Re: висы сервера
Здравствуйте,
On Mon, Feb 10, 2003 at 12:46:05PM +0400, Ринат wrote:
> С недавних пор начались непонятные зависы сервера (примерно около 7 утра
> через день/два/три)
>
> Как можно обнаружить наличие руткитов или атак? Как определить что заставило
> зависнуть сервак? Причём пинги на него идут, но когда начинаешь нажимать
> клавиши на серваке - перестают идти даже пинги. В логах ничего не заметил
> кроме подобного:
>
> Feb 3 06:56:04 host kernel: Packet log: prii DENY eth0 PROTO=17
> 192.168.191.5:138 192.168.191.255:138 L=229 S=0x00 I=55221 F=0x0000 T=128 (#6)
>
> Может кто чего предположить? Кста.... на сервак были установлены пакеты snort
> & nmap за пару дней до этого.
netbios-dgm 138/tcp # NETBIOS Datagram Service
netbios-dgm 138/udp
Это похоже на широковещательные запросы виндовых машин, если они сконфигурированы
не на использование wins для разрешения своих виндовых имен. Вы же лучше знаете
архитектуру вашей сети и должны знать, могут ли у вас бегать такие пакеты.
По поводу руткитов - проверить все открытые соединения, проверить md5 всех
установленных пакетов (особенно тех, которые работают как демоны). Проверить
права на /tmp.
В крайнем случае, всегда есть консоль, на которую можно зайти с соседнего
сервера и посмотреть, в чем проблема (нуль-модемный кабель + getty).
--
Elena Egorova
Reply to: