[Braindead777]

Hallo Forum,

ich habe mal ein paar Fragen und bin gespannt, ob hier irgendwer Lösungsvorschläge hat.

Unser Mailserver wird seit einigen Tagen in regelmäßigen Abständen durch eine Null Pointer Exception/Pufferüberlauf abgeschossen = Server friert ein, kein Konsolenzugriff mehr möglich, Kaltstart erforderlich.

Ein weitergehender Angriff (Rootkits o.ä.) erfolgte nicht.

Meine bisherigen Versuche der Isolierung schlugen fehl, zumal ich in den Logs nichts Aussagekräftiges finden kann. Letztendlich stellte nur das Blocken verschiedener IP-Bereiche (China, Südamerika, Ostblock) die notwendige Stabilität wieder her.

Da es natürlich nicht ganz Sinn der Sache sein kann die Hälfte des Internet auszusperren (wenngleich nur wenig geistreiches von dort kommt, zugegeben ), bin ich nun auf der Suche nach tatsächlichen Lösungen.

Ich bin schon zig mir bekannte Seiten in punkto Exploits usw. durchgegangen, habe jedoch nichts finden können, was in dem Fall zutreffen könnte. Ideen?

Hat jemand Erfahrung mit grsecurity, LIDS, systrace oder ähnlichen Patches? Inwieweit ist es möglich, durch diese o.g. Probleme zu beseitigen?

System:
CentOS 4.5, aktueller Patchlevel
kernel.2.6.9-55.0.2
sendmail.8.13.1-3.2
tripwire, rkhunter, chkrootkit vorhanden, keine Anomalien

Besten Dank für die Aufmerksamkeit.

Zitat:

Zitat von Braindead777 

sendmail.8.13.1-3.2

sendmail 8.13.1 ist aber auch nicht gerade das aktuelleste. Lies mal
http://www.sendmail.org/ftp/RELEASE_NOTES
schau nach, wie oft dort seit Version 8.13.1 ein "crash" Bug gefixt wurde. Eventuell trifft ja einer davon auf dich zu.

Ansonsten gibts natürlich noch die Standardfrage: RAM fehlerfrei?

[vmk]

Zitat:

Zitat von Braindead777 

sendmail.8.13.1-3.2

Diese Version ist 3 Jahre alt. Ausserdem benutzt man sendmail schon seit Jahren nicht mehr, weil es besserer Software gibt. Dies war auch schon 2004 der Fall.

Wieso dein Server einfriert kann ich dir nicht sagen, ein Userspace-Programm ohne Kernel-Zugriff wie sendmail ist aber ein sehr unwahrscheinlicher Kandidat dafür. Ausser euer Sendmail ist durch Exploits/etc angreifbar und läuft es root. Dann könnte jemand versuchen euch ein root-Kit/etc unterzuschieben.
Ebenso ist euer Kernel relativ alt und dürfte viele Lücken aufweisen, mit denen man euer System zum Stillstand bringen könnte. Vernünftige Firewall läuft vor dem Server?

[Braindead777]

Hallo,

erst einmal besten Dank für die Antworten.

Nun ja, was die Aktualität anbelangt: Es ist der aktuelle RHEL4-Stand, insofern gehe ich davon aus, dass es "eigentlich" in Ordnung sein sollte. Da ich ungerne Fremdpakete einsetze, welche nicht dem Distributionsstand entsprechen, kommt sowas auch nur in wirklichen Ausnahmefällen vor - der administrative Aufwand wäre schlicht zu groß.

Kurz zur Firewall:
Es sitzt eine Pix515E davor, der Server selbst ist nochmal mit iptables ausgestattet und entsprechend konfiguriert. Ein IDS läuft nicht, da keine Maschine mehr frei ist

Bzgl. RAM:
memtest ergab keine Fehler des Speicher, so dass ich auch hier der Ansicht bin, dass er in Ordnung sein sollte. Außerdem ECC, fehlerhafter Speicher wird erfahrungsgemäß schlichtweg nicht mehr angesprochen. Im Zweifelsfall CPU? Don't know ...

Sendmail:
Über das Für und Wider kann man sicherlich streiten. Ich arbeite seit etlichen Jahren damit, fühle mich dort "zu Hause" und hatte - bis jetzt - noch nie Probleme, obgleich schon so manches versucht wurde.


Tja ... so langsam bekomme ich die Krise: Ist man mal kurz für einen Kaffee weg und hat die Geschichte nicht mehr vor Augen: Abschuss.
Wenn das so weitergeht, dürfte mir ein interessantes Wochenende bevorstehen *grmpf*

[vmk]

Zitat:

Zitat von Braindead777 

Wenn das so weitergeht, dürfte mir ein interessantes Wochenende bevorstehen *grmpf*

Und wie war es bisher?

[trojan]

würd auf jedenfall erstmal sendmail auf latest updaten

[sirnnx]

Ich setze 3€ auf defekten Prozessor

Ansonsten mal eine Weile vom Netz nehmen - tritt der Fehler dann denoch auf, wars wohl kein Angriff.

NNX

[Braindead777]

@ vmk

Wie es war? Schlaflos

Da mir das ganze Theater zu blöde ist, wird jetzt eine neue Maschine geordert.
Auf die kommt dann FreeBSD, so dass erstmal grundsätzlich die blödsinnigen Pufferüberläufe eingeschränkt sind (verstehe eh nicht, weswegen bei den anderen Distributionen nicht auch standardisiert entsprechend gepatcht wird, aber egal).
Außerdem kann ich nur durch einen Tausch der Maschine mögl. Hardware-Defekte ausschließen, die evtl. über RAM/CPU hinausgehen.

Man, wie ich solche Tage hasse

Aber immerhin: So komme ich endlich mal dazu, mir 'nen leckeren Honigtopf zu basteln, denn das wird die alte Maschine werden (sofern die eine Woche lang stabil läuft).


@ trojan
Grundsätzlich hast Du recht, ebenso wie arkelanfall und vmk, die mir das auch schon ans Herz gelegt haben.
Aus o.g. Erwägungen werde ich dies jedoch nicht mehr machen. Ich konzentriere mich jetzt auf die neue Maschine, damit die umgehend in Betrieb gehen kann. Wenn ich bis dahin noch 4 Neustarts durchführen muss, soll dem wohl so sein, auch wenn es nervt. Außerdem muss ich die alte Kiste ohnehin erstmal gründlich analysieren, um evtl. einem erfolgreichen Einbruch auf die Schliche zu kommen - ausschließen kann und will ich den zwischenzeitlich nicht mehr.


Nun denn, mal schauen was die Zukunft bringt.
Euch auf jeden Fall vielen Dank!