Hallo zusammen!
Ich habe hier ein komisches Problem auf unserem Server: dort laeuft taeglich afick als Integritaetschecker. Was dabei interessant ist: die beiden Dateien /usr/lib/perl5/Class/MethodMaker/hash.pm und /usr/local/lib/perl/5.8.4/Class/MethodMaker/array.pm aendern taeglich ihre Pruefsumme.
Ich habe auch einmal selbst die Pruefsumme mit md5sum gebildet und sie hat sich von einem auf den anderen Tag ebenfalls geaendert. Es aendert sich aber auch nur die Checksumme. Inodes, Datum, Groesse und Berechtigungen bleiben absolut gleich.
Die Dateien sind aber an sich absolut ok, es sind keinerlei Fehler drin (was eventuell auf ein Hardwareproblem hindeuten koennte).
Hat von euch eventuell jemand eine Idee, was das sein koennte? Es werden keinerlei Updates eingespielt, die das taegliche Aendern der beiden Files erklaeren koennten. Dabei muesste sich ja auch mehr als nur die Pruefsumme aendern...
Wir hier sind absolut ratlos im Moment, was da dahinterstecken koennte. Da der Server auch nicht am Internet haengt sondern in einer DMZ im Rechenzentrum, die nicht mit dem Internet verbunden ist gehe ich auch nicht von irgendwelchen Hackergeschichten aus (ok, die meisten Angriffe kommen von innen, aber hier kann ichs mir nicht vorstellen).
Hat von euch jemand eventuell auch ne Idee, wie ich diese beiden Dateien eventuell gezielt ueberwachen koennte? Also auch, welche Ptorgramme auf sie zugreifen?
Vielen Danke fuer eure Hilfe!
Ein ratloser Nepos...
Seltsames Problem mit sich aendernden MD5-Summen
hi,
Inotify scheint mir genau das richtige zu sein, setzt aber einen
relativ neuen (>=2.13 ?) Kernel voraus.
Hier gibt´s einen deutschen Text dazu.
Vorgänger von inotify war dnotify, aber ich glaub´ das kann nur
Verzeichnisse überwachen. Der noch ältere fam käme auch noch
in Frage.
Und dann wieder: was kommt denn bei einen
"diff array.pm array.pm_von_gestern" raus?
Inotify scheint mir genau das richtige zu sein, setzt aber einen
relativ neuen (>=2.13 ?) Kernel voraus.
Hier gibt´s einen deutschen Text dazu.
Vorgänger von inotify war dnotify, aber ich glaub´ das kann nur
Verzeichnisse überwachen. Der noch ältere fam käme auch noch
in Frage.
Und dann wieder: was kommt denn bei einen
"diff array.pm array.pm_von_gestern" raus?
Beware of programmers who carry screwdrivers.
Sodala, also sehr komisch das ganze.
Ich hatte ueber das Wochenende mit inotifywait eine Ueberwachung auf die beiden Dateien aufgesetzt. Rausgekommen ist dabei leider nichts, aber die MD5-Summen haben sich wieder geaendert...
Ich hatte am Freitag auch noch Kopien der beiden Dateien gemacht und ein diff foerdert sehr komisches zu Tage: in der Datei scheinen Bloecke von anderen Dateien zu sein. Zum einen ein Changelog von PostgreSQL, zum anderen sind grosse Bloecke von Nullbytes drin. Das wuerde ja auf ein Problem mit dem Dateisystem bzw. Treiber oder sogar unserer Hardware hindeuten (Compaq SmartArray 6i Raid Controller mit 4x 140 GB Platten).
Was mich eben wundert ist, dass sich diese Bloecke einmal taeglich aendern. Dies sind auch die einzigen beiden Dateien, die davon betroffen sind...
Ich werd mich mal dranmachen und das Dateisystem ueberpruefen. Eventuell liegt der Fehler auch am 2.6.17.8er Kernel, da das Problem erst seit dem Einspielen davon auftritt. Andererseits hatten wir mit einem alten 2.4er Kernel vorher auch schon mal eine korrupte Datenbank...
Nach einem fsck scheint nun noch mehr im argen zu sein. Beim fsck selbst kam folgende Meldung:
Der fsck meinte nur, er haette einen "orphaned inode" gefixt. Mer hat er eigentlich nicht gemacht.
Ein anschliessender afick-Lauf zeigt mir nun eine Reihe weiterer Dateien, die ich entweder nicht mehr zugreifen kann (Input/Output Error) bzw. recht seltsame Timestamps, Groessen und Rechte haben..., so z.B.:
Ich hatte ueber das Wochenende mit inotifywait eine Ueberwachung auf die beiden Dateien aufgesetzt. Rausgekommen ist dabei leider nichts, aber die MD5-Summen haben sich wieder geaendert...
Ich hatte am Freitag auch noch Kopien der beiden Dateien gemacht und ein diff foerdert sehr komisches zu Tage: in der Datei scheinen Bloecke von anderen Dateien zu sein. Zum einen ein Changelog von PostgreSQL, zum anderen sind grosse Bloecke von Nullbytes drin. Das wuerde ja auf ein Problem mit dem Dateisystem bzw. Treiber oder sogar unserer Hardware hindeuten (Compaq SmartArray 6i Raid Controller mit 4x 140 GB Platten).
Was mich eben wundert ist, dass sich diese Bloecke einmal taeglich aendern. Dies sind auch die einzigen beiden Dateien, die davon betroffen sind...
Ich werd mich mal dranmachen und das Dateisystem ueberpruefen. Eventuell liegt der Fehler auch am 2.6.17.8er Kernel, da das Problem erst seit dem Einspielen davon auftritt. Andererseits hatten wir mit einem alten 2.4er Kernel vorher auch schon mal eine korrupte Datenbank...
Nach einem fsck scheint nun noch mehr im argen zu sein. Beim fsck selbst kam folgende Meldung:
Code: Alles auswählen
init_special_inode: bogus i_mode (0)Ein anschliessender afick-Lauf zeigt mir nun eine Reihe weiterer Dateien, die ich entweder nicht mehr zugreifen kann (Input/Output Error) bzw. recht seltsame Timestamps, Groessen und Rechte haben..., so z.B.:
Code: Alles auswählen
?--------- 512 512 33554432 58730496 1971-01-24 09:40 /etc/snmp/snmpd.confSodala, Glueck gehabt, der Server rennt wieder, die Schaeden am Filesystem waren Gott sei Dank nicht besonders schlimm.
Bleibt immer noch die Frage, woran es gelegen hat. War das FS vorher schon beschaedigt? Gibts da eventuell einen Bug (im Zusammenhang mit einem Compaq SmartArray 6i Controller und dazugehoerendem CCISS-Treiber) im Kernel 2.6.17.8?
Im Moment haben wir auf den aktuellsten 2.4er Kernel zurueckgeswitched...
Bleibt immer noch die Frage, woran es gelegen hat. War das FS vorher schon beschaedigt? Gibts da eventuell einen Bug (im Zusammenhang mit einem Compaq SmartArray 6i Controller und dazugehoerendem CCISS-Treiber) im Kernel 2.6.17.8?
Im Moment haben wir auf den aktuellsten 2.4er Kernel zurueckgeswitched...
