OVH Community, votre nouvel espace communautaire.

serveur planté 2 fois en 24h


libralinux
21/07/2016, 09h55
oui, vous utilisez bien la version du kernel OVH.
Pour ce qui est de l'investigation et trouver une exploitation, généralement plusieurs opérations sont nécessaires :
- chercher les fichiers du système ou des DocRoot web modifiés récemment (il y a moins de X jours)
- chercher des choses étranges dans les DocRoots web qui ressemble a de l'injection, par exemple avec un :
# find . -type f -name "*.php" | xargs grep -iRlE "[a-zA-Z0-9\+]{300,1000}"
pour chercher les "gros blocs" de code consécutifs et qui parfois sont des injections, parfois des faux positifs.
- idem au point ci-dessus et identifier les fichiers faisant appel a la fonction base64_decode
Eliminer biensur les faux positifs, il y en aura sûrement.
- Sinon, dans les logs, il faut généralement chercher les requêtes POST ce qui nous met parfois sur la piste et les analyser finement.

Autre point, chercher dans la file d'attente de postfix ou autre, s il reste des mails dans la file d'attente non envoyés encore et regarder dans les en-têtes du mail. Généralement dans ces dernière vous retrouverez le fichiers origine PHP qui a déclencher cet envoi.

Face à un hack, il n y a pas de solution unique et qui marche à tous les coup. Ce peut être une injection dans la bdd auquel cas, aucune des 2.
Si tout ce que j'ai dis plus haut vous semble hors de portée techniquement, il vaut mieux vous faire aider.

kmchen
20/07/2016, 23h30
Merci.

Je ne connais pas la version du kernel proposée par ovh mais il est possible que j'aie fait un upgrade depuis la première install.

root@ns1:~# uname -r
3.10.23-xxxx-std-ipv6-64

Que suggérez vous comme piste pour observer les logs ?

- - - Mise à jour - - -

Merci.

Je ne connais pas la version du kernel proposée par ovh mais il est possible que j'aie fait un upgrade depuis la première install.

root@ns1:~# uname -r
3.10.23-xxxx-std-ipv6-64

Que suggérez vous comme piste pour observer les logs ?

libralinux
20/07/2016, 18h35
c est la résolution DNS en IPv6 qui ne semble pas fonctionner. Mais comme dit TBC_Lyon ca n'a rien de grave et n'est sûrement pas à l'origine des plantages de votre serveur. Il faut regarder de plus près les logs du kernel. Quelle version de kernel linux utilisez vous ? celui d'OVH avec le grsec ou celui du distributeur ?

kmchen
19/07/2016, 10h28
Merci pour vos réponses. J'ai logwatch installé. Il ne remonte aucun message concernant named.Pourquoi ces messages de bind ?

fritz2cat
19/07/2016, 08h13
Installer logwatch, par exemple ?

kmchen
19/07/2016, 00h09
Certes mais elles brouillent les logs et des pb plus graves pourraient passer inaperçues. Comment régler ça ?

TBC_Ly0n
18/07/2016, 20h50
Les erreurs named sont bénignes.

kmchen
18/07/2016, 07h54
Pas d'erreur détectée par nslookup pour la conf DNS. Qu'est-ce qui pourrait causer ces erreurs ? CE ne sont jamais les mêmes. Voici la dernière salve:
Jul 18 08:41:24 ns1 named[3356]: error (host unreachable) resolving 'buysocial.cn/NS/IN': 2001:bc8:3999::10#53
Jul 18 08:41:24 ns1 named[3356]: error (host unreachable) resolving 'buysocial.cn/NS/IN': 2607:5300:100::260#53
Jul 18 08:41:24 ns1 named[3356]: error (host unreachable) resolving 'www.buysocial.cn/A/IN': 2607:5300:100::260#53
Jul 18 08:41:24 ns1 named[3356]: error (host unreachable) resolving 'www.buysocial.cn/A/IN': 2607:f7a0:3:2::8918:2760#53
Jul 18 08:41:24 ns1 named[3356]: error (host unreachable) resolving 'www.buysocial.cn/A/IN': 2001:41d0:52:d00::69#53
Jul 18 08:41:24 ns1 named[3356]: error (host unreachable) resolving 'www.buysocial.cn/A/IN': 2001:bc8:3999::10#53
Jul 18 08:41:24 ns1 named[3356]: error (host unreachable) resolving 'dns-eu1.powerdns.net/A/IN': 2607:5300:100::260#53
Jul 18 08:41:24 ns1 named[3356]: error (host unreachable) resolving 'dns-eu1.powerdns.net/A/IN': 2607:f7a0:3:2::8918:2760#53
Jul 18 08:41:24 ns1 named[3356]: error (host unreachable) resolving 'dns-eu2.powerdns.net/A/IN': 2001:41d0:52:d00::69#53
Jul 18 08:41:24 ns1 named[3356]: error (host unreachable) resolving 'dns-eu2.powerdns.net/A/IN': 2001:bc8:3999::10#53
Jul 18 08:41:24 ns1 named[3356]: error (host unreachable) resolving 'dns-us1.powerdns.net/A/IN': 2001:bc8:3999::10#53
Jul 18 08:41:24 ns1 named[3356]: error (host unreachable) resolving 'dns-us1.powerdns.net/A/IN': 2607:5300:100::260#53
Jul 18 08:41:24 ns1 named[3356]: error (host unreachable) resolving 'dns-us2.powerdns.net/A/IN': 2607:5300:100::260#53
Jul 18 08:41:24 ns1 named[3356]: error (host unreachable) resolving 'dns-us2.powerdns.net/A/IN': 2607:f7a0:3:2::8918:2760#53
Jul 18 08:41:24 ns1 named[3356]: error (host unreachable) resolving 'dns-eu1.powerdns.net/A/IN': 2001:41d0:52:d00::69#53
Jul 18 08:41:24 ns1 named[3356]: error (host unreachable) resolving 'buysocial.cn/NS/IN': 2607:f7a0:3:2::8918:2760#53
Jul 18 08:41:24 ns1 named[3356]: error (host unreachable) resolving 'dns-eu1.powerdns.net/A/IN': 2001:bc8:3999::10#53
Jul 18 08:41:24 ns1 named[3356]: error (host unreachable) resolving 'buysocial.cn/NS/IN': 2001:41d0:52:d00::69#53
Jul 18 08:41:24 ns1 named[3356]: error (host unreachable) resolving 'dns-eu2.powerdns.net/A/IN': 2607:5300:100::260#53

- - - Mise à jour - - -

Pas d'erreur détectée par nslookup pour la conf DNS. Qu'est-ce qui pourrait causer ces erreurs ? CE ne sont jamais les mêmes. Voici la dernière salve:
Jul 18 08:41:24 ns1 named[3356]: error (host unreachable) resolving 'buysocial.cn/NS/IN': 2001:bc8:3999::10#53
Jul 18 08:41:24 ns1 named[3356]: error (host unreachable) resolving 'buysocial.cn/NS/IN': 2607:5300:100::260#53
Jul 18 08:41:24 ns1 named[3356]: error (host unreachable) resolving 'www.buysocial.cn/A/IN': 2607:5300:100::260#53
Jul 18 08:41:24 ns1 named[3356]: error (host unreachable) resolving 'www.buysocial.cn/A/IN': 2607:f7a0:3:2::8918:2760#53
Jul 18 08:41:24 ns1 named[3356]: error (host unreachable) resolving 'www.buysocial.cn/A/IN': 2001:41d0:52:d00::69#53
Jul 18 08:41:24 ns1 named[3356]: error (host unreachable) resolving 'www.buysocial.cn/A/IN': 2001:bc8:3999::10#53
Jul 18 08:41:24 ns1 named[3356]: error (host unreachable) resolving 'dns-eu1.powerdns.net/A/IN': 2607:5300:100::260#53
Jul 18 08:41:24 ns1 named[3356]: error (host unreachable) resolving 'dns-eu1.powerdns.net/A/IN': 2607:f7a0:3:2::8918:2760#53
Jul 18 08:41:24 ns1 named[3356]: error (host unreachable) resolving 'dns-eu2.powerdns.net/A/IN': 2001:41d0:52:d00::69#53
Jul 18 08:41:24 ns1 named[3356]: error (host unreachable) resolving 'dns-eu2.powerdns.net/A/IN': 2001:bc8:3999::10#53
Jul 18 08:41:24 ns1 named[3356]: error (host unreachable) resolving 'dns-us1.powerdns.net/A/IN': 2001:bc8:3999::10#53
Jul 18 08:41:24 ns1 named[3356]: error (host unreachable) resolving 'dns-us1.powerdns.net/A/IN': 2607:5300:100::260#53
Jul 18 08:41:24 ns1 named[3356]: error (host unreachable) resolving 'dns-us2.powerdns.net/A/IN': 2607:5300:100::260#53
Jul 18 08:41:24 ns1 named[3356]: error (host unreachable) resolving 'dns-us2.powerdns.net/A/IN': 2607:f7a0:3:2::8918:2760#53
Jul 18 08:41:24 ns1 named[3356]: error (host unreachable) resolving 'dns-eu1.powerdns.net/A/IN': 2001:41d0:52:d00::69#53
Jul 18 08:41:24 ns1 named[3356]: error (host unreachable) resolving 'buysocial.cn/NS/IN': 2607:f7a0:3:2::8918:2760#53
Jul 18 08:41:24 ns1 named[3356]: error (host unreachable) resolving 'dns-eu1.powerdns.net/A/IN': 2001:bc8:3999::10#53
Jul 18 08:41:24 ns1 named[3356]: error (host unreachable) resolving 'buysocial.cn/NS/IN': 2001:41d0:52:d00::69#53
Jul 18 08:41:24 ns1 named[3356]: error (host unreachable) resolving 'dns-eu2.powerdns.net/A/IN': 2607:5300:100::260#53

lxwfr
16/07/2016, 01h32
bj, la 1er c'est ta config de bind faut peut-être vérifier, le 2 pas sur (conso Cpu)

kmchen
14/07/2016, 18h47
Bonjour

Je vois de nombreux messages d'erreur dans les logs d'un serveur du type:



Un serveur Debian8 tourne depuis un moment sans pb mais il a planté 2 fois en 24h. J'ai fait des tests hardware en mode rescue mais rien détecté d'anormal.
Dans les logs je trouve quelques logs suspects:
...
Jul 14 19:13:22 ns1 named[3356]: error (host unreachable) resolving '81.156.167.113.in-addr.arpa/PTR/IN': 2001:500:13::c7d4:35#53
Jul 14 19:13:23 ns1 named[3356]: error (host unreachable) resolving '167.113.in-addr.arpa/DS/IN': 2001:43f8:110::10#53
Jul 14 19:13:23 ns1 named[3356]: error (host unreachable) resolving '167.113.in-addr.arpa/DS/IN': 2001:67c:e0::9#53
...
ou
...
Jul 13 14:43:01 ns1 kernel: BUG: unable to handle kernel NULL pointer dereference at 000000000000009d
...
Jul 13 14:44:01 ns1 kernel: INFO: rcu_sched self-detected stall on CPU { 0} (t=15000 jiffies g=1030327 c=1030326 q=4113)
Merci d'avance pour vos suggesstions