Nie miałem czasu, ale muszę się wreszcie za to zabrać.
NND już drugi raz dostało takiej zadyszki, że nawet na shel-a nie mogłem się zalogować (najpierw wyłączało zaraz po próbie nawiązania połączenia przez putty, później wyłączało się po wpisaniu hasła zwykłego usera. Ostatecznie po wielu prubach udało mi się zalogować na su i wykonać reboot.
Oglądam sobie właśnie logi, i uczę się przy okazji co i gdzie ciekawego można sobie odnaleźć.
W
/var/log/auth można zobie poczytać o logowaniu na ssh, pocztę (imap2), batdzo ładnie też widać nieudane próby logowania na pocztę złymi użytkownikami.
Zastanawiam się, gdzie znajdę informacje na temat tego, co powodowało przerwanie sesji podczas logowania na zwykłego usera, albo zaraz po próbie nawiązania połączenia z NND?
W
/var/log/errors
bardzo często pojawia się:
Apr 23 10:25:16 serwer sshd[20145]: error: Could not get shadow information for NOUSER
I w zasadzie tylko to. No może raz pojawiło się coś takiego:
Apr 23 21:30:33 serwer kernel: kmod: failed to exec /sbin/modprobe -s -k scsi_hostadapter, errno = 2
W
/var/log/faillog widzę długi szlaczek @^@^@^@^@...
W
/var/log/kernel, jeśli się nie mylę rejestrowane są logi zwracane przez system od momentu wydania komendy reboot (zabijane po kolei wszystkie procesy) a później zdaje się uruchamianie serwera od nowa.
W
/var/log/laselog widzę kolejny długi szlaczek @^@^@^@^@...
W
/var/log/mail cała historia login/logout na pocztę dla poszczególnych użytkowników.
W
/var/log/messages głównie historia DHCP.
W
/var/log/pacman historia instalacji pakietów.
W
/var/log/wtmp znowu jakieś krzaczki
W
/var/log/xferlog historia operacji na FTP
Hmm. Clamav by się przydał, o jest:
W
/var/log/clamav/clamd.log
Wed Apr 23 00:02:04 2008 -> SelfCheck: Database modification detected. Forcing reload.
Wed Apr 23 00:07:58 2008 -> Reading databases from /var/lib/clamav
Wed Apr 23 00:08:37 2008 -> Database correctly reloaded (266846 signatures)
Wed Apr 23 02:01:37 2008 -> SelfCheck: Database status OK.
Wed Apr 23 13:15:03 2008 -> SelfCheck: Database modification detected. Forcing reload.
Wed Apr 23 13:15:03 2008 -> Reading databases from /var/lib/clamav
Wed Apr 23 13:18:39 2008 -> Database correctly reloaded (266954 signatures)
Wed Apr 23 19:57:50 2008 -> SelfCheck: Database modification detected. Forcing reload.
Wed Apr 23 19:57:50 2008 -> Reading databases from /var/lib/clamav
Wed Apr 23 20:01:19 2008 -> Database correctly reloaded (266965 signatures)
Wed Apr 23 21:28:01 2008 -> SelfCheck: Database status OK.
Wed Apr 23 21:30:48 2008 -> +++ Started at Wed Apr 23 21:30:48 2008
Wed Apr 23 21:30:48 2008 -> clamd daemon 0.92.1 (OS: linux-gnu, ARCH: i386, CPU: i686)
Wed Apr 23 21:30:48 2008 -> Running as user root (UID 0, GID 0)
Wed Apr 23 21:30:48 2008 -> Log file size limited to 1048576 bytes.
Wed Apr 23 21:30:48 2008 -> Reading databases from /var/lib/clamav
Wed Apr 23 21:30:48 2008 -> Not loading PUA signatures.
Wed Apr 23 21:31:51 2008 -> Loaded 266967 signatures.
Wed Apr 23 21:31:55 2008 -> Unix socket file /var/lib/clamav/clamd.sock
Wed Apr 23 21:31:55 2008 -> Setting connection queue length to 15
Wed Apr 23 21:31:55 2008 -> Archive: Archived file size limit set to 10485760 bytes.
Wed Apr 23 21:31:55 2008 -> Archive: Recursion level limit set to 8.
Wed Apr 23 21:31:55 2008 -> Archive: Files limit set to 1000.
Wed Apr 23 21:31:55 2008 -> Archive: Compression ratio limit set to 250.
Wed Apr 23 21:31:55 2008 -> Archive support enabled.
Wed Apr 23 21:31:55 2008 -> Algorithmic detection enabled.
Wed Apr 23 21:31:55 2008 -> Portable Executable support enabled.
Wed Apr 23 21:31:55 2008 -> ELF support enabled.
Wed Apr 23 21:31:55 2008 -> Mail files support enabled.
Wed Apr 23 21:31:55 2008 -> Mail: Recursion level limit set to 64.
Wed Apr 23 21:31:55 2008 -> OLE2 support enabled.
Wed Apr 23 21:31:55 2008 -> PDF support disabled.
Wed Apr 23 21:31:55 2008 -> HTML support enabled.
Wed Apr 23 21:31:55 2008 -> Self checking every 1800 seconds.
To chyba nie widać żadnych problemów... (?)
W
/var/log/clamav/freshclam.log za to dzieje się sporo (wklejam ostatnie dwa zdarzenia)
--------------------------------------
Received signal: wake up
ClamAV update process started at Wed Apr 23 20:02:59 2008
WARNING: Your ClamAV installation is OUTDATED!
WARNING: Local version: 0.92.1 Recommended version: 0.93
DON'T PANIC! Read http://www.clamav.net/support/faq
main.inc is up to date (version: 46, sigs: 231834, f-level: 26, builder: sven)
daily.inc is up to date (version: 6905, sigs: 35858, f-level: 26, builder: arnaud)
--------------------------------------
--------------------------------------
freshclam daemon 0.92.1 (OS: linux-gnu, ARCH: i386, CPU: i686)
ClamAV update process started at Wed Apr 23 21:30:48 2008
WARNING: Your ClamAV installation is OUTDATED!
WARNING: Local version: 0.92.1 Recommended version: 0.93
DON'T PANIC! Read http://www.clamav.net/support/faq
main.inc is up to date (version: 46, sigs: 231834, f-level: 26, builder: sven)
Downloading daily-6906.cdiff [100%]
Downloading daily-6907.cdiff [100%]
daily.inc updated (version: 6907, sigs: 35860, f-level: 26, builder: ccordes)
Database updated (267694 signatures) from database.clamav.net (IP: 62.236.254.228)
--------------------------------------
Chyba wszystko działa.
Co do Exima:
W
/var/log/exim/panic.log pojawiło się:
2008-04-23 21:28:05 1JokdM-0000Gk-3l malware acl condition: clamd: unable to read from socket (No such file or directory)
2008-04-23 21:28:09 1JokdV-0000Go-5S malware acl condition: clamd: unable to connect to UNIX socket /var/lib/clamav/clamd.sock (Connection refused)
Ok. Ale ja dalej nie wiem, co u mnie powoduje niestabilność. Co sprawia, że (prawdopodobnie) serwer dostaje takiej zadyszki, że nawet zalogować się na niego przez putty nie mogę...?