Kernel Problem

[flammenvogel]

Hallo,

ich bin mir nicht ganz sicher ob das hier hingehört. Ich habe folgendes Problem, ich habe hier im Netzwerk einen Server stehen der schon ein paar Tage älter ist (4 Jahre) und ich bin mir nicht ganz sicher ob das ein Kernel Problem ist oder ob sich einfach nur irgendwas von der Hardware verabschiedet hat.

Auf diesem Server kommt es von Zeit zu Zeit (ich konnte bis jetzt keinen Auslöser finden) zu Abstürtzen. Absturtz = der Server reagiert nicht mehr, die Server Dienste sind sehr lahm oder gehen überhaupt nicht mehr (meistens letzeres). Nach einem Reset ist alles erstmal wieder ne Zeit lang in Ordnung. Ich hab mal ein Blick ins kern.log geworfen und folgende Ausgabe gefunden:

Code: Alles auswählen

May 26 14:35:30 localhost kernel: device agnet entered promiscuous mode
May 26 14:35:30 localhost kernel: audit(1180182930.528:2): dev=agnet prom=256 old_prom=0 auid=4294967295
May 26 14:35:32 localhost kernel: device agnet left promiscuous mode
May 26 14:35:32 localhost kernel: audit(1180182932.036:3): dev=agnet prom=0 old_prom=256 auid=4294967295
May 26 14:35:34 localhost kernel: device agnet entered promiscuous mode
May 26 14:35:34 localhost kernel: audit(1180182934.100:4): dev=agnet prom=256 old_prom=0 auid=4294967295
May 26 14:35:45 localhost kernel: device agnet left promiscuous mode
May 26 14:35:45 localhost kernel: audit(1180182945.411:5): dev=agnet prom=0 old_prom=256 auid=4294967295
May 26 14:35:54 localhost kernel: snnet: Promiscuous mode enabled.
May 26 14:35:54 localhost kernel: device snnet entered promiscuous mode
May 26 14:35:54 localhost kernel: audit(1180182954.415:6): dev=snnet prom=256 old_prom=0 auid=4294967295
May 26 14:36:05 localhost kernel: device snnet left promiscuous mode
May 26 14:36:05 localhost kernel: audit(1180182965.094:7): dev=snnet prom=0 old_prom=256 auid=4294967295
May 26 14:37:45 localhost kernel: device agnet entered promiscuous mode
May 26 14:37:45 localhost kernel: audit(1180183065.115:8): dev=agnet prom=256 old_prom=0 auid=4294967295
May 26 14:37:51 localhost kernel: device agnet left promiscuous mode
May 26 14:37:51 localhost kernel: audit(1180183071.626:9): dev=agnet prom=0 old_prom=256 auid=4294967295
May 26 14:47:44 localhost kernel: BUG: unable to handle kernel paging request at virtual address 03000030
May 26 14:47:44 localhost kernel:  printing eip:
May 26 14:47:44 localhost kernel: c018051d
May 26 14:47:44 localhost kernel: *pde = 00000000
May 26 14:47:44 localhost kernel: Oops: 0000 [#1]
May 26 14:47:44 localhost kernel: SMP
May 26 14:47:44 localhost kernel: Modules linked in: tcp_diag inet_diag nfs nfsd exportfs lockd nfs_acl sunrpc tun ipv6 dm_snapshot dm_mirror dm_mod tsdev parport_pc parport floppy intel_agp psmouse agpgart serio_raw pcspkr rtc i2c_i801 shpchp pci_hotplug i2c_core evdev xfs ide_generic 8139too ide_cd cdrom ide_disk 8139cp mii r8169 uhci_hcd usbcore piix generic ide_core thermal processor fan
May 26 14:47:44 localhost kernel: CPU:    0
May 26 14:47:44 localhost kernel: EIP:    0060:[<c018051d>]    Not tainted VLI
May 26 14:47:44 localhost kernel: EFLAGS: 00010206   (2.6.18-4-686 #1)
May 26 14:47:44 localhost kernel: EIP is at dqput+0xb/0x163
May 26 14:47:44 localhost kernel: eax: 03000000   ebx: 03000000   ecx: cf67c720   edx: 00000000
May 26 14:47:44 localhost kernel: esi: 00000000   edi: 00000063   ebp: cf679f14   esp: cf679edc
May 26 14:47:44 localhost kernel: ds: 007b   es: 007b   ss: 0068
May 26 14:47:44 localhost kernel: Process kswapd0 (pid: 120, ti=cf678000 task=cf5ed550 task.ti=cf678000)
May 26 14:47:44 localhost kernel: Stack: cecc8b3c c0180b81 cecc8b3c cecc8c80 c016eec2 cecc8b44 cecc8b3c c016f18a
May 26 14:47:44 localhost kernel:        cf3ab87c 00000000 00000080 00000080 c016f39d 00000080 cecc8cc4 c488f884
May 26 14:47:44 localhost kernel:        00007210 cffe9ac0 000000ad 000000d0 c0148cf4 001c8400 00000000 001c8400
May 26 14:47:44 localhost kernel: Call Trace:
May 26 14:47:44 localhost kernel:  [<c0180b81>] dquot_drop+0x26/0x4c
May 26 14:47:44 localhost kernel:  [<c016eec2>] clear_inode+0x93/0xd8
May 26 14:47:44 localhost kernel:  [<c016f18a>] dispose_list+0x46/0xc4
May 26 14:47:44 localhost kernel:  [<c016f39d>] shrink_icache_memory+0x195/0x1bd
May 26 14:47:44 localhost kernel:  [<c0148cf4>] shrink_slab+0xd3/0x13c
May 26 14:47:44 localhost kernel:  [<c014909f>] kswapd+0x2ab/0x38b
May 26 14:47:44 localhost kernel:  [<c012d92d>] autoremove_wake_function+0x0/0x2d
May 26 14:47:44 localhost kernel:  [<c0148df4>] kswapd+0x0/0x38b
May 26 14:47:44 localhost kernel:  [<c012d85f>] kthread+0xc2/0xef
May 26 14:47:44 localhost kernel:  [<c012d79d>] kthread+0x0/0xef
May 26 14:47:44 localhost kernel:  [<c0101005>] kernel_thread_helper+0x5/0xb
May 26 14:47:44 localhost kernel: Code: 10 00 8b 8c b7 84 00 00 00 89 f2 89 d8 ff 51 08 89 c3 89 e8 e8 3a 00 10 00 89 d8 5b 5e 5f 5d c3 85 c0 53 89 c3 0f 84 56 01 00 00 <8b> 40 30 85 c0 75 37 68 d3 c1 29 c0 e8 3c d4 f9 ff 0f bf 43 54
May 26 14:47:44 localhost kernel: EIP: [<c018051d>] dqput+0xb/0x163 SS:ESP 0068:cf679edc

(Anmerkung: snnet und agnet sind eth0 und eth1, die Interfaces habe ich mit udev umbennant)

Leider kann ich damit überhaupt nichts anfangen, ich bin aber ziemlich sicher das die Abstürtze damit zusammenhängen.
Kann mir jemand helfen?

Auf der Kiste läuft Debian 4.0 (etch) + Debian Kernel

[Savar]

ich kann leider auch nur raten..

May 26 14:47:44 localhost kernel: Process kswapd0 (pid: 120, ti=cf678000 task=cf5ed550 task.ti=cf678000)

das was du gepostet hast ist ein kernel oops.. das sollte definitiv nicht passieren.. der kswapd ist der swapdaemon vom Kernel..

Vermutungen meinerseits: Platte hat nen Schaden (per fsck, badblocks (vorsichtig.. manpage lesen), fdisk auf Fehler prüfen)
oder vielleicht der Arbeitsspeicher (mal per "memtest" drübergehen..)

[flammenvogel]

ok, das werde ich Tage mal testen, wenn ich wieder vor Ort bin (der Rechner ist schonwieder abgesoffen^^).

Eine Frage noch, kann mir einer sagen was die Kernelmeldungen über die Netzwerkkarten zu sagen haben? (die die vor dem Kernel Oops stehen). Ich kann nämlich nicht ganz nachvollziehen, was der Kernel da macht. Der promiscuous mode ist doch eigentlich dazu da, alle Pakete auf einer Netzwerkkarte einzusammeln und nicht nur die die für sie bestimmt sind, oder?

Wenn ja, verstehe ich es erst recht nicht, denn meines Wissens läuft nichts, was die Netzwerkarte in den promiscuous Modus schickt.

[Savar]

hmm.. sicher das du da nix installiert hast? snort oder sowas?
vielleicht hast du nen rootkit drauf.. chkrootkit und rkhunter könnten dann vielleicht was zu sagen..

[flammenvogel]

also das auf der Maschine ein Rootkit ist glaube ich net, ich werds zwar mal überprüfen, aber da nur Softwarepakete über apt get installiert wurden und da die Maschine auch nicht im Desktopbetrieb benutzt wird, glaube ich das eher weniger.

Hmm, was könnte installiert sein... snort ist nicht drauf. Nagios wäre noch ein Kandidat dafür, aber auch Nagios sollte die Netzwerkkarte eigentlich nicht in den Promisc Mode schicken.

[nepos]

Wieso wird auf dem Server eigentlich das Interface dauernd in den promiscous mode geschalten. Arbeitest du da dauernd mit tcpdump oder wireshark?

[flammenvogel]

Gute Frage, das versuche ich auch gerade rauszufinden. Ich arbeite zwar hin und wieder mit tcpdump, aber eigentlich nicht zu der im Syslog angegeben Zeit (und die Uhr auf dem Rechner sollte richtig gehen^^).

Naja egal, das ist ja auch erstmal nicht das Hauptproblem. Ich werde nach Pfingsten mal den RAM + Festplatte testen.

Allerdings hat Smart nicht gemeckert, das hab ich noch kurz vor dem Absturz überprüft.

[nepos]

Nun ja, was is, wenn sich einer dieser Kiste bemächtigt hat und da nun in deinem Netz mitsnifft oder dergleichen. Wenn solche Meldungen kommen, zu Zeiten, wo du und niemand anders was gemacht hat, dann würde mich das schon äußerst misstrauisch machen.