Lar*_*nke 11 linux virus debian crash rootkit
我使用带有多个 OpenVZ 容器的 Debian Squeeze 运行服务器。容器主要运行 Squeeze,一些 Lenny,还有一些已经更新到 Wheezy。除了 iptables 和 DHCP 之外,主机并没有做太多事情。文件服务器、代理、邮件服务器、kerberos、LDAP ……都被放入容器中。系统运行稳定多年,一年多除了一些防火墙规则外,没有大的变化。
2天前突然系统崩溃了。我有很多问题再次提出它。起初它不会让我通过 ssh 登录。root 登录被“你不存在”拒绝。离开!' 本地登录没问题。一段时间后 ssh 又开始工作了。巧合的是,我没有重新使用 bash 历史记录中的行,而是输入了一个新命令,该命令三次检查与该行相同,该行之前不起作用但在崩溃前起作用。
然后系统运行,但大多数协议上的网络流量在 SYN ACK 后被阻止。DNS、Telnet 和 SSH 都很好,但其余的就一团糟。在黑暗中钓鱼几个小时并重新加载防火墙几次后,突然一切都恢复正常了。我在日志中找不到任何可疑的东西 - 但我不是法医专家。
今天,由于容器配额,文件服务器的 nscd 耗尽了套接字以联系 LDAP。以前从未发生过的事情。我还看到了很多(> 30 个)smbd 声明的套接字。
/var/log/messages 看起来与syslog非常相似。/var/log/kern.log 有关于崩溃原因的附加信息:
/var/log/kern.log:2950:Sep 19 10:46:57 asgard kernel: [6529441.320086] INFO: task sendmail:32181 blocked for more than 120 seconds.
/var/log/kern.log:2982:Sep 19 10:48:57 asgard kernel: [6529561.324525] INFO: task kdmflush:1932 blocked for more than 120 seconds.
/var/log/kern.log:3005:Sep 19 10:48:57 asgard kernel: [6529561.324694] INFO: task xfssyncd:10162 blocked for more than 120 seconds.
/var/log/kern.log:3027:Sep 19 10:48:57 asgard kernel: [6529561.324934] INFO: task postgres:16827 blocked for more than 120 seconds.
/var/log/kern.log:3060:Sep 19 10:49:51 asgard kernel: [6529561.325129] INFO: task imapd:31749 blocked for more than 120 seconds.
/var/log/kern.log:3084:Sep 19 10:49:51 asgard kernel: [6529561.325248] INFO: task cleanup:32194 blocked for more than 120 seconds.
/var/log/kern.log:3106:Sep 19 10:50:57 asgard kernel: [6529681.324028] INFO: task flush-253:3:3216 blocked for more than 120 seconds.
/var/log/kern.log:3142:Sep 19 10:50:57 asgard kernel: [6529681.324224] INFO: task kjournald:6859 blocked for more than 120 seconds.
/var/log/kern.log:3166:Sep 19 10:50:57 asgard kernel: [6529681.324366] INFO: task syslogd:11720 blocked for more than 120 seconds.
/var/log/kern.log:3198:Sep 19 10:50:57 asgard kernel: [6529681.324574] INFO: task postgres:16827 blocked for more than 120 seconds.
/var/log/kern.log:7152:Sep 19 19:29:41 asgard kernel: [ 1440.617090] INFO: task sendmail:11892 blocked for more than 120 seconds.
最后一次“sendmail”崩溃是在重新启动机器之后。从那时起,此类事件不再发生。'imapd' 和 'postgres' 肯定在不同的容器中运行。
好吧,我没有看到任何确凿的证据,但我可能只是瞎了眼。如果没有很好的理由,从已知/假定的良好备份设置系统会让我很难尝试。
如果您有任何建议,下一步要检查什么,我将不胜感激。
谢谢你的帮助。
更新:我在 syslog 中发现了以下内容:
Sep 19 10:09:56 asgard ntop[7965]: **WARNING** packet truncated (8754->8232)
Sep 19 10:09:56 asgard ntop[7965]: **WARNING** packet truncated (8754->8232)
Sep 19 10:09:56 asgard ntop[7965]: **WARNING** packet truncated (10490->8232)
Sep 19 10:09:56 asgard ntop[7965]: **WARNING** packet truncated (8754->8232)
Sep 19 10:09:56 asgard ntop[7965]: **WARNING** packet truncated (8754->8232)
Sep 19 10:09:56 asgard ntop[7965]: **WARNING** packet truncated (17442->8232)
Sep 19 10:11:02 asgard ntop[7965]: **WARNING** packet truncated (11650->8232)
Sep 19 10:11:02 asgard ntop[7965]: **WARNING** packet truncated (10202->8232)
Sep 19 10:11:29 asgard ntop[7965]: **WARNING** packet truncated (8754->8232)
Sep 19 10:13:27 asgard ntop[7965]: **WARNING** packet truncated (8754->8232)
Sep 19 10:20:33 asgard ntop[7965]: **WARNING** packet truncated (8754->8232)
我知道这被认为是不重要的,但这似乎是一个罕见的事件。数据包截断只存在于第二次崩溃当天。在所有可用的日志文件中没有其他地方。