inetd abgestürzt

[BrianFFM]

Hallo alle,

gestern nachmittag ist plötzlich mein openbsd-inetd abgeranzt. im logfile (syslog) ist folgender eintrag zu sehen:

Code: Alles auswählen

Apr 28 16:49:36 SERVERNAME inetd[6933]: could not getpeername

Google liefert zwar einige Ergebnisse aber damit kann ich ncihts anfangen, da es meist Codezeilen sind oder Polnisch

weis einer was da passiert ist ??

liebe Grüße, Brian

[KBDCALLS]

Da du mit dem meisten hinter'm Berg gehalten hast. Kann man nur spekulieren. Falls der Rechner per ppp ans internet angebunden ist, könnte es an der Datei /etc/ppp/peers/peer-name liegen.

http://www.linuxtopia.org/online_books/ ... ference-56

[BrianFFM]

nene, der Rechner ist in einem RZ .. per 100MBit direkt am netz.. welche infos sind noch wichtig ??

Debian etch 64bit (up2date)

das einzige was über inetd läuft ist qpopper. der war natürlich weg

[nepos]

Da du mit dem meisten hinter'm Berg gehalten hast. Kann man nur spekulieren. Falls der Rechner per ppp ans internet angebunden ist, könnte es an der Datei /etc/ppp/peers/peer-name liegen.

http://www.linuxtopia.org/online_books/ ... ference-56

Das hat nix mit getpeername zu tun. Denke das ist der System-Call getpeername(), der hier - warum auch immer - fehlgeschlagen ist. Eigentlich sollte dazu auch ein Fehlercode da sein, der aussagt, was genau nicht geklappt hat.

Wenn man sich die Sourcen mal ansieht, findet man diese Stelle:

Code: Alles auswählen

                if (getpeername(ctrl, (struct sockaddr *)&peer, &plen) < 0) { 
                        syslog(LOG_WARNING, "could not getpeername");
                        close(ctrl);
                        return -1;
                }

Von den Fehlern, die die Manpage zu getpeername() auflistet könnte ich mir
- ENOBUFS: Insufficient resources in the system
- ENOTCONN: The socket is not connected
vorstellen. Denke, der letztere dürfte es wohl sein. Wie gesagt, leider gibt inetd an der Stelle errno oder vergleichbares nicht mit aus, drum kann man nur rätseln, was genau schiefgelaufen ist...

[Spasswolf]

Wenn du strace an den inetd hängst solltest du die Art des Fehlers herausbekommen:

Code: Alles auswählen

strace -p $(pidof inetd) -o inetd.strace

[BrianFFM]

zunächst mal vielen dank für die schnellen und reichlichen antworten.

Das ist jetzt das erste mal passiert seit dem der Server online ist. Er läuft seit Jan. 2008.

ich werde das weiter verfolgen ob das noch mal vor kommt. Ich hoffe das war ein Einzelfall und nach mehr als einem Jahr darf ein service auch mal einen Fehler bringen

Hoffen wir mal dass es ein Einzelfall war. Wenn nicht werde ich mal Spasswolf Vorschlag umsetzen und mal schauen was dabei raus kommt.

liebe Grüße, Brian

[nepos]

Ach ja, was mir noch einfällt zu ENOTCONN, wobei ich mir nicht ganz sicher bin:
- Jemand connected auf den Socket und beendet die Verbindung recht schnell wieder
- Das ganze passiert nachdem der inetd die Verbindung angenommen hat, aber bevor er getpeername aufruft
- Der Socket ist nun nicht mehr connected und damit schlägt getpeername() fehl

[BrianFFM]

eine interessante Theorie !! Ich bin mit den gesamten Abläufen nicht sonderlich gut vertraut, aber es hört sich plausibel an. Potentiell eine Schwachstelle für die leicht ein exploid geschrieben wäre und perfekt für einfach DOS Attacken wäre.

[nepos]

eine interessante Theorie !! Ich bin mit den gesamten Abläufen nicht sonderlich gut vertraut, aber es hört sich plausibel an. Potentiell eine Schwachstelle für die leicht ein exploid geschrieben wäre und perfekt für einfach DOS Attacken wäre.

Nein. Hab mir mal den Code nochmal angesehen. wenn das oben beschriebene passiert, dann macht der inetd halt einfach weiter. Kann ja immer mal passieren
Das ganze ist keine Erklärung, warum der inetd gar nicht mehr lief bei dir. Mehr Logmeldungen hast du da nicht?

[BrianFFM]

nein, ich habe alles durchsucht. Wobei ich nicht ausschließe, dass ich etwas übersehen habe.

Ich habe auch einen Angriff nicht ausgeschlossen und habe nach suspekten Einträge un der auth.log sowie mail.log syslog usw gesucht .. scheint als hätte er einfach keinen bock mehr gehabt.

das einzige was bei mir über inetd gestartet wird ist der qpopper. sonst nichts. der hatte ganz normale anfragen (c.a. 1-2 die Minute)

liebe Grüße, Brian