problemas com squid

[cleberlr]

Pessoal, meu squid de um problema e estou tentando entender o que aconteceu. De um dia para o outro ele passou a apresentar esse problema. Ele foi reiniciado de madrugada, acho que por falta de energia elétrica, não consegui encontrar indícios de invasão. Primeiro não conseguia fazer cache e depois ao tentar apagar o cache e criar novamente, ele não consegue nem mais iniciar. Acusa problemas de permissão de acesso a diversos arquivos.
O usuário de acesso ao cache é o squid, grupo squid (uid 23).
Ai a saida do comando squid -X -N -D (squid -z não consegue criar o swap):

2005/09/17 18:17:31| fd_open FD 0 stdin
2005/09/17 18:17:31| fd_open FD 1 stdout
2005/09/17 18:17:31| fd_open FD 2 stderr
2005/09/17 18:17:31| leave_suid: PID 15162 called
2005/09/17 18:17:31| leave_suid: PID 15162 giving up root, becoming 'squid'
WARNING: Cannot write log file: /var/log/squid/cache.log
/var/log/squid/cache.log: Permission denied
messages will be sent to 'stderr'.
2005/09/17 18:17:31| WARNING: Closing open FD 2
2005/09/17 18:17:31| Starting Squid Cache version 2.5.STABLE9 for i586-mandrake-linux-gnu...
2005/09/17 18:17:31| Process ID 15162
2005/09/17 18:17:31| With 1024 file descriptors available
2005/09/17 18:17:31| parseEtcHosts: /etc/hosts: (13) Permission denied
2005/09/17 18:17:31| DNS Socket created at 0.0.0.0, port 1028, FD 3
2005/09/17 18:17:31| /etc/resolv.conf: (13) Permission denied
2005/09/17 18:17:31| Warning: Could not find any nameservers. Trying to use localhost
2005/09/17 18:17:31| Please check your /etc/resolv.conf file
2005/09/17 18:17:31| or use the 'dns_nameservers' option in squid.conf.
2005/09/17 18:17:31| User-Agent logging is disabled.
2005/09/17 18:17:31| Referer logging is disabled.
2005/09/17 18:17:31| errorTryLoadText: '/etc/squid/errors/ERR_READ_TIMEOUT': (13) Permission denied
2005/09/17 18:17:31| errorTryLoadText: '/usr/squid/errors/ERR_READ_TIMEOUT': (13) Permission denied
FATAL: failed to find or read error text file.
Squid Cache (Version 2.5.STABLE9): Terminated abnormally.
CPU Usage: 0.017 seconds = 0.011 user + 0.006 sys
Maximum Resident Size: 0 KB
Page faults with physical i/o: 0
Aborted

O swap está em /cache/squid , que é uma partição separada (montada em /cache) do mesmo HD.

Já tentei de tudo alterando as permissões (chmod 777). Ai embaixo as permissões dos arquivos que apresentaram problema:

# ls -l /etc/hosts /etc/resolv.conf /var/log/squid /etc/squid/errors/ERR_READ_TIMEOUT

-rw-r--r-- 2 root root 187 Sep 16 11:11 /etc/hosts
-rw-r--r-- 1 root root 190 Sep 6 05:29 /etc/resolv.conf
-rwxr--r-- 1 squid squid 889 Sep 12 14:17 /etc/squid/errors/ERR_READ_TIMEOUT

/var/log/squid:
total 6
drwxr-xr-x 2 squid squid 80 Sep 16 18:13 .
drw-r----- 15 root root 2392 Sep 17 04:02 ..
-rw-r----- 1 root root 610 Sep 16 18:14 squid.out

O mesmo acontece com o apache, que diz não encotnrar o arquivo .htaccess, ai da erro de acesso. Só que no diretório raiz nunca usei .htaccess, pois o acesso a página principal era livre.

Será problema do suid?
Estou tentando resolver até para entender o que aconteceu, mas em todo caso vou reinstalar.
Ah, uso o Mandrake 2005LE.

[antoniobrandao]

Parece que vc nao está com nenhum servidor dns especificado.
Edite o /etc/resolv.conf e coloque uma linha:
namseserver <IP>
sendo <IP> o servidor dns seu

acho que daí é só reiniciar o squid

[cleberlr]

Não é este o problema não.
Pior, fui reiniciar o named e agora este também parou de funcionar. Diz que não tem permissão de ler o resolv.conf. Parece que nenhum daemon funciona mais. Ele diz que roda como root, mas ai dá problema. O que pode ser?

[antoniobrandao]

Vc usa qual distro?

veja se o selinux está ligado.
Dentro de /etc/sysconfig/selinux
altere para SELINUX=disabled

depois tem que rebootar a maquina...

Não é este o problema não.
Pior, fui reiniciar o named e agora este também parou de funcionar. Diz que não tem permissão de ler o resolv.conf. Parece que nenhum daemon funciona mais. Ele diz que roda como root, mas ai dá problema. O que pode ser?

[cleberlr]

Coloquei na mensagem. Uso o Mandrake 2005LE.
Não tem o SELINUX. Não sei se porque não instalei (fiz uma instalação bem enxuta), mas tentei localizar em outros diretórios e não encontrei.

[antoniobrandao]

Por que vc nao desinstala o rpm do squid e instala novamente?

Coloquei na mensagem. Uso o Mandrake 2005LE.
Não tem o SELINUX. Não sei se porque não instalei (fiz uma instalação bem enxuta), mas tentei localizar em outros diretórios e não encontrei.

[mauzao]

velho...

me parece problema de permissão de usuário...

1ª pergunta: qdo vc tentou as opções acima, vc estava como root???

se a resposta for não, então logue como root.
se a resposta for sim... então vc tem um problemão!!! vc deve ter sido invadido e algúem rodou algum exploid...
devem ter mudado a id do root.... olha lá no /etc/passwd (se tiver acesso)

Se for possível, tire a máquina da rede, e olhe o /var/log/messages... o /var/log/secure tbém deve te dar uma boa pista de quem logou na máquina.

se o cara for bom, ele invadiu e apagou os logs... nesse caso o mais sensato a fazer é construir outro squid em outra máquina, atualizar todos pacotes...
Tentar verificar por onde ele entrou... por qual porta e serviço... depois corrija o furo... reporte o problema à [email protected]

analise os arquivos e depois me conta...

[ ]´s
Mauzão

[cleberlr]

Tentei reinstalar o squid novamente, mas não resolveu.
Agora já aprontei uma nova instalação. Se foi uma invasão não vou conseguir saber. Procurei nos logs e não encontrei nenhum rastro, isso porque o iptables gera logs de acesso das principais portas.
Acho que foi exatamente isso, pois apesar de a máquina ter sido reiniciada por motivo que não descobri, confio no reiserfs que não apresentou problemas em nenhum arquivo. O problema com certeza era relacionado com o root, pois não apenas o squid teve problemas (ele apenas foi o primeiro).
Obrigado a todos. Resolvi o problema da forma mais fácil, reinstalando o servidor e recuperando as configurações do backups (2 hs e estava feito). Agora vou tentar implantar o snort pra dormir mais tranquilo Valeu.