Kernel Panic 6.1.0-20 durch Crowdstrike Falcon-Sensor
- Snoopy
- Beiträge: 4297
- Registriert: 17.11.2003 18:26:56
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Rh.- Pflz.
Kernel Panic 6.1.0-20 durch Crowdstrike Falcon-Sensor
Hi,
dies ist nur eine vorab Info, mehr (noch) nicht.
Unser Alarmserver hat mich geweckt und mir Probleme gemeldet.
Wir haben ein VMWare VSphere Umfeld mit mehreren ESX Hosts.
Dort sind alle aktuellen Debian Server (Asset Mgm, Wiki, Icinga, NetCore) stehen geblieben - alle haben den aktuellsten Stable Kernel 6.1.0-20 aktiv.
Reboots brachten nichts, auch eine Migration auf andere Hosts brachte keine Hilfe.
Erst das Laden (im Grub) von Kernel 6.1.0-18 brachte die Server wieder hoch.
Ich habe nun heute Nacht nicht so wirklich noch den Willen genauer einzusteigen, die Kisten laufen ja nun erstmal wieder.
Den Rest dann in Ruhe, ggfs. auch erst am Montag...
dies ist nur eine vorab Info, mehr (noch) nicht.
Unser Alarmserver hat mich geweckt und mir Probleme gemeldet.
Wir haben ein VMWare VSphere Umfeld mit mehreren ESX Hosts.
Dort sind alle aktuellen Debian Server (Asset Mgm, Wiki, Icinga, NetCore) stehen geblieben - alle haben den aktuellsten Stable Kernel 6.1.0-20 aktiv.
Reboots brachten nichts, auch eine Migration auf andere Hosts brachte keine Hilfe.
Erst das Laden (im Grub) von Kernel 6.1.0-18 brachte die Server wieder hoch.
Ich habe nun heute Nacht nicht so wirklich noch den Willen genauer einzusteigen, die Kisten laufen ja nun erstmal wieder.
Den Rest dann in Ruhe, ggfs. auch erst am Montag...
Zuletzt geändert von Snoopy am 22.04.2024 14:54:24, insgesamt 1-mal geändert.
- Snoopy
- Beiträge: 4297
- Registriert: 17.11.2003 18:26:56
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Rh.- Pflz.
Re: Kernel Panic 6.1.0-20 auf ESX Servern
Hi,
es liegt nicht an der Virtualisierung, sondern am Falcon Sensor von Crowdstrike.
Das Problem haben mittlerweile auch andere erkannt, ein Update auf die neueste Version brachte Abhilfe.
Damit startet der Server wieder mit der neuesten Kernel Version.
Bei mir nur eine gewisse Zeit, dann knipst sich der Server erneut weg.
Ich suche mal weiter, ich gehe davon aus, dass er läuft bis Falcon irgendwas machen möchte...
es liegt nicht an der Virtualisierung, sondern am Falcon Sensor von Crowdstrike.
Das Problem haben mittlerweile auch andere erkannt, ein Update auf die neueste Version brachte Abhilfe.
Damit startet der Server wieder mit der neuesten Kernel Version.
Bei mir nur eine gewisse Zeit, dann knipst sich der Server erneut weg.
Ich suche mal weiter, ich gehe davon aus, dass er läuft bis Falcon irgendwas machen möchte...
Re: Kernel Panic 6.1.0-20 durch Crowdstrike Falcon-Sensor
Hi,
das Problem tritt bei uns auch auf und liegt scheinbar an Version 7.13.0.16604 des Falcon Client.
Wir haben die neueste Version 7.14.0.16703 installiert und das System startete einwandfrei mit Kernel 6.1.0.20.
Nach ein paar Minuten blieb es dennoch wieder hängen.
Wir haben dann festgestellt, dass der Falcon Client wieder auf Version 7.13.0.16604 war.
Es muss also sichergestellt werden, dass Seitens Crowdstrike der letzte Client Version 7.14.0.16703 installiert wird und nicht mehr Version 7.13.0.16604.
das Problem tritt bei uns auch auf und liegt scheinbar an Version 7.13.0.16604 des Falcon Client.
Wir haben die neueste Version 7.14.0.16703 installiert und das System startete einwandfrei mit Kernel 6.1.0.20.
Nach ein paar Minuten blieb es dennoch wieder hängen.
Wir haben dann festgestellt, dass der Falcon Client wieder auf Version 7.13.0.16604 war.
Es muss also sichergestellt werden, dass Seitens Crowdstrike der letzte Client Version 7.14.0.16703 installiert wird und nicht mehr Version 7.13.0.16604.
- Snoopy
- Beiträge: 4297
- Registriert: 17.11.2003 18:26:56
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Rh.- Pflz.
Re: Kernel Panic 6.1.0-20 durch Crowdstrike Falcon-Sensor
Hi,
bei uns ist genau daselbe Problem.
Der Falcon-Sensor macht den Downgrade nach Installation von 7.14 auf 7.13 und dann war's das.
P.S.: Willkommen im Forum!
bei uns ist genau daselbe Problem.
Der Falcon-Sensor macht den Downgrade nach Installation von 7.14 auf 7.13 und dann war's das.
P.S.: Willkommen im Forum!
Re: Kernel Panic 6.1.0-20 durch Crowdstrike Falcon-Sensor
wir haben von unserem Support die Nachricht bekommen, dass das Problem inzwischen Support-Artikel bei Crowdstrike hat (veröffentlicht am 24. April, Titel "Kernel Crash Will Occur for Linux Sensor Running in Kernel Mode on Hosts When Running on Debian 12 Kernel[...]")
"This issue is caused by a change in the kernel that CrowdStrike is currently investigating."
Betroffen seien die Kernel 6.1.0.20-amd64 und 6.1.0.20-cloud-amd64
Lösung: man soll das Backend von Kernel-Mode auf User-Mode umstellen. Entweder über
/opt/CrowdStrike/falconctl -s --backend=bpf
oder indem man in Grub den Kernel-Boot-Parameter "falcon_disable" mitgibt.
"This issue is caused by a change in the kernel that CrowdStrike is currently investigating."
Betroffen seien die Kernel 6.1.0.20-amd64 und 6.1.0.20-cloud-amd64
Lösung: man soll das Backend von Kernel-Mode auf User-Mode umstellen. Entweder über
/opt/CrowdStrike/falconctl -s --backend=bpf
oder indem man in Grub den Kernel-Boot-Parameter "falcon_disable" mitgibt.
- Snoopy
- Beiträge: 4297
- Registriert: 17.11.2003 18:26:56
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Rh.- Pflz.
Re: Kernel Panic 6.1.0-20 durch Crowdstrike Falcon-Sensor
Hi,
es kam ein neuer Kernel in den Stable-Zweig: linux-image-6.1.0-21-amd64
Auf dem Testsystem verträgt sich dieser Kernel nun wieder mit dem Kernel-Mode des Falcon-Sensors.
Ich werde mal vorsichtig den nächsten Server testen...
[Edit]
Wir haben nun einige Server aktualisiert, bisher läuft alles wieder wie gehabt, mit dem o. g. Kernel 6.1.0-21
es kam ein neuer Kernel in den Stable-Zweig: linux-image-6.1.0-21-amd64
Auf dem Testsystem verträgt sich dieser Kernel nun wieder mit dem Kernel-Mode des Falcon-Sensors.
Ich werde mal vorsichtig den nächsten Server testen...
Code: Alles auswählen
<root@s0580dummy001>: /root
# > /opt/CrowdStrike/falconctl -g --backend
backend=kernel.
<root@s0580dummy001>: /root
# > /opt/CrowdStrike/falconctl -g --version
version = 7.13.16604.0
<root@s0580dummy001>: /root
# > uname -a
Linux s0580dummy001 6.1.0-21-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.1.90-1 (2024-05-03) x86_64 GNU/Linux
Wir haben nun einige Server aktualisiert, bisher läuft alles wieder wie gehabt, mit dem o. g. Kernel 6.1.0-21
Re: Kernel Panic 6.1.0-20 durch Crowdstrike Falcon-Sensor
Gruß
slu
Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.
Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER
slu
Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.
Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER
Re: Kernel Panic 6.1.0-20 durch Crowdstrike Falcon-Sensor
Und als Gegenbeispiel kann man ja mal die deutsche Flugsicherung erwähnen.
https://www.wallstreet-online.de/nachri ... -betroffen
https://www.suse.com/de-de/success/deut ... sicherung/
Re: Kernel Panic 6.1.0-20 durch Crowdstrike Falcon-Sensor
Sehr schön, danke für den Link.
Gruß
slu
Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.
Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER
slu
Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.
Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER