<![CDATA[Latest posts for the topic "CentOS 5.3: kernel: Xploit 21956: segfault at"]]> /hvaonline/posts/list/24.html JForum - http://www.jforum.net CentOS 5.3: kernel: Xploit 21956: segfault at Jul 1 10:51:09 xx kernel: Xploit[21956]: segfault at 0000000000000000 rip 00000000080a7f53 rsp 00000000ffef5a8c error 4  Tần suất xuất hiện là 1 phút khoảng trên dưới 10 lần. Vấn đề là mình không biết Xploit là thằng nào. Các bạn có gợi ý nào thì giúp mình với.]]> /hvaonline/posts/list/34913.html#214379 /hvaonline/posts/list/34913.html#214379 GMT CentOS 5.3: kernel: Xploit 21956: segfault at

quanta wrote:
Chào các bạn, Sáng nay OSSEC báo về trong /var/log/messages xuất hiện hàng loạt thông tin:
Jul 1 10:51:09 xx kernel: Xploit[21956]: segfault at 0000000000000000 rip 00000000080a7f53 rsp 00000000ffef5a8c error 4 
Tần suất xuất hiện là 1 phút khoảng trên dưới 10 lần. Vấn đề là mình không biết Xploit là thằng nào. Các bạn có gợi ý nào thì giúp mình với. 
Kernel trên hệ thống này có phiên bản mấy em?]]>
/hvaonline/posts/list/34913.html#214384 /hvaonline/posts/list/34913.html#214384 GMT
CentOS 5.3: kernel: Xploit 21956: segfault at /hvaonline/posts/list/34913.html#214385 /hvaonline/posts/list/34913.html#214385 GMT CentOS 5.3: kernel: Xploit 21956: segfault at

quanta wrote:
2.6.18-128 anh ạ. 
Em thử: echo 0 > /proc/sys/kernel/randomize_va_space và theo dõi xem hiện tượng trên còn xảy ra không?]]>
/hvaonline/posts/list/34913.html#214387 /hvaonline/posts/list/34913.html#214387 GMT
CentOS 5.3: kernel: Xploit 21956: segfault at

conmale wrote:
Em thử: echo 0 > /proc/sys/kernel/randomize_va_space và theo dõi xem hiện tượng trên còn xảy ra không? 
Turn off randomization in memory allocator theo anh gợi ý nhưng tình hình không thuyên giảm anh à: Code:
# cat /proc/sys/kernel/randomize_va_space 
0

# grep "Jul  1 11:5[1-5]:.. xx kernel: Xploit" /var/log/messages | wc -l
36
]]>
/hvaonline/posts/list/34913.html#214389 /hvaonline/posts/list/34913.html#214389 GMT
CentOS 5.3: kernel: Xploit 21956: segfault at

quanta wrote:

conmale wrote:
Em thử: echo 0 > /proc/sys/kernel/randomize_va_space và theo dõi xem hiện tượng trên còn xảy ra không? 
Turn off randomization in memory allocator theo anh gợi ý nhưng tình hình không thuyên giảm anh à: Code:
# cat /proc/sys/kernel/randomize_va_space 
0

# grep "Jul  1 11:5[1-5]:.. xx kernel: Xploit" /var/log/messages | wc -l
36
 
Em có thể tạm thời offline máy đó khỏi network được không? Nếu được, thử rút network cable ra và xem thử tình trạng trên còn xảy ra không?]]>
/hvaonline/posts/list/34913.html#214391 /hvaonline/posts/list/34913.html#214391 GMT
CentOS 5.3: kernel: Xploit 21956: segfault at

conmale wrote:
Em có thể tạm thời offline máy đó khỏi network được không? Nếu được, thử rút network cable ra và xem thử tình trạng trên còn xảy ra không? 
Việc này tạm thời em chưa thực hiện ngay được, anh còn gợi ý nào khác không ạ? ]]>
/hvaonline/posts/list/34913.html#214392 /hvaonline/posts/list/34913.html#214392 GMT
CentOS 5.3: kernel: Xploit 21956: segfault at

quanta wrote:

conmale wrote:
Em có thể tạm thời offline máy đó khỏi network được không? Nếu được, thử rút network cable ra và xem thử tình trạng trên còn xảy ra không? 
Việc này tạm thời em chưa thực hiện ngay được, anh còn gợi ý nào khác không ạ?  
Thông tin em cho quá ít nên khó xác định được nguồn gốc từ đâu. Anh nghĩ nó đụng tới memory nhưng để giúp thu hẹp biên độ, anh đề nghị ngắt server ấy khỏi mạng xem thử nó còn bị hay không. Nếu nó hết bị, chắc chắn một daemon nào đó liên quan đến mạng có lỗi. Nếu nó còn bị, chắn chắn nguồn gốc của segfault này không liên quan đến mạng. Một cách detect khác là set ulimit -c để cho phép tạo core dump rồi analyse core dump thì mới biết chính xác nguồn cơn. Segfault đột nhiên xảy ra thường do hệ thống vừa cập nhật cái gì đó (thư viện, binaries...) và cập nhật này tạo lỗi và cách chính xác nhất là cho phép kernel tạo core dump để phân tích thôi em (vì khó biết được daemon nào gây sự cố).]]>
/hvaonline/posts/list/34913.html#214398 /hvaonline/posts/list/34913.html#214398 GMT
CentOS 5.3: kernel: Xploit 21956: segfault at Code:
# ps -u nagios
  PID TTY          TIME CMD
  18176 ?        00:00:01 Xploit
]]>
/hvaonline/posts/list/34913.html#214415 /hvaonline/posts/list/34913.html#214415 GMT
CentOS 5.3: kernel: Xploit 21956: segfault at

quanta wrote:
Tạm thời em đã xác định được do thằng nagios plugin gây ra: Code:
# ps -u nagios
  PID TTY          TIME CMD
  18176 ?        00:00:01 Xploit
 
Hè hè... coi thử nagios chạy phiên bản nào, có thể bị lỗi gì. Anh không hiểu sao lúc chiều em nói không hề thấy có process nào có "Xploit" hết.]]>
/hvaonline/posts/list/34913.html#214416 /hvaonline/posts/list/34913.html#214416 GMT
CentOS 5.3: kernel: Xploit 21956: segfault at

conmale wrote:
Anh không hiểu sao lúc chiều em nói không hề thấy có process nào có "Xploit" hết. 
Em có nói dối anh đâu: Code:
# ps -ef | grep Xploit
root      1371  1292  0 08:40 pts/0    00:00:00 grep Xploit

# ps -ef | grep nagios
nagios     635 15071  0 08:11 ?        00:00:00 /bin/bash ./a xx.xx
nagios     680   635  0 08:16 ?        00:00:00 /usr/sbin/sshd
nagios     684   680  0 08:16 ?        00:00:00 /usr/sbin/sshd
nagios     689   680  0 08:16 ?        00:00:03 /usr/sbin/sshd
nagios     692   680  0 08:16 ?        00:00:03 /usr/sbin/sshd
nagios     693   680  0 08:16 ?        00:00:03 /usr/sbin/sshd
...
nagios   10713     1  0 Jul01 ?        00:00:00 nrpe -c /usr/local/nagios/etc/nrpe.cfg -d
nagios   15071     1  0 00:13 ?        00:00:00 /bin/sh ./mass 220

# ps -u nagios
  PID TTY          TIME CMD
  635 ?        00:00:00 a
  680 ?        00:00:00 Xploit
  684 ?        00:00:01 Xploit
  689 ?        00:00:03 Xploit
  692 ?        00:00:04 Xploit
  693 ?        00:00:03 Xploit
...
10713 ?        00:00:00 nrpe
15071 ?        00:00:00 sh

# ps -u nagios | wc -l
236
]]>
/hvaonline/posts/list/34913.html#214454 /hvaonline/posts/list/34913.html#214454 GMT
CentOS 5.3: kernel: Xploit 21956: segfault at

quanta wrote:

conmale wrote:
Anh không hiểu sao lúc chiều em nói không hề thấy có process nào có "Xploit" hết. 
Em có nói dối anh đâu: Code:
# ps -ef | grep Xploit
root      1371  1292  0 08:40 pts/0    00:00:00 grep Xploit

# ps -ef | grep nagios
nagios     635 15071  0 08:11 ?        00:00:00 /bin/bash ./a xx.xx
nagios     680   635  0 08:16 ?        00:00:00 /usr/sbin/sshd
nagios     684   680  0 08:16 ?        00:00:00 /usr/sbin/sshd
nagios     689   680  0 08:16 ?        00:00:03 /usr/sbin/sshd
nagios     692   680  0 08:16 ?        00:00:03 /usr/sbin/sshd
nagios     693   680  0 08:16 ?        00:00:03 /usr/sbin/sshd
...
nagios   10713     1  0 Jul01 ?        00:00:00 nrpe -c /usr/local/nagios/etc/nrpe.cfg -d
nagios   15071     1  0 00:13 ?        00:00:00 /bin/sh ./mass 220

# ps -u nagios
  PID TTY          TIME CMD
  635 ?        00:00:00 a
  680 ?        00:00:00 Xploit
  684 ?        00:00:01 Xploit
  689 ?        00:00:03 Xploit
  692 ?        00:00:04 Xploit
  693 ?        00:00:03 Xploit
...
10713 ?        00:00:00 nrpe
15071 ?        00:00:00 sh

# ps -u nagios | wc -l
236
 
Hì hì, anh đâu có bảo em "nói dối" đâu :P . Ý anh là phương pháp test ps để tìm process "Xploit" của mình (em và anh) chưa được thấu đáo. Chính anh cũng không nghĩ đến option ps -u mặc dù cả hai anh em mình đều biết chắc rằng process ấy không spawn được và bị segfault. ]]>
/hvaonline/posts/list/34913.html#214478 /hvaonline/posts/list/34913.html#214478 GMT
CentOS 5.3: kernel: Xploit 21956: segfault at Code:
# netstat -natp | grep sshd | awk '{print $5}' | sort | uniq -c | sort -rn
      1 220.231.4.177:22
      1 220.229.32.38:22
      1 220.228.163.199:22
      1 220.228.160.232:22
      1 220.227.99.217:22
      1 220.227.99.195:22
      1 220.227.95.69:22
      1 220.227.95.125:22
      1 220.227.90.238:22
      1 220.227.89.225:22
      1 220.227.75.221:22
      1 220.227.75.125:22
      1 220.227.72.234:22
      1 220.227.67.237:22
      1 220.227.62.250:22
      1 220.227.62.230:22
      1 220.227.61.77:22
      1 220.227.56.66:22
      1 220.227.56.179:22
      1 220.227.55.17:22
      1 220.227.53.61:22
      1 220.227.43.157:22
      1 220.227.41.228:22
      1 220.227.40.18:22
      1 220.227.37.187:22
      1 220.227.35.142:22
      1 220.227.31.105:22
      1 220.227.255.1:22
      1 220.227.254.74:22
      1 220.227.254.58:22
      1 220.227.254.134:22
      1 220.227.253.93:22
      1 220.227.253.169:22
      1 220.227.253.109:22
      1 220.227.252.250:22
      1 220.227.252.110:22
      1 220.227.25.162:22
      1 220.227.251.116:22
      1 220.227.251.101:22
      1 220.227.250.254:22
      1 220.227.250.114:22
      1 220.227.249.1:22
      1 220.227.247.225:22
      1 220.227.245.201:22
      1 220.227.242.42:22
      1 220.227.242.218:22
      1 220.227.242.158:22
      1 220.227.242.146:22
      1 220.227.241.21:22
      1 220.227.240.92:22
      1 220.227.240.91:22
      1 220.227.240.84:22
      1 220.227.240.72:22
      1 220.227.240.174:22
      1 220.227.240.162:22
      1 220.227.238.54:22
      1 220.227.238.27:22
      1 220.227.238.26:22
      1 220.227.237.241:22
      1 220.227.237.213:22
      1 220.227.237.133:22
      1 220.227.236.164:22
      1 220.227.235.163:22
      1 220.227.235.149:22
      1 220.227.235.145:22
      1 220.227.235.129:22
      1 220.227.219.78:22
      1 220.227.219.4:22
      1 220.227.219.110:22
      1 220.227.218.8:22
      1 220.227.218.3:22
      1 220.227.213.98:22
      1 220.227.213.50:22
      1 220.227.213.163:22
      1 220.227.213.145:22
      1 220.227.211.109:22
      1 220.227.207.44:22
      1 220.227.207.2:22
      1 220.227.207.219:22
      1 220.227.198.230:22
      1 220.227.198.1:22
      1 220.227.190.196:22
      1 220.227.190.178:22
      1 220.227.190.10:22
      1 220.227.178.20:22
      1 220.227.176.214:22
      1 220.227.170.26:22
      1 220.227.169.169:22
      1 220.227.168.14:22
      1 220.227.168.110:22
      1 220.227.165.120:22
      1 220.227.164.242:22
      1 220.227.164.148:22
      1 220.227.161.85:22
      1 220.227.161.225:22
      1 220.227.158.77:22
      1 220.227.158.210:22
      1 220.227.158.178:22
      1 220.227.158.108:22
      1 220.227.157.69:22
      1 220.227.157.37:22
      1 220.227.157.169:22
      1 220.227.156.1:22
      1 220.227.155.49:22
      1 220.227.154.51:22
      1 220.227.15.146:22
      1 220.227.15.145:22
      1 220.227.15.139:22
      1 220.227.147.83:22
      1 220.227.147.143:22
      1 220.227.141.213:22
      1 220.227.13.87:22
      1 220.227.137.30:22
      1 220.227.13.65:22
      1 220.227.134.52:22
      1 220.227.13.249:22
      1 220.227.131.121:22
      1 220.227.130.12:22
      1 220.227.129.89:22
      1 220.227.128.98:22
      1 220.227.124.16:22
      1 220.227.123.81:22
      1 220.227.12.218:22
      1 220.227.121.203:22
      1 220.227.121.200:22
      1 220.227.118.190:22
      1 220.227.114.171:22
      1 220.227.113.21:22
      1 220.227.113.209:22
      1 220.227.113.13:22
      1 220.227.11.1:22
      1 220.227.106.114:22
      1 220.227.105.202:22
      1 220.227.100.50:22
      1 220.227.100.122:22
      1 220.227.100.12:22
Tạm thời em đã kill hết các processes này, stop luôn nrpe, add thêm một rule cản packets đi ra đến port 22 trong iptables. Anh có gợi ý nào không ạ? PS: Em đang dùng nagios-plugins 1.4.14 và nrpe 2.12.]]>
/hvaonline/posts/list/34913.html#214485 /hvaonline/posts/list/34913.html#214485 GMT
CentOS 5.3: kernel: Xploit 21956: segfault at

quanta wrote:
Em vẫn chưa biết tại sao lại có nhiều processes sshd owned bởi nagios kết nối đi lung tung đến thế: Tạm thời em đã kill hết các processes này, stop luôn nrpe, add thêm một rule cản packets đi ra đến port 22 trong iptables. Anh có gợi ý nào không ạ? PS: Em đang dùng nagios-plugins 1.4.14 và nrpe 2.12. 
Anh đề nghị em lưu lại các hồ sơ cấu hình và uninstall rồi install lại nagios + nrpe hoàn toàn. Xem kỹ lại trên hệ thống coi thử có dấu vết bị xâm nhập hay không. Xem kỹ lại cấu hình của nagios có bị thay đổi gì không.]]>
/hvaonline/posts/list/34913.html#214495 /hvaonline/posts/list/34913.html#214495 GMT