Discussion:
SigIll na netwerkverkeer op 127.0.0.6
(te oud om op te antwoorden)
Huub Reuver
2008-04-30 10:59:51 UTC
Permalink
Hoi,
Ik ben al een tijdje op zoek naar een bug die mijn mousepointer laat
vastlopen. De laatste keer dat dit gebeurde zag ik dit bij dmesg:

grsec: From 127.0.0.6: signal 4 sent to /usr/lib/j2se/1.4/jre/bin/java
[java:4425] uid/euid:1000/1000 gid/egid:1000/1000, parent /sbin/init
[init:1] uid/euid:0/0 gid/egid:0/0

Weet iemand zo snel waarvoor 127.0.0.6 voor gebruikt wordt?

Ik denk erover om netwerkverkeer domweg te blokkeren, maar ik weet niet exact
of dan iets fundamenteels blokkeer (zoals X, XDMCP of zo).

Met vriendelijke groet,
Huub Reuver
Joost
2008-04-30 11:24:44 UTC
Permalink
Post by Huub Reuver
Weet iemand zo snel waarvoor 127.0.0.6 voor gebruikt wordt?
De hele 127.0.0.0/8 reeks is localhost.
Huub Reuver
2008-04-30 14:57:52 UTC
Permalink
Post by Joost
Post by Huub Reuver
Weet iemand zo snel waarvoor 127.0.0.6 voor gebruikt wordt?
De hele 127.0.0.0/8 reeks is localhost.
Dat mag duidelijk zijn.
Waarschijnlijk blokkeren de meeste routers 127.x.x.x gewoon.
In de regel gebruiken programma's meestal 127.0.0.1.

Daarom kan ik 127.0.0.6 nog niet plaatsen.
Laat staan dat ik kan aangeven dat daar iets illegaals gebeurt.
Of dat er iets breekt wat normaal zou moeten werken.

Met vriendelijke groet,
Huub Reuver
richard lucassen
2008-04-30 15:42:13 UTC
Permalink
On 30 Apr 2008 14:57:52 GMT
Post by Huub Reuver
Post by Joost
De hele 127.0.0.0/8 reeks is localhost.
Dat mag duidelijk zijn.
Waarschijnlijk blokkeren de meeste routers 127.x.x.x gewoon.
Er valt niets te routeren met 127.0.0.0/8
Post by Huub Reuver
In de regel gebruiken programma's meestal 127.0.0.1.
Daarom kan ik 127.0.0.6 nog niet plaatsen.
Ik gebruik het soms om meerdere nameservers te draaien op 1 machine:

netstat -anu | grep 53
udp 0 0 192.168.64.1:53 0.0.0.0:*
udp 0 0 127.53.1.1:53 0.0.0.0:*
udp 0 0 127.0.0.1:53 0.0.0.0:*

De ns op 127.0.0.1 is een heel andere ns dan die op 127.53.1.1. Met
verschillende databases. De 192.168.64.1 is de caching ns en die haalt
bepaalde dingen op de een of op de andere ns die dus allebei op de
loopback interface draaien.
Post by Huub Reuver
Laat staan dat ik kan aangeven dat daar iets illegaals gebeurt.
Of dat er iets breekt wat normaal zou moeten werken.
Maak maar eens een lo:0 aan (dubbele punt nul):

ifconfig lo:0 127.0.0.6 netmask 255.0.0.0

Wellicht dat je een prog hebt die dat ook doet.
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
Huub Reuver
2008-04-30 16:26:50 UTC
Permalink
Post by richard lucassen
On 30 Apr 2008 14:57:52 GMT
Post by Huub Reuver
Post by Joost
De hele 127.0.0.0/8 reeks is localhost.
Dat mag duidelijk zijn.
Waarschijnlijk blokkeren de meeste routers 127.x.x.x gewoon.
Er valt niets te routeren met 127.0.0.0/8
Post by Huub Reuver
In de regel gebruiken programma's meestal 127.0.0.1.
Daarom kan ik 127.0.0.6 nog niet plaatsen.
netstat -anu | grep 53
udp 0 0 192.168.64.1:53 0.0.0.0:*
udp 0 0 127.53.1.1:53 0.0.0.0:*
udp 0 0 127.0.0.1:53 0.0.0.0:*
De ns op 127.0.0.1 is een heel andere ns dan die op 127.53.1.1. Met
verschillende databases. De 192.168.64.1 is de caching ns en die haalt
bepaalde dingen op de een of op de andere ns die dus allebei op de
loopback interface draaien.
Post by Huub Reuver
Laat staan dat ik kan aangeven dat daar iets illegaals gebeurt.
Of dat er iets breekt wat normaal zou moeten werken.
ifconfig lo:0 127.0.0.6 netmask 255.0.0.0
Wellicht dat je een prog hebt die dat ook doet.
Dat hoop ik niet:
Daar moet _ik_ root voor zijn.
Als programma's zelf ifconfig kunnen runnen is er iets mis.

Maar de pc luistert en antwoord op 127.x.x.x ongeacht of het
127.0.0.1 is of iets anders. Maar het is wel typisch dat er een
strace volgt als ik 127.0.0.6 blokkeert.

Met vriendelijke groet,
Huub Reuver
richard lucassen
2008-04-30 16:43:42 UTC
Permalink
On 30 Apr 2008 16:26:50 GMT
Post by Huub Reuver
Post by richard lucassen
Wellicht dat je een prog hebt die dat ook doet.
Daar moet _ik_ root voor zijn.
Misschien wordt het progje wel vanuit init gestart en dan als
unprivileged user geforked
Post by Huub Reuver
Als programma's zelf ifconfig kunnen runnen is er iets mis.
Zolang ik geen poorten gebruik < 1024 kan ik gewoon een service
starten. Start in de ene terminal met netcat dit op:

nc -l 127.0.0.6 -p 3000
dit is een tets

en maak maar verbinding vanuit een andere terminal:

telnet 127.0.0.6 3000
Trying 127.0.0.6...
Connected to 127.0.0.6.
Escape character is '^]'.
dit is een tets
^]
telnet> q
Connection closed.

En als ik telnet naar 127.0.0.7 3000 dat gooit-ie me eruit:

nc -l 127.0.0.6 -p 3000
invalid connection to [127.0.0.7] from (UNKNOWN) [127.0.0.7] 49251

telnet 127.0.0.7 3000
Trying 127.0.0.7...
Connected to 127.0.0.7.
Escape character is '^]'.
Connection closed by foreign host.
Post by Huub Reuver
Maar de pc luistert en antwoord op 127.x.x.x ongeacht of het
127.0.0.1 is of iets anders. Maar het is wel typisch dat er een
strace volgt als ik 127.0.0.6 blokkeert.
Maar op welke poort luistert-ie dan?

# netstat -ant | grep LISTEN

(Ik ga er even vanuit dat het tcp is) En als je dat weet:

# netstat -ant | grep LISTEN
tcp 0 0 0.0.0.0:3000 0.0.0.0:* LISTEN

# fuser 3000/tcp
3000/tcp: 6612

Die 6612 is dan het schuldige proces.

En als het udp is:

netstat -an | grep 127.0.0.6

Of zoiets ;-)
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
Joost
2008-04-30 15:59:51 UTC
Permalink
Post by Huub Reuver
Post by Joost
Post by Huub Reuver
Weet iemand zo snel waarvoor 127.0.0.6 voor gebruikt wordt?
De hele 127.0.0.0/8 reeks is localhost.
Dat mag duidelijk zijn.
Waarschijnlijk blokkeren de meeste routers 127.x.x.x gewoon.
In de regel gebruiken programma's meestal 127.0.0.1.
grsec (waar de foutmelding vanaf komt) gebruikt blijkbaar 127.0.0.6.

Joost
Huub Reuver
2008-04-30 16:46:21 UTC
Permalink
Post by Joost
Post by Huub Reuver
Post by Joost
Post by Huub Reuver
Weet iemand zo snel waarvoor 127.0.0.6 voor gebruikt wordt?
De hele 127.0.0.0/8 reeks is localhost.
Dat mag duidelijk zijn.
Waarschijnlijk blokkeren de meeste routers 127.x.x.x gewoon.
In de regel gebruiken programma's meestal 127.0.0.1.
grsec (waar de foutmelding vanaf komt) gebruikt blijkbaar 127.0.0.6.
Laat me even de vertaling van onderstaande geven voor leken.

Uit syslog:
Apr 30 13:34:57 kernel: grsec: From 127.0.0.6: signal 4 sent to
/usr/lib/j2se/1.4/jre/bin/java[java:4775]

grsec meldt dus dat een illegale actie uitgevoerd is en dus een SigIll
wordt gestuurd naar java. Grsec zijn enkele kernelopties, kortom: de
kernel meldt dat een programma niet raars doet (of in elk geval een rare
melding terugkrijgt).

SigIll, wat doet dat?
SIGILL 4 Core Illegal Instruction
Het programma werkt nog, maar iets breekt (in dit geval de muis).

Typisch dat bij blokkeren van 127.0.0.6 een strace wordt achtergelaten
door de kernel.

# iptables -t filter -A OUTPUT -d 127.0.0.6 -j LOG
# iptables -t filter -A OUTPUT -d 127.0.0.6 -j REJECT

Apr 30 13:45:53 kernel: ------------[ cut here ]------------
Apr 30 13:45:53 kernel: kernel BUG at mm/mmap.c:1730!
Apr 30 13:45:53 kernel: invalid opcode: 0000 [#1] PREEMPT
...

Het lijkt erop dat sinds de laatste kernelpatch dus een melding
toegevoegd is. Zo te zien een nuttige.

Met vriendelijke groet,
Huub Reuver

Loading...