x7fea79e77000) > libgnutls.so.30 => /usr/lib/x86_64-linux-gnu/libgnutls.so.30 > (0x7fea79b1b000) > libhogweed.so.4 => /usr/lib/x86_64-linux-gnu/libhogweed.so.4 > (0x7fea798e8000) > libnettle.so.6 => /usr/lib/x86_64-linux-gnu/libnettle.so.6 > (0x7fea796b2000) > libgmp.so.10 => /usr/lib/x86_64-linux-gnu/libgmp.so.10 > (0x7fea79432000) > libdl.so.2 => /lib/x86_64-linux-gnu/libdl.so.2 (0x7fea7922e000) > libkrb5.so.3 => /usr/lib/x86_64-linux-gnu/libkrb5.so.3 > (0x7fea78f5b000) > libk5crypto.so.3 => /usr/lib/x86_64-linux-gnu/libk5crypto.so.3 > (0x7fea78d2a000) > libcom_err.so.2 => /lib/x86_64-linux-gnu/libcom_err.so.2 > (0x7fea78b26000) > libkrb5support.so.0 => /usr/lib/x86_64-linux-gnu/libkrb5support.so.0 > (0x7fea7891b000) > libresolv.so.2 => /lib/x86_64-linux-gnu/libresolv.so.2 > (0x7fea7870) > libsasl2.so.2 => /usr/lib/x86_64-linux-gnu/libsasl2.so.2 > (0x7fea784e5000) > libgssapi.so.3 => /usr/lib/x86_64-linux-gnu/libgssapi.so.3 > (0x7fea782a4000) > libp11-kit.so.0 => /usr/lib/x86_64-linux-gnu/libp11-kit.so.0 > (0x7fea7803e000) > libtasn1.so.6 => /usr/lib/x86_64-linux-gnu/libtasn1.so.6 > (0x7fea77e2b000) > libkeyutils.so.1 => /lib/x86_64-linux-gnu/libkeyutils.so.1 > (0x7fea77c27000) > libheimntlm.so.0 => /usr/lib/x86_64-linux-gnu/libheimntlm.so.0 > (0x7fea77a1e000) > libkrb5.so.26 => /usr/lib/x86_64-linux-gnu/libkrb5.so.26 > (0x7fea77794000) > libasn1.so.8 => /usr/lib/x86_64-linux-gnu/libasn1.so.8 > (0x7fea774f) > libhcrypto.so.4 => /usr/lib/x86_64-linux-gnu/libhcrypto.so.4 > (0x7fea772bd000) > libroken.so.18 => /usr/lib/x86_64-linux-gnu/libroken.so.18 > (0x7fea770a7000) > libffi.so.6 => /usr/lib/x86_64-linux-gnu/libffi.so.6 (0x7fea76e9f000) > libwind.so.0 => /usr/lib/x86_64-linux-gnu/libwind.so.0 > (0x7fea76c76000) > libheimbase.so.1 => /usr/lib/x86_64-linux-gnu/libheimbase.so.1 > (0x7fea76a67000) > libhx509.so.5 => /usr/lib/x86_64-linux-gnu/libhx509.so.5 > (0x7fea7681a000) > libsqlite3.so.0 => /usr/lib/x86_64-linux-gnu/libsqlite3.so.0 > (0x7fea76518000) > libcrypt.so.1 => /lib/x86_64-linux-gnu/libcrypt.so.1 (0x7fea762e) > libm.so.6 => /lib/x86_64-linux-gnu/libm.so.6 (0x7fea75fd7000) > > > в выводе ps родителя не обнаружено: > $ ps auxfww > postgres 1899 0.0 0.0 93524 ?S11:58 0:00 ./vnsoxpd >
Re: странные kernel ошибки в логе
1) А где он тут ? Я так думаю отловить надо что то типа или подобное watch -d ps xl --cumulative 2) Ниже вообще ppid не выводится. В Thu, 27 Jul 2017 15:08:09 +0300 Sohin Vyacheslav пишет: > никто вроде не порождает > $ ps xl --cumulative > F UIDPID PPID PRI NIVSZ RSS WCHAN STAT TTYTIME > COMMAND > в выводе ps родителя не обнаружено: > $ ps auxfww > postgres 1899 0.0 0.0 93524 ?S11:58 > 0:00 ./vnsoxpd
Re: странные kernel ошибки в логе
27.07.2017 14:55, ilya пишет: > Зачем? Процесс не отрабатывает, а вылетает по ошибке. > Полезнее найти того кто порождает для начала > ps xl --cumulative никто вроде не порождает $ ps xl --cumulative F UIDPID PPID PRI NIVSZ RSS WCHAN STAT TTYTIME COMMAND 5 1000 3744 1520 20 0 102068 3920 - S? 0:00 sshd: slava@pts/2 0 1000 3785 3744 20 0 21504 5332 wait Ss pts/2 0:12 -bash 4 1000 7102 1 20 0 62764 4744 ep_pol Ss ? 0:00 /lib/systemd/systemd --user 5 1000 7109 7102 20 0 232616 2016 - S? 0:00 (sd-pam) 5 1000 7288 5313 20 0 101844 4060 - S? 0:01 sshd: slava@pts/0 0 1000 7319 7288 20 0 21388 3136 wait Ss pts/0 0:22 -bash 0 1000 21356 3785 20 0 27876 1552 - R+ pts/2 0:00 ps xl --cumulative 0 1000 73222 7319 20 0 215184 170820 poll_s S+ pts/0 2:18 mc -b 0 1000 73224 73222 20 0 21364 3700 wait_w Ss+ pts/1 0:00 bash -rcfile .bashrc -- BW, Сохин Вячеслав
Re: странные kernel ошибки в логе
В Thu, 27 Jul 2017 14:15:02 +0300 Sohin Vyacheslav пишет: Зачем? Процесс не отрабатывает, а вылетает по ошибке. Полезнее найти того кто порождает для начала ps xl --cumulative > 27.07.2017 13:16, Eugene Berdnikov пишет: > > Можно предварительно посмотреть куда эта зараза пытается сливать > > украденное. Например, поискать её коннекции (ss -nap | fgrep > > vnsoxpd). > > оба варианта - пустой вывод: > $ ss -nap | fgrep vnsoxpd > и > $ sudo netstat -4napl | grep vnsoxpd >
Re: странные kernel ошибки в логе
On Thu, Jul 27, 2017 at 02:15:02PM +0300, Sohin Vyacheslav wrote: > > > 27.07.2017 13:16, Eugene Berdnikov пишет: > > Можно предварительно посмотреть куда эта зараза пытается сливать украденное. > > Например, поискать её коннекции (ss -nap | fgrep vnsoxpd). > > оба варианта - пустой вывод: > $ ss -nap | fgrep vnsoxpd > и > $ sudo netstat -4napl | grep vnsoxpd Намайнит — откроет.
Re: странные kernel ошибки в логе
27.07.2017 13:16, Eugene Berdnikov пишет: > Можно предварительно посмотреть куда эта зараза пытается сливать украденное. > Например, поискать её коннекции (ss -nap | fgrep vnsoxpd). оба варианта - пустой вывод: $ ss -nap | fgrep vnsoxpd и $ sudo netstat -4napl | grep vnsoxpd -- BW, Сохин Вячеслав
Re: странные kernel ошибки в логе
27.07.2017 13:31, Eugene Berdnikov пишет: > В репах сходу нашлись chkrootkit, rkhunter и unhide. > Наверное, там же ещё пяток найдётся за 5 минут... когда-то я юзал chkrootkit и rkhunter - помню было прилично ложных срабатываний, поищу что-нибудь посовременнее, спс. -- BW, Сохин Вячеслав
Re: странные kernel ошибки в логе
On Thu, Jul 27, 2017 at 01:16:29PM +0300, Eugene Berdnikov wrote: > В общем, берите первый попавшийся checkrootkit и проверяйте систему. В репах сходу нашлись chkrootkit, rkhunter и unhide. Наверное, там же ещё пяток найдётся за 5 минут... -- Eugene Berdnikov
Re: странные kernel ошибки в логе
On Thu, Jul 27, 2017 at 01:14:33PM +0300, Sohin Vyacheslav wrote: > > > 27.07.2017 12:35, Eugene Berdnikov пишет: > >>> Поскольку неперехваченный SIGILL порождает coredump, можно включить > >>> сброс корки через ulimit, дождаться трапа и затем через "gdb -c core" > >>> посмотреть, в каком месте трапается. > >> можно поподробнее в шагах? > > Чексуммы проверили? > > ну а про ulimit и т.д. можно вкратце? и как потом отключить сброс корки? ulimit -a Включить/выключить через ulimit -c. Подробности: man <имя_своего_шелла> /ulimit man core Далее по ссылкам. -- Eugene Berdnikov
Re: странные kernel ошибки в логе
On Thu, Jul 27, 2017 at 01:00:24PM +0300, Sohin Vyacheslav wrote: > $ ldd /tmp/vnsoxpd ... > libssl.so.1.0.0 => /lib/x86_64-linux-gnu/libssl.so.1.0.0 > (0x7fea7ab7f000) > libcrypto.so.1.0.0 => /lib/x86_64-linux-gnu/libcrypto.so.1.0.0 > (0x7fea7a73b000) > libgssapi_krb5.so.2 => /usr/lib/x86_64-linux-gnu/libgssapi_krb5.so.2 > (0x7fea7a4f1000) > liblber-2.4.so.2 => /usr/lib/x86_64-linux-gnu/liblber-2.4.so.2 > (0x7fea7a2e3000) > libldap_r-2.4.so.2 => /usr/lib/x86_64-linux-gnu/libldap_r-2.4.so.2 > (0x7fea7a091000) > libz.so.1 => /lib/x86_64-linux-gnu/libz.so.1 (0x7fea79e77000) > libgnutls.so.30 => /usr/lib/x86_64-linux-gnu/libgnutls.so.30 > (0x7fea79b1b000) > libhogweed.so.4 => /usr/lib/x86_64-linux-gnu/libhogweed.so.4 > (0x7fea798e8000) > libnettle.so.6 => /usr/lib/x86_64-linux-gnu/libnettle.so.6 > (0x7fea796b2000) > libgmp.so.10 => /usr/lib/x86_64-linux-gnu/libgmp.so.10 > (0x7fea79432000) > libdl.so.2 => /lib/x86_64-linux-gnu/libdl.so.2 (0x7fea7922e000) > libkrb5.so.3 => /usr/lib/x86_64-linux-gnu/libkrb5.so.3 > (0x7fea78f5b000) > libk5crypto.so.3 => /usr/lib/x86_64-linux-gnu/libk5crypto.so.3 > (0x7fea78d2a000) ... Судя по количеству крипто-библиотек, это может быть майнер. > в выводе ps родителя не обнаружено: > $ ps auxfww > postgres 1899 0.0 0.0 93524 ?S11:58 0:00 ./vnsoxpd В общем, берите первый попавшийся checkrootkit и проверяйте систему. Можно предварительно посмотреть куда эта зараза пытается сливать украденное. Например, поискать её коннекции (ss -nap | fgrep vnsoxpd). Хотя она может не успевать открыть никаких коннекций, а просто трапаться при запуске... -- Eugene Berdnikov
Re: странные kernel ошибки в логе
27.07.2017 12:35, Eugene Berdnikov пишет: >>> Поскольку неперехваченный SIGILL порождает coredump, можно включить >>> сброс корки через ulimit, дождаться трапа и затем через "gdb -c core" >>> посмотреть, в каком месте трапается. >> можно поподробнее в шагах? > Чексуммы проверили? ну а про ulimit и т.д. можно вкратце? и как потом отключить сброс корки? -- BW, Сохин Вячеслав
Re: странные kernel ошибки в логе
On Thu, Jul 27, 2017 at 01:01:01PM +0300, Sohin Vyacheslav wrote: > > Удивительно, как обленились писатели майнеров. Даже не проверяют > > наличие SIMD инструкций ) > > не уверен, что это майнинг... Ну подумайте сами, зачем ддосеру SIMD инструкции?
Re: странные kernel ошибки в логе
27.07.2017 12:53, Eugene Berdnikov пишет: > Странно, тем более вызывает желание понять что это за зверь... > Что выдаёт ldd /tmp/vnsoxpd ? > Кто запустил процесс? Посмотрите выдачу "ps auxfww" и поищите > в дереве vnsoxpd и его родителя. $ ldd /tmp/vnsoxpd linux-vdso.so.1 => (0x7ffdb0b5e000) libpthread.so.0 => /lib/x86_64-linux-gnu/libpthread.so.0 (0x7fea7b87) libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x7fea7b4a9000) libcurl.so.4 => /usr/lib/x86_64-linux-gnu/libcurl.so.4 (0x7fea7b239000) /lib64/ld-linux-x86-64.so.2 (0x556fb1c7b000) libidn.so.11 => /lib/x86_64-linux-gnu/libidn.so.11 (0x7fea7b006000) librtmp.so.1 => /usr/lib/x86_64-linux-gnu/librtmp.so.1 (0x7fea7adea000) libssl.so.1.0.0 => /lib/x86_64-linux-gnu/libssl.so.1.0.0 (0x7fea7ab7f000) libcrypto.so.1.0.0 => /lib/x86_64-linux-gnu/libcrypto.so.1.0.0 (0x7fea7a73b000) libgssapi_krb5.so.2 => /usr/lib/x86_64-linux-gnu/libgssapi_krb5.so.2 (0x7fea7a4f1000) liblber-2.4.so.2 => /usr/lib/x86_64-linux-gnu/liblber-2.4.so.2 (0x7fea7a2e3000) libldap_r-2.4.so.2 => /usr/lib/x86_64-linux-gnu/libldap_r-2.4.so.2 (0x7fea7a091000) libz.so.1 => /lib/x86_64-linux-gnu/libz.so.1 (0x7fea79e77000) libgnutls.so.30 => /usr/lib/x86_64-linux-gnu/libgnutls.so.30 (0x7fea79b1b000) libhogweed.so.4 => /usr/lib/x86_64-linux-gnu/libhogweed.so.4 (0x7fea798e8000) libnettle.so.6 => /usr/lib/x86_64-linux-gnu/libnettle.so.6 (0x7fea796b2000) libgmp.so.10 => /usr/lib/x86_64-linux-gnu/libgmp.so.10 (0x7fea79432000) libdl.so.2 => /lib/x86_64-linux-gnu/libdl.so.2 (0x7fea7922e000) libkrb5.so.3 => /usr/lib/x86_64-linux-gnu/libkrb5.so.3 (0x7fea78f5b000) libk5crypto.so.3 => /usr/lib/x86_64-linux-gnu/libk5crypto.so.3 (0x7fea78d2a000) libcom_err.so.2 => /lib/x86_64-linux-gnu/libcom_err.so.2 (0x7fea78b26000) libkrb5support.so.0 => /usr/lib/x86_64-linux-gnu/libkrb5support.so.0 (0x7fea7891b000) libresolv.so.2 => /lib/x86_64-linux-gnu/libresolv.so.2 (0x7fea7870) libsasl2.so.2 => /usr/lib/x86_64-linux-gnu/libsasl2.so.2 (0x7fea784e5000) libgssapi.so.3 => /usr/lib/x86_64-linux-gnu/libgssapi.so.3 (0x7fea782a4000) libp11-kit.so.0 => /usr/lib/x86_64-linux-gnu/libp11-kit.so.0 (0x7fea7803e000) libtasn1.so.6 => /usr/lib/x86_64-linux-gnu/libtasn1.so.6 (0x7fea77e2b000) libkeyutils.so.1 => /lib/x86_64-linux-gnu/libkeyutils.so.1 (0x7fea77c27000) libheimntlm.so.0 => /usr/lib/x86_64-linux-gnu/libheimntlm.so.0 (0x7fea77a1e000) libkrb5.so.26 => /usr/lib/x86_64-linux-gnu/libkrb5.so.26 (0x7fea77794000) libasn1.so.8 => /usr/lib/x86_64-linux-gnu/libasn1.so.8 (0x7fea774f) libhcrypto.so.4 => /usr/lib/x86_64-linux-gnu/libhcrypto.so.4 (0x7fea772bd000) libroken.so.18 => /usr/lib/x86_64-linux-gnu/libroken.so.18 (0x7fea770a7000) libffi.so.6 => /usr/lib/x86_64-linux-gnu/libffi.so.6 (0x7fea76e9f000) libwind.so.0 => /usr/lib/x86_64-linux-gnu/libwind.so.0 (0x7fea76c76000) libheimbase.so.1 => /usr/lib/x86_64-linux-gnu/libheimbase.so.1 (0x7fea76a67000) libhx509.so.5 => /usr/lib/x86_64-linux-gnu/libhx509.so.5 (0x7fea7681a000) libsqlite3.so.0 => /usr/lib/x86_64-linux-gnu/libsqlite3.so.0 (0x7fea76518000) libcrypt.so.1 => /lib/x86_64-linux-gnu/libcrypt.so.1 (0x7fea762e) libm.so.6 => /lib/x86_64-linux-gnu/libm.so.6 (0x7fea75fd7000) в выводе ps родителя не обнаружено: $ ps auxfww postgres 1899 0.0 0.0 93524 ?S11:58 0:00 ./vnsoxpd -- BW, Сохин Вячеслав
Re: странные kernel ошибки в логе
27.07.2017 12:50, Иван Лох пишет: > Удивительно, как обленились писатели майнеров. Даже не проверяют > наличие SIMD инструкций ) не уверен, что это майнинг... -- BW, Сохин Вячеслав
Re: странные kernel ошибки в логе
On Thu, Jul 27, 2017 at 12:42:08PM +0300, Sohin Vyacheslav wrote: > судя по ее месторасположению [/tmp] она не принадлежит к никакому > deb-пакету: > > /tmp$ dpkg -S vnsoxpd > dpkg-query: no path found matching pattern *vnsoxpd* Странно, тем более вызывает желание понять что это за зверь... Что выдаёт ldd /tmp/vnsoxpd ? Кто запустил процесс? Посмотрите выдачу "ps auxfww" и поищите в дереве vnsoxpd и его родителя. -- Eugene Berdnikov
Re: странные kernel ошибки в логе
On Thu, Jul 27, 2017 at 12:42:08PM +0300, Sohin Vyacheslav wrote: > > > $ file /tmp/vnsoxpd > судя по ее месторасположению [/tmp] она не принадлежит к никакому > deb-пакету: > > /tmp$ dpkg -S vnsoxpd > dpkg-query: no path found matching pattern *vnsoxpd* Удивительно, как обленились писатели майнеров. Даже не проверяют наличие SIMD инструкций ) -- Иван Лох
Re: странные kernel ошибки в логе
27.07.2017 12:35, Eugene Berdnikov пишет: > Чексуммы проверили? Для начала выясните что это за программа, зачем она > запускается и может ли она быть скомпилирована с какими-то экзотическими > опциями кодогенератора. Нет никакого смысла ковыряться в чёрном ящике > с закрытыми глазами, тем более если нет любви к дизассемблированию. :) > $ file /tmp/vnsoxpd /tmp/vnsoxpd: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 2.6.32, BuildID[sha1]=62140aed1d57afa6ce2d9722e02e603635811f1f, not stripped судя по ее месторасположению [/tmp] она не принадлежит к никакому deb-пакету: /tmp$ dpkg -S vnsoxpd dpkg-query: no path found matching pattern *vnsoxpd* -- BW, Сохин Вячеслав
Re: странные kernel ошибки в логе
On Thu, Jul 27, 2017 at 12:18:33PM +0300, Sohin Vyacheslav wrote: > > > 27.07.2017 00:25, Eugene Berdnikov пишет: > > Поскольку неперехваченный SIGILL порождает coredump, можно включить > > сброс корки через ulimit, дождаться трапа и затем через "gdb -c core" > > посмотреть, в каком месте трапается. > > можно поподробнее в шагах? Чексуммы проверили? Для начала выясните что это за программа, зачем она запускается и может ли она быть скомпилирована с какими-то экзотическими опциями кодогенератора. Нет никакого смысла ковыряться в чёрном ящике с закрытыми глазами, тем более если нет любви к дизассемблированию. :) -- Eugene Berdnikov
Re: странные kernel ошибки в логе
27.07.2017 00:25, Eugene Berdnikov пишет: > Поскольку неперехваченный SIGILL порождает coredump, можно включить > сброс корки через ulimit, дождаться трапа и затем через "gdb -c core" > посмотреть, в каком месте трапается. можно поподробнее в шагах? -- BW, Сохин Вячеслав
Re: странные kernel ошибки в логе
26.07.2017 23:35, Tim Sattarov пишет: > Похоже vnsoxpd требует от ядра инструкцию, которой у него нет. > В "dmesg" или "journalctl -k" должно быть больше информации вокруг этих > ошибок в journalctl -k и в dmesg кроме указанных kernel errors больше никакой дополнительной инфы, сыпятся часто - почти каждую секунду... -- BW, Сохин Вячеслав
Re: странные kernel ошибки в логе
26.07.2017 22:22, Илья пишет: > А что за процесс vnsoxpd? Я так понимаю выполняется > недопустимая команда для cpu. Возможно бинарник скомпилирован > с ошибкой. какой-то скрипт, как я понимаю, запущенный под юзером postgres: # ps auxw | grep vnsoxpd postgres 62204 0.0 0.0 93524 4620 ?S10:46 0:00 ./vnsoxpd -- BW, Сохин Вячеслав
Re: странные kernel ошибки в логе
On Wed, Jul 26, 2017 at 04:35:14PM -0400, Tim Sattarov wrote: > On 26/07/17 09:17 AM, Sohin Vyacheslav wrote: > > Добрый день, > > > > Много каких-то странных сообщений стало сыпаться в системного логе: > > > > - Kernel Begin > > > > WARNING: Kernel Errors Present > > traps: vnsoxpd[11] trap invalid opcode ip:55dc8a2c13e1 > > sp:7ffc3e156fd0 error:0 in vnsoxpd[55d ...: 1 Time(s) > > traps: vnsoxpd[12] trap invalid opcode ip:56023eeaa3e1 > > sp:7ffd4e16c020 error:0 in vnsoxpd[560 ...: 1 Time(s) > > traps: vnsoxpd[14] trap invalid opcode ip:5624bda893e1 > > sp:7ffc92b883e0 error:0 in vnsoxpd[562 ...: 1 Time(s) > > > > > > > > при этом визуально все шуршит, кто-то сталкивался? > > > > > Похоже vnsoxpd требует от ядра инструкцию, которой у него нет. Инструкции нет у процессора. Возможно, программа скомпилирована с кодом, который данным процессором не поддерживается (например, simd-инструкции типа sse, sse2, etc). Может быть также порча памяти, в том числе повреждение файла с бинарником на диске. Прежде всего желательно проверить чексумму файла и/или пакета (debsums). Поскольку неперехваченный SIGILL порождает coredump, можно включить сброс корки через ulimit, дождаться трапа и затем через "gdb -c core" посмотреть, в каком месте трапается. -- Eugene Berdnikov
Re: странные kernel ошибки в логе
On 26/07/17 09:17 AM, Sohin Vyacheslav wrote: > Добрый день, > > Много каких-то странных сообщений стало сыпаться в системного логе: > > - Kernel Begin > > WARNING: Kernel Errors Present > traps: vnsoxpd[11] trap invalid opcode ip:55dc8a2c13e1 > sp:7ffc3e156fd0 error:0 in vnsoxpd[55d ...: 1 Time(s) > traps: vnsoxpd[12] trap invalid opcode ip:56023eeaa3e1 > sp:7ffd4e16c020 error:0 in vnsoxpd[560 ...: 1 Time(s) > traps: vnsoxpd[14] trap invalid opcode ip:5624bda893e1 > sp:7ffc92b883e0 error:0 in vnsoxpd[562 ...: 1 Time(s) > > > > при этом визуально все шуршит, кто-то сталкивался? > > Похоже vnsoxpd требует от ядра инструкцию, которой у него нет. В "dmesg" или "journalctl -k" должно быть больше информации вокруг этих ошибок
Re: странные kernel ошибки в логе
В Wed, 26 Jul 2017 16:17:03 +0300 Sohin Vyacheslav пишет: А что за процесс vnsoxpd? Я так понимаю выполняется недопустимая команда для cpu. Возможно бинарник скомпилирован с ошибкой. > Добрый день, > > Много каких-то странных сообщений стало сыпаться в > системного логе: > > - Kernel Begin > > WARNING: Kernel Errors Present > traps: vnsoxpd[11] trap invalid opcode > ip:55dc8a2c13e1 sp:7ffc3e156fd0 error:0 in
странные kernel ошибки в логе
Добрый день, Много каких-то странных сообщений стало сыпаться в системного логе: - Kernel Begin WARNING: Kernel Errors Present traps: vnsoxpd[11] trap invalid opcode ip:55dc8a2c13e1 sp:7ffc3e156fd0 error:0 in vnsoxpd[55d ...: 1 Time(s) traps: vnsoxpd[12] trap invalid opcode ip:56023eeaa3e1 sp:7ffd4e16c020 error:0 in vnsoxpd[560 ...: 1 Time(s) traps: vnsoxpd[14] trap invalid opcode ip:5624bda893e1 sp:7ffc92b883e0 error:0 in vnsoxpd[562 ...: 1 Time(s) при этом визуально все шуршит, кто-то сталкивался? -- BW, Сохин Вячеслав
