Re: Wurde mein Server gehackt?
* Tauber, Mathias HDP <Tauber@hdpnet.de> [2003-11-26 11:03:27 +0100]:
Hi,
> Insgesamt ist die Mühle 3mal abgeschmiert und nicht mehr
> bootfähig (Kernel Panic!). Daher mach ich mir inzwischen
> Sorgen, ob vielleicht die Kiste 'regelmäßig' gehackt wird...
<snip>
> - Apache
1.x oder 2.x ?
<snip>
> Oct 29 12:15:32 hdphdrev01 kernel: printing eip:
> Oct 29 12:15:32 hdphdrev01 kernel: 00000002
> Oct 29 12:15:32 hdphdrev01 kernel: Oops: 0000
> Oct 29 12:15:32 hdphdrev01 kernel: CPU: 0
> Oct 29 12:15:32 hdphdrev01 kernel: EIP: 0010:[<00000002>] Not tainted
> Oct 29 12:15:32 hdphdrev01 kernel: EFLAGS: 00010202
> Oct 29 12:15:32 hdphdrev01 kernel: eax: 00000002 ebx: c5ccbde8 ecx:
> c5ccbde8 edx: 00000002
> Oct 29 12:15:32 hdphdrev01 kernel: esi: c5ccbe80 edi: 00000001 ebp:
> c5ccbde8 esp: c7609ef4
> Oct 29 12:15:32 hdphdrev01 kernel: ds: 0018 es: 0018 ss: 0018
> Oct 29 12:15:32 hdphdrev01 kernel: Process bounce (pid: 15987,
> stackpage=c7609000)
> Oct 29 12:15:32 hdphdrev01 kernel: Stack: c0140d22 c5ccbde8 3f9fa154
> c7608000 c7609f8c c014201f c5ccbde8 00000001
> Oct 29 12:15:32 hdphdrev01 kernel: cb1396d0 c0138aa9 c5ccbde8
> cc071000 00000000 400132b8 c7609f8c 00000001
> Oct 29 12:15:32 hdphdrev01 kernel: 00000001 cc071010 cb1396d0
> cc071005 0000000b e2a6dd9b c0138bca c0139089
> Oct 29 12:15:32 hdphdrev01 kernel: Call Trace: [__mark_inode_dirty+46/120]
> [update_atime+75/80] [link_path_walk+1457/1720] [path_walk+26/28]
> [open_namei+117/1380]
> Oct 29 12:15:32 hdphdrev01 kernel: [filp_open+49/80] [sys_open+51/152]
> [system_call+51/56]
> Oct 29 12:15:32 hdphdrev01 kernel:
> Oct 29 12:15:32 hdphdrev01 kernel: Code: Bad EIP value.
> Oct 29 12:16:32 hdphdrev01 kernel: <1>Unable to handle kernel NULL pointer
> dereference at virtual address 00000002
Sieht mir rein gefuehlsmaessig nach einem Hardware-Problem (RAM, BUS, CPU, ...)
aus ... koennte aber genausogut auch ein buggy kernel sein.
Angriff wuerd ich hier nicht vermuten - man muesste sich schon sehr viel Arbeit
machen und auch gut auskennen, um solche Fehler zu produzieren ... mkfs.ext2
oder rm -R ist da ja deutlich einfacher ...
cu
--
---------------------------------------------------------------------
Enrico Weigelt == metux IT services
phone: +49 36207 519931 www: http://www.metux.de/
fax: +49 36207 519932 email: contact@metux.de
cellphone: +49 174 7066481
---------------------------------------------------------------------
Diese Mail wurde mit UUCP versandt. http://www.metux.de/uucp/
Reply to: