Hallo,
ich hatte gestern den interessanten Fall, dass auf FBSD 9.1 p1 in mehreren Jails die Daemons gestorben sind. Dabei waren der Nameserver, der Mailserver, der Webserver und noch ein paar weitere. Nicht betroffen waren glücklicherweise unter anderem die SSH Daemons, der NTP und die Syslog Daemons.
Auf einem anderen Server mit ähnlicher Hardware in gleicher Konfiguration läuft alles wie bisher. Dort laufen sogar noch mehr Services und die Netzwerklast ist höher.
Bisher ist auch auf dem ersten Server alles stabil gelaufen. Letzte Woche habe ich ihn dann per freebsd-update von 9.0 auf 9.1 gebracht. Seit ich die Services wieder gestartet habe läuft alles wieder. In den Logs war nichts zu finden, die haben einfach ab irgend einem Zeitpunkt keine Einträge mehr für die entsprechenden Daemons. Die IDS Trigger und die Fallen sind alle sauber, daher würde ich einen Angriff ausschliessen. Das einzig gemeinsame an den Daemons ist, dass alle zum fraglichen Zeitpunkt eine oder mehrere Netzwerkverbindungen offen gehabt haben könnten.
Jetzt Frage ich mich, was da passiert ist?!
ich hatte gestern den interessanten Fall, dass auf FBSD 9.1 p1 in mehreren Jails die Daemons gestorben sind. Dabei waren der Nameserver, der Mailserver, der Webserver und noch ein paar weitere. Nicht betroffen waren glücklicherweise unter anderem die SSH Daemons, der NTP und die Syslog Daemons.
Auf einem anderen Server mit ähnlicher Hardware in gleicher Konfiguration läuft alles wie bisher. Dort laufen sogar noch mehr Services und die Netzwerklast ist höher.
Bisher ist auch auf dem ersten Server alles stabil gelaufen. Letzte Woche habe ich ihn dann per freebsd-update von 9.0 auf 9.1 gebracht. Seit ich die Services wieder gestartet habe läuft alles wieder. In den Logs war nichts zu finden, die haben einfach ab irgend einem Zeitpunkt keine Einträge mehr für die entsprechenden Daemons. Die IDS Trigger und die Fallen sind alle sauber, daher würde ich einen Angriff ausschliessen. Das einzig gemeinsame an den Daemons ist, dass alle zum fraglichen Zeitpunkt eine oder mehrere Netzwerkverbindungen offen gehabt haben könnten.
Jetzt Frage ich mich, was da passiert ist?!