Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Общий по Linux (http://forum.oszone.net/forumdisplay.php?f=9)
-   -   реанимация (http://forum.oszone.net/showthread.php?t=14476)

mar 24-03-2003 18:51 77996
собственно subj: RedHat виснет при загрузке после Freeing unused kernel memory: 64Kb freed
(машина не моя, я пришла, попробовала войти в single user mode - тот же результат)
Help, pls

Barracuda 24-03-2003 19:03 77997
mar
Либо init потерян, либо диски не подключаютя. А есть возможность загрузиться с компакта в режиме восстановления? И есть ли какие-нить другие ошибки?

mar 24-03-2003 19:11 77998
Barracuda
rescue с CD они пробовали как раз перед моим приходом. При этом /dev/sda система вообще не видит (хотя контроллер сказевый узнает). Полная иллюзия, что диска нет, но тогда с чего же мы грузимся, при загрузке с диска? (до этой надписи)

(а началось там с того, что перезагрузили машину, когда замедлился internet, а она не перезагрузилась)


[s]Исправлено: mar, 19:12 24-03-2003[/s]

leprikon 25-03-2003 10:25 77999
грузимся с харда =)

может просто уже ничего нетю ? =)

можно с cd грузануться, примонтировать раздел данный и посмотреть =) оттуда можно и толкаться =)

mar 25-03-2003 11:27 78000
leprikon
так оно с CD не видит харда, чтобы монтировать... Интересно, у них там что, одна загрузочная запись осталась? ;)

leprikon 25-03-2003 17:07 78001
mar

ну может бошка у харда отлетела =)

вполне вероятно =) такое наблюдал - все работает даже запись и чтение осуществляется , но до определенного момента, дальше там раз на раз шло... иногда был визг на определенном моменте =)

а то что инет работал ? так это нормально до первой перезагрузки как выше описывала ты =)

в памяти было все заружено =)

Barracuda 25-03-2003 18:39 78002
mar
Загрузитесь с загрузочника Partition Magic и проверьте восьмым PM диск. Возможно leprikon на счёт отвала диска. Хотя там могла поризойти логическая ошибка. Да, кстати, когда контроллер распознаётся проверьте, загружены ли модули его поддержки. Посмотрите, какие должны быть мажорные и минорные номера SCSI-дисков и попробуйте ручками их сделать.

mar 26-03-2003 01:59 78003
Barracuda
все оказалось гораздо интереснее.
Во-первых ALT-юниор в режиме рескью прекрасно обнаружил скази. Более того, там ничего не надо было примонтировать, все уже было примонтировано к /mnt Не сервис, а просто сказка ;) (это к вопросу о дистрибутивах, мне, кажется, он начинает нравится)
во-вторых, при беглом просмотре диска оказалось, что inittab и init-секции изменены.
Короче, это оказался взлом. На машину проникли от имени одного из юзеров (видимо, с простым паролем) (2lepricon - как раз ситуация, которую мы обсуждали: почтовые пользователи были настоящими и некоторым забыли прописать отсутствие шелла). У меня сегодня было мало времени туда забегать, так что я только успела понять, что:
- на машину лезли,
- когда лезли,
- от чьего имени
- что туда натаскали всяких программ,
- открыли ftp,
- изменили всякие инитные вещи
После чего хозяева обнаружили:
- еще массу измененных и добавленных файлов
- !!! - снесенный своповый раздел !!!
Сделали своп-раздел и машина загрузилась
Не знаю, может быть, это к вопросу о теме Linux ws Free? (ей богу, во Free по умолчанию настройки безопаснее. По крайней мере для сервера ;))
Интересно, мне приходилось видеть атаки на сервер с целью установить на нем плацдарм и что-то делать дальше. А это получается, была проделана большая работа ради мелкого пакостничества (сервер и те, кто его пасет, вроде, никому не мешают :))
Надо будет попытаться вычленить, откуда заходили. Если из внутренней сетки, пусть отрубают от цевилизации, то бишь от инет, а вот, ежели извне... (на FreeBSD переходить надо :))

leprikon 26-03-2003 05:21 78004
mar

как у тебя смогли изменить инитные вещи ?

пользователи были с рутовскими привами ? или группой хотя бы ? =)

еще своп отфигачили... вот такой простой юзверёк завалил не имея рутовских прав все поправил =)))

в след. раз прийдется предохраняться =))

Guest 80 247 100 26-03-2003 06:20 78005
ха! о что, я сегодня на свободной машинке новый эксплоит локальны пробовал! работает, так что заломились под юзверем и ещё раз до кучи хакнули! какие проблемы???
http://www.security.nnov.ru/files/linuxptraceex.c

mar 26-03-2003 11:13 78006
leprikon
У меня-то не смогли. Предохраняюсь :) . Меня туда позвали посмотреть и принести freesco, чтобы быстро подвесить пользователей в инет. Ну, результаты просмотра я старательно постила сюда (благо под Linux-ом давно не работала и не была уверена, что что-нибудь не пропущу) Там администрирует человек, который в основном (и очень профессионально) занимается всяким железом (приборы, платы, программирование всего этого дела). По-моему, он не очень часто отслеживал происходящее с сервером.  (я ему несколько раз посылала ссылки на новые эксплойты по тем программам, которые у него стояти по-моему, он ничего не менял)

Сервер ставила не я, меня звали спородически: то на DNS, то на маскарадинг (потому и знаю, что стоит ;))

По поводу пользователей с рутовыми правами - насколько мне помнится (меня это в свое время поразило) а RedHat любой юзер может сказать su и стать рутом. Как тут было дела я еще не поняла. (и не знаю, удасться ли полностью расшифровать, что там было)

Guest 80 247 100
мдя... подпишусь-ка я у них тоже на рассылку

Barracuda 26-03-2003 12:22 78007
mar
Поверишь нет, но у меня язык чеслася задать вопрос: а не повесили ли тем гражданам руткит какой-нить или небыло ли какого-нить взлома? Т.к. в самом начале разборок с Шапкой 7.0 поимел неосторожность бросить настройку файрвола и оставить его открытым. Как результат, на следующее утро в руте появился каталог rootkit и после проверки пакетов нашёл, что произошли изменения в некоторых файлах (в частности rm, cp, mv, ftp etc.)


Время: 21:03.

Время: 21:03.
© OSzone.net 2001-