Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Problem z apache2 i grsec
10 views
Skip to first unread message
jacki
May 10, 2013, 4:27:35 AM5/10/13
to
Hej,
Od kilku dni mam pewien problem, w logach pojawia siďż˝ coďż˝ takiego:
May 10 07:12:18 x kernel: [11163676.048754] ps[27128]: segfault at
40ed04 ip 00000000004059d2 sp 000070cd14ae1df8 error 7 in ps
(deleted)[400000+2b000]
May 10 07:12:18 x kernel: [11163676.048865] grsec: bruteforce prevention
initiated against uid 33, banning for 15 minutes
uid 33 to www-data
Po tym apache2 umiera i trzeba go zrestartowa�. Nie mam poj�cia gdzie
zacz�� szuka� rozwi�zania.
# dpkg -l|grep apache|awk '{print $2" "$3}'
apache2 2.2.16-6+squeeze11
apache2-doc 2.2.22-13
apache2-mpm-prefork 2.2.16-6+squeeze11
apache2-prefork-dev 2.2.16-6+squeeze11
apache2-suexec 2.2.22-13
apache2-utils 2.2.16-6+squeeze11
apache2.2-bin 2.2.16-6+squeeze11
apache2.2-common 2.2.16-6+squeeze11
libapache2-mod-evasive 1.10.1-1
libapache2-mod-perl2 2.0.4-7+squeeze1
libapache2-mod-php5 5.3.3-7+squeeze15
libapache2-mod-suphp 0.7.1-3
libapache2-mod-wsgi 3.3-2
libapache2-reload-perl 0.12-1
# dpkg -l|grep php|awk '{print $2" "$3}'
libapache2-mod-php5 5.3.3-7+squeeze15
libapache2-mod-suphp 0.7.1-3
php-pear 5.3.3-7+squeeze15
php5-cgi 5.3.3-7+squeeze15
php5-cli 5.3.3-7+squeeze15
php5-common 5.3.3-7+squeeze15
php5-curl 5.3.3-7+squeeze15
php5-dev 5.3.3-7+squeeze15
php5-gd 5.3.3-7+squeeze15
php5-mcrypt 5.3.3-7+squeeze15
php5-mysql 5.3.3-7+squeeze15
php5-sqlite 5.3.3-7+squeeze15
php5-suhosin 0.9.32.1-1
phpmyadmin 4:3.4.11.1-2
suphp-common 0.7.1-3
/var/log/apache2# cat *.access.log|grep -e "07:12:17"
83.5.24.164 - - [10/May/2013:07:12:17 +0200] "GET /favicon.ico HTTP/1.1"
404 511
/var/log/apache2# cat *.access.log|grep -e "07:12:18"
/var/log/apache2# cat *.error.log|grep -e "07:12:17"
[Fri May 10 07:12:17 2013] [error] [client 83.5.24.164] File does not
exist: /home/dhn/public_html/favicon.ico
/var/log/apache2# cat *.error.log|grep -e "07:12:18"
Ma kto� jaki� pomys� c� to mo�e si� dzia�?
PS. post zamieszczony teďż˝ na pl.comp.os.linux.debian
Od kilku dni mam pewien problem, w logach pojawia siďż˝ coďż˝ takiego:
May 10 07:12:18 x kernel: [11163676.048754] ps[27128]: segfault at
40ed04 ip 00000000004059d2 sp 000070cd14ae1df8 error 7 in ps
(deleted)[400000+2b000]
May 10 07:12:18 x kernel: [11163676.048865] grsec: bruteforce prevention
initiated against uid 33, banning for 15 minutes
uid 33 to www-data
Po tym apache2 umiera i trzeba go zrestartowa�. Nie mam poj�cia gdzie
zacz�� szuka� rozwi�zania.
# dpkg -l|grep apache|awk '{print $2" "$3}'
apache2 2.2.16-6+squeeze11
apache2-doc 2.2.22-13
apache2-mpm-prefork 2.2.16-6+squeeze11
apache2-prefork-dev 2.2.16-6+squeeze11
apache2-suexec 2.2.22-13
apache2-utils 2.2.16-6+squeeze11
apache2.2-bin 2.2.16-6+squeeze11
apache2.2-common 2.2.16-6+squeeze11
libapache2-mod-evasive 1.10.1-1
libapache2-mod-perl2 2.0.4-7+squeeze1
libapache2-mod-php5 5.3.3-7+squeeze15
libapache2-mod-suphp 0.7.1-3
libapache2-mod-wsgi 3.3-2
libapache2-reload-perl 0.12-1
# dpkg -l|grep php|awk '{print $2" "$3}'
libapache2-mod-php5 5.3.3-7+squeeze15
libapache2-mod-suphp 0.7.1-3
php-pear 5.3.3-7+squeeze15
php5-cgi 5.3.3-7+squeeze15
php5-cli 5.3.3-7+squeeze15
php5-common 5.3.3-7+squeeze15
php5-curl 5.3.3-7+squeeze15
php5-dev 5.3.3-7+squeeze15
php5-gd 5.3.3-7+squeeze15
php5-mcrypt 5.3.3-7+squeeze15
php5-mysql 5.3.3-7+squeeze15
php5-sqlite 5.3.3-7+squeeze15
php5-suhosin 0.9.32.1-1
phpmyadmin 4:3.4.11.1-2
suphp-common 0.7.1-3
/var/log/apache2# cat *.access.log|grep -e "07:12:17"
83.5.24.164 - - [10/May/2013:07:12:17 +0200] "GET /favicon.ico HTTP/1.1"
404 511
/var/log/apache2# cat *.access.log|grep -e "07:12:18"
/var/log/apache2# cat *.error.log|grep -e "07:12:17"
[Fri May 10 07:12:17 2013] [error] [client 83.5.24.164] File does not
exist: /home/dhn/public_html/favicon.ico
/var/log/apache2# cat *.error.log|grep -e "07:12:18"
Ma kto� jaki� pomys� c� to mo�e si� dzia�?
PS. post zamieszczony teďż˝ na pl.comp.os.linux.debian
WOJO
May 10, 2013, 4:44:30 AM5/10/13
to
Po tym apache2 umiera i trzeba go zrestartowa�. Nie mam poj�cia gdzie
zacz�� szuka� rozwi�zania.
Na stronach:
zacz�� szuka� rozwi�zania.
http://php.net/
http://httpd.apache.org/
I do kompletu nie zapomnij o:
http://www.phpmyadmin.net/home_page/index.php
php - 5.3.25
apache - 2.2.24
phpmyadmin - 4.0.0
Pozdrawiam.
WOJO
jacki
May 10, 2013, 5:34:55 AM5/10/13
to
W dniu 2013-05-10 10:44, WOJO pisze:
�wietnie, ale nie zauwa�y�e� chyba, �e paczki debianowe mam w najwy�szej
wersji ze squeeze, kt�ra jest wersj� stabiln� i nie powinny one posiada�
tego typu bug�w. Poza tym debian w wersji 7, kt�ra wysz�a jako� na
dniach nie posiada paczek w wersjach, kt�re przytoczy�e�.
Najnowszy!=najlepszy(najbardziej stabilny)
Mnie najbardziej interesuje to:
namierzyďż˝ na co konkretnie.
wersji ze squeeze, kt�ra jest wersj� stabiln� i nie powinny one posiada�
tego typu bug�w. Poza tym debian w wersji 7, kt�ra wysz�a jako� na
dniach nie posiada paczek w wersjach, kt�re przytoczy�e�.
Najnowszy!=najlepszy(najbardziej stabilny)
Mnie najbardziej interesuje to:
grsec: bruteforce prevention initiated against uid 33
Podejrzewam, �e to jest jaki� atak na serwer apache, ale nie wiem jak
namierzyďż˝ na co konkretnie.
Stachu 'Dozzie' K.
May 10, 2013, 6:41:22 AM5/10/13
to
On 2013-05-10, jacki <coll...@idealan.pl> wrote:
[...]
> Świetnie, ale nie zauważyłeś chyba, że paczki debianowe mam w najwyższej
> wersji ze squeeze, która jest wersją stabilną
Już nie. Teraz już jest oldstable.
http://www.debian.org/News/2013/20130504
--
Secunia non olet.
Stanislaw Klekot
[...]
> Świetnie, ale nie zauważyłeś chyba, że paczki debianowe mam w najwyższej
> wersji ze squeeze, która jest wersją stabilną
Już nie. Teraz już jest oldstable.
http://www.debian.org/News/2013/20130504
--
Secunia non olet.
Stanislaw Klekot
jacki
May 10, 2013, 6:46:31 AM5/10/13
to
W dniu 2013-05-10 12:41, Stachu 'Dozzie' K. pisze:
> http://www.debian.org/News/2013/20130504
>
Tak ja wiem, ale mimo wszystko chyba mo�na m�wi� o niej jako o wersji
stabilnej.
>> �wietnie, ale nie zauwa�y�e� chyba, �e paczki debianowe mam w najwy�szej
>> wersji ze squeeze, kt�ra jest wersj� stabiln�
>
> Juďż˝ nie. Teraz juďż˝ jest oldstable.
>> wersji ze squeeze, kt�ra jest wersj� stabiln�
>
> http://www.debian.org/News/2013/20130504
>
Tak ja wiem, ale mimo wszystko chyba mo�na m�wi� o niej jako o wersji
stabilnej.
Stachu 'Dozzie' K.
May 10, 2013, 8:13:00 AM5/10/13
to
On 2013-05-10, jacki <coll...@idealan.pl> wrote:
> W dniu 2013-05-10 12:41, Stachu 'Dozzie' K. pisze:
>> On 2013-05-10, jacki <coll...@idealan.pl> wrote:
>> [...]
>>> �wietnie, ale nie zauwa�y�e� chyba, �e paczki debianowe mam w najwy�szej
>>> wersji ze squeeze, kt�ra jest wersj� stabiln�
>>
>> Juďż˝ nie. Teraz juďż˝ jest oldstable.
>> http://www.debian.org/News/2013/20130504
>>
>
> Tak ja wiem, ale mimo wszystko chyba mo�na m�wi� o niej jako o wersji
> stabilnej.
P�ki m�wimy o Debianie, to nie mo�na -- ze wzgl�du na niejednoznaczno��
> W dniu 2013-05-10 12:41, Stachu 'Dozzie' K. pisze:
>> On 2013-05-10, jacki <coll...@idealan.pl> wrote:
>> [...]
>>> �wietnie, ale nie zauwa�y�e� chyba, �e paczki debianowe mam w najwy�szej
>>> wersji ze squeeze, kt�ra jest wersj� stabiln�
>>
>> Juďż˝ nie. Teraz juďż˝ jest oldstable.
>> http://www.debian.org/News/2013/20130504
>>
>
> Tak ja wiem, ale mimo wszystko chyba mo�na m�wi� o niej jako o wersji
> stabilnej.
znaczenia s�owa "stable" (etap w cyklu �ycia wersji kontra
(subiektywna?) ocena jako�ci).
jacki
May 10, 2013, 8:34:09 AM5/10/13
to
W dniu 2013-05-10 14:13, Stachu 'Dozzie' K. pisze:
Co do problemu, masz mo�e pomys� w jaki spos�b wykry� atakuj�cego?
Dokumentacja do grsec m�wi, �e:
CONFIG_GRKERNSEC_BRUTE
If you say Y here, attempts to bruteforce exploits against forking
daemons such as apache or sshd, as well as against suid/sgid binaries
will be deterred. When a child of a forking daemon is killed by PaX or
crashed due to an illegal instruction or other suspicious signal, the
parent process will be delayed 30 seconds upon every subsequent fork
until the administrator is able to assess the situation and restart the
daemon.
In the suid/sgid case, the attempt is logged, the user has all their
processes terminated, and they are prevented from executing any further
processes for 15 minutes.
Zatem mam tu "suid/sgid case" ale nie wiem co z tym mogďż˝ zrobiďż˝
>>>> �wietnie, ale nie zauwa�y�e� chyba, �e paczki debianowe mam w najwy�szej
>>>> wersji ze squeeze, kt�ra jest wersj� stabiln�
>>>
>>> Juďż˝ nie. Teraz juďż˝ jest oldstable.
>>> http://www.debian.org/News/2013/20130504
>>>
>>
>> Tak ja wiem, ale mimo wszystko chyba mo�na m�wi� o niej jako o wersji
>> stabilnej.
>
> P�ki m�wimy o Debianie, to nie mo�na -- ze wzgl�du na niejednoznaczno��
> znaczenia s�owa "stable" (etap w cyklu �ycia wersji kontra
> (subiektywna?) ocena jako�ci).
>
Ok, wiedzia�em, �e si� przyczepisz ;)
>>>> wersji ze squeeze, kt�ra jest wersj� stabiln�
>>>
>>> Juďż˝ nie. Teraz juďż˝ jest oldstable.
>>> http://www.debian.org/News/2013/20130504
>>>
>>
>> Tak ja wiem, ale mimo wszystko chyba mo�na m�wi� o niej jako o wersji
>> stabilnej.
>
> P�ki m�wimy o Debianie, to nie mo�na -- ze wzgl�du na niejednoznaczno��
> znaczenia s�owa "stable" (etap w cyklu �ycia wersji kontra
> (subiektywna?) ocena jako�ci).
>
Co do problemu, masz mo�e pomys� w jaki spos�b wykry� atakuj�cego?
Dokumentacja do grsec m�wi, �e:
CONFIG_GRKERNSEC_BRUTE
If you say Y here, attempts to bruteforce exploits against forking
daemons such as apache or sshd, as well as against suid/sgid binaries
will be deterred. When a child of a forking daemon is killed by PaX or
crashed due to an illegal instruction or other suspicious signal, the
parent process will be delayed 30 seconds upon every subsequent fork
until the administrator is able to assess the situation and restart the
daemon.
In the suid/sgid case, the attempt is logged, the user has all their
processes terminated, and they are prevented from executing any further
processes for 15 minutes.
Zatem mam tu "suid/sgid case" ale nie wiem co z tym mogďż˝ zrobiďż˝
0 new messages