---

Min linux-server er rebootet spontant i eftermiddags. Ingen logget på,
ingen strømafbrydelse, og ingen i nærheden af maskinen.

Det er linux-2.4.19, og den har kørt apache 1.3.27 med php 4.2.3 på port
80, som var den eneste åbne port mod internettet. Derudover har den kørt
sshd (openssh-3.4p1) mod lokalnettet samt agetty. Ingen processer
derudover, ingen skærm, ingen tastatur. Alt er oversat af mig selv.

Hvad kan være gået galt, og er der noget jeg skal kigge efter?

--
Lars Kongshøj

---

Lars Kongshøj wrote:
> Det er linux-2.4.19, og den har kørt apache 1.3.27 med php 4.2.3 på port
> 80, som var den eneste åbne port mod internettet. Derudover har den kørt
> sshd (openssh-3.4p1) mod lokalnettet samt agetty. Ingen processer
> derudover, ingen skærm, ingen tastatur. Alt er oversat af mig selv.

syslogd kørte også, men den startede underligt nok ikke af sig selv ifm.
reboot, som den ellers plejer.

Intet af interesse i logfilerne.

Jeg bryder mig nu ikke så meget om syslogd, da den jo ikke genstartede,
som den skulle. Desuden har den aldrig logget kernens firewall
(iptables). Jeg har for eksperimentens skyld tilføjet "*.*
/root/sletmig.log" til /etc/syslog.conf, uden at få iptables-info. Så
det vil jeg grave lidt i.

Men gode ideer er stadig velkomne.

--
Lars Kongshøj

---

Lars Kongshøj <lars_kongshoj@hotmail.com> writes:

> Jeg bryder mig nu ikke så meget om syslogd, da den jo ikke genstartede,
> som den skulle. Desuden har den aldrig logget kernens firewall
> (iptables). Jeg har for eksperimentens skyld tilføjet "*.*
> /root/sletmig.log" til /etc/syslog.conf, uden at få iptables-info. Så
> det vil jeg grave lidt i.

Har du klogd kørende?

Du bruger '-j LOG' for at logge i iptables?

--
Kim Hansen | |\ _,,,---,,_ | Det er ikke
Dalslandsgade 8, A708 | /,`.-'`' -. ;-;;,_ | Jeopardy.
2300 København S | |,4- ) )-,_. ,\ ( `'-' | Svar _efter_
Phone: 32 88 60 86 | '---''(_/--' `-'\_) | spørgsmålet.

---

Kim Hansen wrote:
> Lars Kongshøj <lars_kongshoj@hotmail.com> writes:
> > Jeg bryder mig nu ikke så meget om syslogd, da den jo ikke genstartede,
> > som den skulle. Desuden har den aldrig logget kernens firewall
> > (iptables). Jeg har for eksperimentens skyld tilføjet "*.*
> > /root/sletmig.log" til /etc/syslog.conf, uden at få iptables-info. Så
> > det vil jeg grave lidt i.
> Har du klogd kørende?

Nej.

> Du bruger '-j LOG' for at logge i iptables?

Ja.

OK, jeg kendte faktisk ikke klogd. Et hurtigt kig på man-siden, gjorde
mig ikke så meget klogere. Jeg kan da logge visse kerne-meddelelser vha
syslogd på denne maskine, men hvis det kan lade sig gøre at få et
et-minutskursus ville det da være rart. Eller et link. Ellers må jeg
bare kigge på google

--
Lars Kongshøj

---

Lars Kongshøj <lars_kongshoj@hotmail.com> writes:

> Kim Hansen wrote:
> > Har du klogd kørende?
>
> Nej.
>
> > Du bruger '-j LOG' for at logge i iptables?
>
> Ja.
>
> OK, jeg kendte faktisk ikke klogd. Et hurtigt kig på man-siden, gjorde
> mig ikke så meget klogere. Jeg kan da logge visse kerne-meddelelser vha
> syslogd på denne maskine, men hvis det kan lade sig gøre at få et
> et-minutskursus ville det da være rart. Eller et link. Ellers må jeg
> bare kigge på google

klogd er et program der henter logmeddelelserne ud af kernen og
afleverer dem til syslogd, det er en af den slags ting der altid bare
har virket for mig, så jeg ved ikke så meget om det. Ifølge
manualsiden på Debian er klogd dog nogen gange bygget ind i syslogd,
så det er muligt at du ikke har brug for den, hvilken distribution
bruger du?

Har du et eksempel på en kerne-meddelelse der er logget via syslogd?

--
Kim Hansen | |\ _,,,---,,_ | Det er ikke
Dalslandsgade 8, A708 | /,`.-'`' -. ;-;;,_ | Jeopardy.
2300 København S | |,4- ) )-,_. ,\ ( `'-' | Svar _efter_
Phone: 32 88 60 86 | '---''(_/--' `-'\_) | spørgsmålet.

---

Kim Hansen wrote:
> klogd er et program der henter logmeddelelserne ud af kernen og
> afleverer dem til syslogd, det er en af den slags ting der altid bare
> har virket for mig, så jeg ved ikke så meget om det. Ifølge
> manualsiden på Debian er klogd dog nogen gange bygget ind i syslogd,
> så det er muligt at du ikke har brug for den, hvilken distribution
> bruger du?

Jeg har oversat det hele fra kildeteksten selv, inspireret af
http://www.linuxfromscratch.org/

Det kunne jo godt lyde som om jeg skulle få set lidt nærmere på klogd.

> Har du et eksempel på en kerne-meddelelse der er logget via syslogd?

Jeg troede at nedenstående kom fra kernen, men det er måske fra syslogd
selv:

Nov 18 19:27:44 ny -- MARK --

--
Lars Kongshøj

---

Lars Kongshøj <lars_kongshoj@hotmail.com> writes:

> Kim Hansen wrote:
> > Har du et eksempel på en kerne-meddelelse der er logget via syslogd?
>
> Jeg troede at nedenstående kom fra kernen, men det er måske fra syslogd
> selv:
>
> Nov 18 19:27:44 ny -- MARK --

Nej, det er noget syslogd skriver ind for at vise at den stadig lever,
se -m i syslogd(8).

--
Kim Hansen | |\ _,,,---,,_ | Det er ikke
Dalslandsgade 8, A708 | /,`.-'`' -. ;-;;,_ | Jeopardy.
2300 København S | |,4- ) )-,_. ,\ ( `'-' | Svar _efter_
Phone: 32 88 60 86 | '---''(_/--' `-'\_) | spørgsmålet.

---

Kim Hansen wrote:
> Nej, det er noget syslogd skriver ind for at vise at den stadig lever,
> se -m i syslogd(8).

Nå, så må jeg vist se at få set nærmere på klogd. Tak for hjælpen!

Så mangler jeg bare at finde ud af, hvorfor maskinen rebootede!

--
Lars Kongshøj

---

Kim Hansen wrote:
> klogd er et program der henter logmeddelelserne ud af kernen og
> afleverer dem til syslogd, det er en af den slags ting der altid bare
> har virket for mig, så jeg ved ikke så meget om det. Ifølge
> manualsiden på Debian er klogd dog nogen gange bygget ind i syslogd,
> så det er muligt at du ikke har brug for den, hvilken distribution
> bruger du?

Det gjorde underværker at starte klogd. Nu bliver jeg oversvømmet med
log-meddelser om connect-forsøg på port 137.

Tak for det!

PS. Er der i øvrigt nogen der ved om det primært er hacking-forsøg eller
fejl-konfigurerede windows-maskiner, der er årsag til alle disse port
137-forsøg?

--
Lars Kongshøj

---

Den Mon, 18 Nov 2002 21:07:03 +0100 skrev Lars Kongshøj:
>Kim Hansen wrote:
>> klogd er et program der henter logmeddelelserne ud af kernen og
>> afleverer dem til syslogd, det er en af den slags ting der altid bare
>> har virket for mig, så jeg ved ikke så meget om det. Ifølge
>> manualsiden på Debian er klogd dog nogen gange bygget ind i syslogd,
>> så det er muligt at du ikke har brug for den, hvilken distribution
>> bruger du?
>
>Det gjorde underværker at starte klogd. Nu bliver jeg oversvømmet med
>log-meddelser om connect-forsøg på port 137.
>
>Tak for det!
>
>PS. Er der i øvrigt nogen der ved om det primært er hacking-forsøg eller
>fejl-konfigurerede windows-maskiner, der er årsag til alle disse port
>137-forsøg?

Fejl-konfigurerede windows-maskiner og et par virusser.

Mvh
Kent
--
Indlæringskurven til Linux er stejl, til tider lodret... Men for katten
hvor er udsigten på toppen dog fantastisk
- Michael G. Vendelbo i dk.snak

---

Lars Kongshøj <lars_kongshoj@hotmail.com> writes:

> PS. Er der i øvrigt nogen der ved om det primært er hacking-forsøg eller
> fejl-konfigurerede windows-maskiner, der er årsag til alle disse port
> 137-forsøg?

Hvis det er broadcast, så det der sådan MS-Windows som standard er sat
op, det står og råber "her er jeg" hele tiden.

--
Kim Hansen | |\ _,,,---,,_ | Det er ikke
Dalslandsgade 8, A708 | /,`.-'`' -. ;-;;,_ | Jeopardy.
2300 København S | |,4- ) )-,_. ,\ ( `'-' | Svar _efter_
Phone: 32 88 60 86 | '---''(_/--' `-'\_) | spørgsmålet.

---

Kim Hansen wrote:
> Lars Kongshøj <lars_kongshoj@hotmail.com> writes:
> > PS. Er der i øvrigt nogen der ved om det primært er hacking-forsøg eller
> > fejl-konfigurerede windows-maskiner, der er årsag til alle disse port
> > 137-forsøg?
> Hvis det er broadcast, så det der sådan MS-Windows som standard er sat
> op, det står og råber "her er jeg" hele tiden.

Ja. Windows gør mange mærkelige ting. Fx. "pinger" xp-maskiner routerne
hvert 10. sekund på et eller andet underligt portnummer. Er der nogen,
der kunne få det indtryk, at der er spy-ware i windows? Nej, vel.

Jeg ved ikke om det er "broadcast". men jeg får 10-15 pakker i timen fra
forskellige adresser.

--
Lars Kongshøj

---

Lars Kongshøj <lars_kongshoj@hotmail.com> writes:

> Jeg ved ikke om det er "broadcast". men jeg får 10-15 pakker i timen fra
> forskellige adresser.

Du kan se om det er broadcast ved at se om det er sendt til maskinens
adresse eller til broadcastadressen som typisk er næsten den samme,
bare med nogen af de sidste talsæt skiftet ud med 255.

--
Kim Hansen | |\ _,,,---,,_ | Det er ikke
Dalslandsgade 8, A708 | /,`.-'`' -. ;-;;,_ | Jeopardy.
2300 København S | |,4- ) )-,_. ,\ ( `'-' | Svar _efter_
Phone: 32 88 60 86 | '---''(_/--' `-'\_) | spørgsmålet.

---

Kim Hansen wrote:
> Lars Kongshøj <lars_kongshoj@hotmail.com> writes:
> > Jeg ved ikke om det er "broadcast". men jeg får 10-15 pakker i timen fra
> > forskellige adresser.
> Du kan se om det er broadcast ved at se om det er sendt til maskinens
> adresse eller til broadcastadressen som typisk er næsten den samme,
> bare med nogen af de sidste talsæt skiftet ud med 255.

OK. Den kører bag en router med NAT, så det kan jeg ikke se. Så må jeg
jo nøjes med at glæde mig over at den ikke kører windows.

--
Lars Kongshøj

---

Lars Kongshøj <lars_kongshoj@hotmail.com> writes:

> Ja. Windows gør mange mærkelige ting. Fx. "pinger" xp-maskiner routerne
> hvert 10. sekund på et eller andet underligt portnummer. Er der nogen,
> der kunne få det indtryk, at der er spy-ware i windows? Nej, vel.

udp/1900? Dem logger jeg ikke, for jeg får omkring 1 million af dem
om ugen. Det er uPnP.

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
He has his own opinions
- just like the others.
- Burnin' Red Ivanhoe
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

Rasmus Bøg Hansen wrote:
> Lars Kongshøj <lars_kongshoj@hotmail.com> writes:
> > Ja. Windows gør mange mærkelige ting. Fx. "pinger" xp-maskiner routerne
> > hvert 10. sekund på et eller andet underligt portnummer. Er der nogen,
> > der kunne få det indtryk, at der er spy-ware i windows? Nej, vel.
> udp/1900? Dem logger jeg ikke, for jeg får omkring 1 million af dem
> om ugen. Det er uPnP.

Ja, så meget fandt jeg også ud af ved søgning på google. Formålet står
nu stadigt hen i det uvisse.

--
Lars Kongshøj

---

Lars Kongshøj <lars_kongshoj@hotmail.com> writes:

> Rasmus Bøg Hansen wrote:
> > Lars Kongshøj <lars_kongshoj@hotmail.com> writes:
> > > Ja. Windows gør mange mærkelige ting. Fx. "pinger" xp-maskiner routerne
> > > hvert 10. sekund på et eller andet underligt portnummer. Er der nogen,
> > > der kunne få det indtryk, at der er spy-ware i windows? Nej, vel.
> > udp/1900? Dem logger jeg ikke, for jeg får omkring 1 million af dem
> > om ugen. Det er uPnP.
>
> Ja, så meget fandt jeg også ud af ved søgning på google. Formålet står
> nu stadigt hen i det uvisse.

Det er vistnok (vistnok!!!) noget med at klientprogrammer kan fortælle
uPnP-routeren, hvilke porte den skal benytte til hvad. Så kan routeren
pænt åbne, lukke og portforwarde på (u)passende vis.

Der er vist et projekt, som skulle implementere noget i den stil til
Linux/iptables - men jeg skal i hvert fald ikke have noget på 'min'
firewall, der åbner/portforwarder porte på baggrund af, hvad
klienterne mener, de har brug for.

Ret mig endelig, hvis jeg har misforstået det fuldstændig (eller bare
en smule).

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
Because I don't want to force you to follow my philosophy, even though
it happens to be the only possible correct philosophy.
-- Ted Lemon
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

Hello Lars.

18 Nov 02 17:42, Lars Kongshøj wrote to all:

LK> Min linux-server er rebootet spontant i eftermiddags. Ingen logget
LK> på, ingen strømafbrydelse, og ingen i nærheden af maskinen.

For mig, lyder det som noget hardware-boevl.

Måske bliver din processor for overophedet?

Bo

---

Bo Simonsen wrote:
> 18 Nov 02 17:42, Lars Kongshøj wrote to all:
> LK> Min linux-server er rebootet spontant i eftermiddags. Ingen logget
> LK> på, ingen strømafbrydelse, og ingen i nærheden af maskinen.
> For mig, lyder det som noget hardware-boevl.
> Måske bliver din processor for overophedet?

Desværre understøtter bundkortet tilsyneladende ikke lm-sensors. Men den
plejer nu altid at køre uden problemer, og var ikke specielt belastet i
eftermiddags. Så jeg tror, at det er usandsynligt. Men tak for
forslaget.

--
Lars Kongshøj

---

Bo Simonsen wrote:

> LK> Min linux-server er rebootet spontant i eftermiddags. Ingen logget
> LK> på, ingen strømafbrydelse, og ingen i nærheden af maskinen.
>
> For mig, lyder det som noget hardware-boevl.

Det synes jeg også.

Jeg har haft samme adfærd af en server: Den bootede spontant en dag uden
at jeg kunne finde noget i loggen eller andre steder. Jeg tænkte, at der
nok havde været klumper i strømmen (selv om min anden maskine ikke havde
booted) og glemte det snart. Et par uger efter skete det igen. Og igen
kunne jeg ikke finde nogen fejl. Dagen efter skete det igen. Og så igen
et par timer efter. Og tilsidst hvert tyvende minut indtil helt opgav
ævred og døde...

Det var motherboardet. Og garantien var selvfølgelig udløbet en måneds
tid før (hvordan bærer de sig ad med at lave sådan noget hardware?)

Hardware er ikke, hvad det har været. En af de internetbutikker, jeg
handler hos fører en statistik over deres reklamationssager. Nogle
motherboards har en fejlrate på op i mod 20% !!

-Claus

---

Claus Rasmussen wrote:
> Bo Simonsen wrote:
> > For mig, lyder det som noget hardware-boevl.
> Det synes jeg også.
> Jeg har haft samme adfærd af en server: Den bootede spontant en dag uden
> at jeg kunne finde noget i loggen eller andre steder. Jeg tænkte, at der
> nok havde været klumper i strømmen (selv om min anden maskine ikke havde
> booted) og glemte det snart. Et par uger efter skete det igen. Og igen
> kunne jeg ikke finde nogen fejl. Dagen efter skete det igen. Og så igen
> et par timer efter. Og tilsidst hvert tyvende minut indtil helt opgav
> ævred og døde...

Lyder ikke godt. Håber ikke det er det, der er på vej her.

> Det var motherboardet. Og garantien var selvfølgelig udløbet en måneds
> tid før (hvordan bærer de sig ad med at lave sådan noget hardware?)

Det er nok forudprogrammeret i en chip

--
Lars Kongshøj

---

Lars Kongshøj <lars_kongshoj@hotmail.com> writes:

> Hvad kan være gået galt, og er der noget jeg skal kigge efter?

Har du nogen form for UPS på?

Ellers så kan der måske have været en 'klump' i strømmen, som har fået
den til at reboote.

--
Jacob - www.bunk.cc
Reality always seems harsher in the early morning.

---

Jacob Bunk Nielsen wrote:
> Har du nogen form for UPS på?

Nej.

> Ellers så kan der måske have været en 'klump' i strømmen, som har fået
> den til at reboote.

Var også min første indskydelse, men jeg mener nu, at det bare burde
have fået den til at slukke. Man bruger jo ikke mekaniske power-knapper
mere. Så efter en kort strømafbrydelse vil den være slukket, ikke tændt.

--
Lars Kongshøj

---

Lars Kongshøj <lars_kongshoj@hotmail.com> writes:

> Jacob Bunk Nielsen wrote:
>> Ellers så kan der måske have været en 'klump' i strømmen, som har fået
>> den til at reboote.
>
> Var også min første indskydelse, men jeg mener nu, at det bare burde
> have fået den til at slukke. Man bruger jo ikke mekaniske power-knapper
> mere. Så efter en kort strømafbrydelse vil den være slukket, ikke tændt.

En "klump" er ikke det samme som en strømafbrydelse. Efter en
strømafbrydelse vil serveren være slukket (med mindre den er sat op til
at starte selv i BIOS, det er der nogle BIOS'er der kan). Men hvis det
kun er en "klump" kan resultatet sagtens være at den rebooter, det har
jeg også selv oplevet.

--
Finn Nielsen - http://www.finnnielsen.dk/

---

Lars Kongshøj <lars_kongshoj@hotmail.com> writes:
> Jacob Bunk Nielsen wrote:
>
>> Ellers så kan der måske have været en 'klump' i strømmen, som har fået
>> den til at reboote.
>
> Var også min første indskydelse, men jeg mener nu, at det bare burde
> have fået den til at slukke. Man bruger jo ikke mekaniske power-knapper
> mere. Så efter en kort strømafbrydelse vil den være slukket, ikke tændt.

Kan man ikke forestille sig at 'klumpen' har været så kortvarig at
maskinen ikke er gået ud, men blot ikke har fået nok strøm til at
holde liv i CPU og RAM i et meget kort øjeblik. Derved vil den vel
netop reboote.

.... men det er naturligvis stadig kun et gæt.

--
Jacob - www.bunk.cc
I've already told you more than I know.

---

Finn Nielsen wrote:
> En "klump" er ikke det samme som en strømafbrydelse. Efter en
> strømafbrydelse vil serveren være slukket (med mindre den er sat op til
> at starte selv i BIOS, det er der nogle BIOS'er der kan). Men hvis det
> kun er en "klump" kan resultatet sagtens være at den rebooter, det har
> jeg også selv oplevet.

Det kan så åbenbart være det, jeg har været udsat for. Har ikke oplevet
det før.

--
Lars Kongshøj