Kernel Panic 6.1.0-20 durch Crowdstrike Falcon-Sensor

Welches Modul/Treiber für welche Hardware, Kernel compilieren...
Antworten
Benutzeravatar
Snoopy
Beiträge: 4297
Registriert: 17.11.2003 18:26:56
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Rh.- Pflz.

Kernel Panic 6.1.0-20 durch Crowdstrike Falcon-Sensor

Beitrag von Snoopy » 20.04.2024 02:33:20

Hi,

dies ist nur eine vorab Info, mehr (noch) nicht.

Unser Alarmserver hat mich geweckt und mir Probleme gemeldet.
Wir haben ein VMWare VSphere Umfeld mit mehreren ESX Hosts.
Dort sind alle aktuellen Debian Server (Asset Mgm, Wiki, Icinga, NetCore) stehen geblieben - alle haben den aktuellsten Stable Kernel 6.1.0-20 aktiv.

Reboots brachten nichts, auch eine Migration auf andere Hosts brachte keine Hilfe.

Erst das Laden (im Grub) von Kernel 6.1.0-18 brachte die Server wieder hoch.

Ich habe nun heute Nacht nicht so wirklich noch den Willen genauer einzusteigen, die Kisten laufen ja nun erstmal wieder.
Den Rest dann in Ruhe, ggfs. auch erst am Montag...
Zuletzt geändert von Snoopy am 22.04.2024 14:54:24, insgesamt 1-mal geändert.

Benutzeravatar
Snoopy
Beiträge: 4297
Registriert: 17.11.2003 18:26:56
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Rh.- Pflz.

Re: Kernel Panic 6.1.0-20 auf ESX Servern

Beitrag von Snoopy » 22.04.2024 10:44:40

Hi,

es liegt nicht an der Virtualisierung, sondern am Falcon Sensor von Crowdstrike.
Das Problem haben mittlerweile auch andere erkannt, ein Update auf die neueste Version brachte Abhilfe.
Damit startet der Server wieder mit der neuesten Kernel Version.

Bei mir nur eine gewisse Zeit, dann knipst sich der Server erneut weg.
Ich suche mal weiter, ich gehe davon aus, dass er läuft bis Falcon irgendwas machen möchte...

stolf
Beiträge: 1
Registriert: 23.04.2024 10:03:27

Re: Kernel Panic 6.1.0-20 durch Crowdstrike Falcon-Sensor

Beitrag von stolf » 23.04.2024 10:26:18

Hi,
das Problem tritt bei uns auch auf und liegt scheinbar an Version 7.13.0.16604 des Falcon Client.
Wir haben die neueste Version 7.14.0.16703 installiert und das System startete einwandfrei mit Kernel 6.1.0.20.
Nach ein paar Minuten blieb es dennoch wieder hängen.
Wir haben dann festgestellt, dass der Falcon Client wieder auf Version 7.13.0.16604 war.

Es muss also sichergestellt werden, dass Seitens Crowdstrike der letzte Client Version 7.14.0.16703 installiert wird und nicht mehr Version 7.13.0.16604.

Benutzeravatar
Snoopy
Beiträge: 4297
Registriert: 17.11.2003 18:26:56
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Rh.- Pflz.

Re: Kernel Panic 6.1.0-20 durch Crowdstrike Falcon-Sensor

Beitrag von Snoopy » 24.04.2024 14:27:44

Hi,

bei uns ist genau daselbe Problem.
Der Falcon-Sensor macht den Downgrade nach Installation von 7.14 auf 7.13 und dann war's das.

P.S.: Willkommen im Forum!

gpburth
Beiträge: 1
Registriert: 25.04.2024 14:07:59

Re: Kernel Panic 6.1.0-20 durch Crowdstrike Falcon-Sensor

Beitrag von gpburth » 26.04.2024 12:34:20

wir haben von unserem Support die Nachricht bekommen, dass das Problem inzwischen Support-Artikel bei Crowdstrike hat (veröffentlicht am 24. April, Titel "Kernel Crash Will Occur for Linux Sensor Running in Kernel Mode on Hosts When Running on Debian 12 Kernel[...]")

"This issue is caused by a change in the kernel that CrowdStrike is currently investigating."

Betroffen seien die Kernel 6.1.0.20-amd64 und 6.1.0.20-cloud-amd64

Lösung: man soll das Backend von Kernel-Mode auf User-Mode umstellen. Entweder über
/opt/CrowdStrike/falconctl -s --backend=bpf
oder indem man in Grub den Kernel-Boot-Parameter "falcon_disable" mitgibt.

Benutzeravatar
Snoopy
Beiträge: 4297
Registriert: 17.11.2003 18:26:56
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Rh.- Pflz.

Re: Kernel Panic 6.1.0-20 durch Crowdstrike Falcon-Sensor

Beitrag von Snoopy » 07.05.2024 08:44:12

Hi,

es kam ein neuer Kernel in den Stable-Zweig: linux-image-6.1.0-21-amd64

Auf dem Testsystem verträgt sich dieser Kernel nun wieder mit dem Kernel-Mode des Falcon-Sensors.
Ich werde mal vorsichtig den nächsten Server testen...

Code: Alles auswählen

<root@s0580dummy001>: /root
# > /opt/CrowdStrike/falconctl -g --backend
backend=kernel.

<root@s0580dummy001>: /root
# > /opt/CrowdStrike/falconctl -g --version
version = 7.13.16604.0

<root@s0580dummy001>: /root
# > uname -a
Linux s0580dummy001 6.1.0-21-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.1.90-1 (2024-05-03) x86_64 GNU/Linux
[Edit]
Wir haben nun einige Server aktualisiert, bisher läuft alles wieder wie gehabt, mit dem o. g. Kernel 6.1.0-21

slu
Beiträge: 2234
Registriert: 23.02.2005 23:58:47

Re: Kernel Panic 6.1.0-20 durch Crowdstrike Falcon-Sensor

Beitrag von slu » 20.07.2024 16:31:48

Gruß
slu

Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.

Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER

Chameleon
Beiträge: 519
Registriert: 15.07.2023 11:11:28

Re: Kernel Panic 6.1.0-20 durch Crowdstrike Falcon-Sensor

Beitrag von Chameleon » 23.07.2024 08:43:48

slu hat geschrieben: ↑ zum Beitrag ↑
20.07.2024 16:31:48
https://www.heise.de/news/Weltweiter-IT ... 06343.html
Und als Gegenbeispiel kann man ja mal die deutsche Flugsicherung erwähnen. ;)

https://www.wallstreet-online.de/nachri ... -betroffen

https://www.suse.com/de-de/success/deut ... sicherung/

slu
Beiträge: 2234
Registriert: 23.02.2005 23:58:47

Re: Kernel Panic 6.1.0-20 durch Crowdstrike Falcon-Sensor

Beitrag von slu » 23.07.2024 11:03:49

Sehr schön, danke für den Link.
Gruß
slu

Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.

Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER

Antworten