crash

[klausip]

Hallo Leute!

Ich bin neu in diesem forum und suche hilfe!
Bei mir hat heute nacht mein rechner mit debian 7.1 wheezy anscheinend einen neustart ausgeführt und jetzt sind alle benutzerkonteneinstellungen auf default, alle dateien in /home/*benutzer*/ Arbeitsfläche etc. sind weg und das rootpasswort war auch geändert.
dieses konnte ich mittels grub wieder neu erstellen, und habe jetzt wenigstens zugriff auf root.

Könnte mir bitte jemand bei der ursachenergründung helfen?

Vielen dank und liebe grüße!

[pferdefreund]

Das kann wohl nur durch einen Reboot nicht passiert sein. Schau mal in die diversen logs unter /var/log - eventuell ist da ja was zu finden. Hat noch jemand Zugang zu dem Rechner ? Da war wohl ein Scherzkeks am Werk. Wenn er Ahnung hat, wirst du in den Logs nichts finden aber Versuch macht kluch

[rendegast]

Warum sollte das root-PW, also der hash in /etc/shadow,
geändert sein?

Und wie willst Du das root-PW per grub neu gesetzt haben?

[klausip]

Das kann wohl nur durch einen Reboot nicht passiert sein. Schau mal in die diversen logs unter /var/log - eventuell ist da ja was zu finden. Hat noch jemand Zugang zu dem Rechner ? Da war wohl ein Scherzkeks am Werk. Wenn er Ahnung hat, wirst du in den Logs nichts finden aber Versuch macht kluch

Servus & vielen dank für eure anteilnahme! .)
Ich bin alleine am rechner sonst hat niemand zugang.
hatte gestern am abend noch ganz normal am laufen mit teamviewer und rtorrent.
und heute morgen als ich zum rechner kam war da der anmeldebildschirm. konnte mich mit meinem username und passwort anmelden, aber alle einstellungen waren weg und sämtliche files von mir auch, wie schon geschrieben.
Wollte mich dann per su als root anmelden so wie immer, aber pw falsch. konnte in keine logs einsehen da er rootrechte verlangte.
habe dann im grub-startmenü den bootvorgang abgebrochen und dann die bootparameter editiert.
in die zeile mit linux wurde hinten init=/bin/sh und dann gebootet, anscliessend konnte ich das rootpasswort ändern.
Ich kenn mich jetzt aber mit den logs nicht so aus. In welchem könnte ich denn hinweise finden?
Dürfte ich die hier posten und ihr kuckt mal nach?

thx&grüsse!

[DeletedUserReAsG]

Ich bin alleine am rechner sonst hat niemand zugang.

… ich war’s auch nicht. Ich würde, wenn ich raten müsste, auf teamviewer tippen. Oder andere Schadsoftware.

Deine Logs kannst du gerne nach NoPaste schieben – allerdings hättest du sie von einem Livesystem aus von ro-gemounteter Platte sichern sollen. Bzw. ein Image der kompletten Platte machen sollen.

cu,
niemand

[klausip]

dachte auch schon an teamviewer.....den hab ich gestern auch neu installiert weil ich nicht erreichbar war.
hat aber nach der neuinstall eiwandfrei gefunzt.
und bitte, wie ist das mit nopaste? nicht einfach hier rein?
ich hab heute morgen noch den syslog kopiert gleich nach der passwortänderung.
dort ist aber nur der 24.09 und der 25.09 verzeichnet.

[DeletedUserReAsG]

Das Geheimnis von NoPaste lüftet der mit „WICHTIGER HINWEIS“ überschriebene Text über dem Eingabefeld beim Antworten.

cu,
niemand

[klausip]

danke für deinen hinweis!
http://nopaste.debianforum.de/37395
ich hoffe das funzt so?

[rendegast]

Du hast wohl Probleme mit der Konfiguration ddclient <-> noip.
(freedns ist kein erlaubtes Protokoll

Code: Alles auswählen

$ egrep "my %services" ddclient -A113 | egrep "^    [']"
    'dyndns1' => {
    'dyndns2' => {
    'noip' => {
    'concont' => {
    'dslreports1' => {
    'hammernode1' => {
    'zoneedit1' => {
    'easydns' => {
    'dnspark' => {
    'namecheap' => {
    'sitelutions' => {

)
Eventuell durch Netzwerkprobleme? firmware-linux-nonfree für den tg3 ist installiert?
noip2 funktionierte zumindest einige Male, aber auch

Sep 25 11:23:25 debian-klaus noip2[2503]: Can't gethostbyname for dynupdate.no-ip.com
Sep 25 11:23:25 debian-klaus noip2[2503]: Can't get our visible IP address from ip1.dynupdate.no-ip.com

Das externe noip2 könnte entfernt werden, denn 'noip' ist ein in ddclient erlaubtes Protokoll.

Probleme mit dem suspend/hibernate.

Sep 25 07:22:17 debian-klaus kernel: [29719.606337] PM: Syncing filesystems ...
Sep 25 07:23:55 debian-klaus kernel: imklog 5.8.11, log source = /proc/kmsg started.

Sep 25 07:23:55 debian-klaus kernel: [ 1.002238] PM: Hibernation image not present or could not be loaded.
Sep 25 07:23:55 debian-klaus kernel: [ 2.746127] PM: Starting manual resume from disk
Sep 25 07:23:55 debian-klaus kernel: [ 2.746131] PM: Hibernation image partition 8:5 present
Sep 25 07:23:55 debian-klaus kernel: [ 2.746133] PM: Looking for hibernation image.
Sep 25 07:23:55 debian-klaus kernel: [ 2.746351] PM: Image not found (code -22)
Sep 25 07:23:55 debian-klaus kernel: [ 2.746355] PM: Hibernation image not present or could not be loaded.

Valide Neustarts?

$ cat 37395.txt | egrep "imklog"
Sep 24 23:05:38 debian-klaus kernel: imklog 5.8.11, log source = /proc/kmsg started.
Sep 25 07:23:55 debian-klaus kernel: imklog 5.8.11, log source = /proc/kmsg started.
Sep 25 07:29:44 debian-klaus kernel: imklog 5.8.11, log source = /proc/kmsg started.
Sep 25 07:41:16 debian-klaus kernel: imklog 5.8.11, log source = /proc/kmsg started.
Sep 25 08:06:20 debian-klaus kernel: imklog 5.8.11, log source = /proc/kmsg started.
Sep 25 08:12:10 debian-klaus kernel: imklog 5.8.11, log source = /proc/kmsg started.
Sep 25 08:14:10 debian-klaus kernel: imklog 5.8.11, log source = /proc/kmsg started.
Sep 25 08:15:22 debian-klaus kernel: imklog 5.8.11, log source = /proc/kmsg started.
Sep 25 08:39:25 debian-klaus kernel: imklog 5.8.11, log source = /proc/kmsg started.
Sep 25 08:40:37 debian-klaus kernel: imklog 5.8.11, log source = /proc/kmsg started.
Sep 25 08:49:53 debian-klaus kernel: imklog 5.8.11, log source = /proc/kmsg started.
Sep 25 09:07:35 debian-klaus kernel: imklog 5.8.11, log source = /proc/kmsg started.
Sep 25 09:57:09 debian-klaus kernel: imklog 5.8.11, log source = /proc/kmsg started.
Sep 25 10:14:42 debian-klaus kernel: imklog 5.8.11, log source = /proc/kmsg started.

Dateiveränderungen wären auch durch falsch gesetztes file-sharing erklärbar.
-> Installiere nochmal neu, dem System könnte nicht mehr zu trauen sein.

[klausip]

Servus rendegast und vielen dank!
Das system werde ich ganz sicher neu machen.
das ddclient prob ist mein fehler. Ist wegen dyndns installiert gewesen, aber dyndns funzt nicht mehr wie es sollte und deshalb hab ich mich dann für noip2 entschieden und auf ddclient vergessen zu deinstallieren. hab noip2 in ddclient nicht zum laufen gebracht.
Die netzwekprobleme die du ansprichst wurden deshalb verursacht, weil ich den rechner sofort vom i-net genommen habe als ich merkte daß etwas nicht stimmte. deshalb die warnings von noip2.
tg3? bitte um erklärung
die probs mit suspend/hibernate treten anscheinend erst seit dem seltsamen reboot (2305h) auf, ist mir vorher nix aufgefallen.
zu den neustarts: der neustart um ca. 2305h den meine ich wurde devinitiv nicht von mir ausgelöst, da war ich heidi .
ab 0723h das dürfte dann ich selbst gewesen sein.
die filesharing configuration dürfte richtig gewesen sein, funzte über jahre einwandfrei. die restlichen platten am rechner waren von der dateiveränderung nicht betroffen.
dort is alles noch vorhanden. nur auf der platte auf welcher das OS installiert war ist davon betroffen.
hab mich noch ein bisschen eingelesen, eigentlich dürfte das nur bei einem stromausfall oder bei einem kernelupdate passieren.
aber stromausfall war keiner und kernel-update wurde auch keines von mir veranlasst.
Kannst du mir bitte schreiben in welchen logs ich noch nachschauen könnte?

Vielen Dank nochmals und liebe grüße!

[rendegast]

tg3? bitte um erklärung

Der Treiber für Deine Netzwerkkarte / eth0.

Geladene Treiber 'lsmod'
Begriff in einer Datei:
'less Datei', Suche per '/'
'cat Datei | grep Begriff'
(eigentlich ohne das cat per 'grep Begriff Datei',
ich mag aber die Form wegen des schnelleren Suchbegriff-wechsels)

Kannst du mir bitte schreiben in welchen logs ich noch nachschauen könnte?

Das Blöde an Crashs ist meist das Fehlen von Logeinträgen.
syslog ist (im Standard) eine Datei, in der eigentlich alles landet
(bei suse wäre das die messages).

[klausip]

Der Treiber für Deine Netzwerkkarte / eth0.

Geladene Treiber 'lsmod'
Begriff in einer Datei:
'less Datei', Suche per '/'
'cat Datei | grep Begriff'
(eigentlich ohne das cat per 'grep Begriff Datei',
ich mag aber die Form wegen des schnelleren Suchbegriff-wechsels)

Das ist mir zu hoch ! kannst mir das bitte erklären?
wo hast du das gefunden mit dem treiber lsmod für tg3?

[pferdefreund]

Ich bleibe dabei - fehlerhaftes Netzwerk, usw - das alles änder keine /etc/shadow, die im Normalbetrieb nur gelesen wird. Wann ändert man schon mal ein Password.
Ich würde mir hier keine Mühe mehr machen - das System gehört jetzt dem NSA und sollte neu installiert werden. Wer soweit kam, das Password für Root zu ändern, der hat auch die logs auf "harmlos" modifiziert.

[klausip]

Ich bleibe dabei - fehlerhaftes Netzwerk, usw - das alles änder keine /etc/shadow, die im Normalbetrieb nur gelesen wird. Wann ändert man schon mal ein Password.
Ich würde mir hier keine Mühe mehr machen - das System gehört jetzt dem NSA und sollte neu installiert werden. Wer soweit kam, das Password für Root zu ändern, der hat auch die logs auf "harmlos" modifiziert.

yep da hast du wahrscheinlich recht. hätt halt gern gewusst wer wie was.....
und nsa soll ich jetzt meine platten auslöschen und mit 0en vollschreiben?
ich weis....ich werd die platten im garten vergraben...