Hallo zusammen,
ich betreibe hier einen Leap-Server mit Wordpress und Nextcloud mit nginx als Webserver. Beide laufen seit Januar in separaten php-fpm-Pools (online sind sie seit 2018) und das klappt eigentlich gut. Ich schaue regelmäßig in die Logs und finde keine Auffälligkeiten. Im Hintergrund ist auch AppArmor aktiv.
HEUTE zwischen 16 und 17 Uhr habe ich einen blöden Fehler gemacht: Ich habe aus versehen eine USB-Ethernet-Karte an einen der Ports angesteckt, die eigentlich an den Server eins tiefer im Rack gehen sollte. Den Fehler habe ich nach einer viertel Stunde gemerkt und sie wieder abgezogen. Beim schauen in die Logs ist mir in dmesg folgendes aufgefallen:
Im ersten Moment war ich ratlos und habe dann aber nachgeschaut mit
aureport --start today --event --summary -i
das Ergebnis:
Wo kommen denn die 160.000 AVC-Einträge her?
aureport --start today -a
Zur sicherheit nochmal gestern selektiert:
aureport --start 11.08.2025 --end 11.08.2025
Nix:
oder auch heute, eine Stunde früher:
ureport --start 12.08.2025 15:00 --end 12.08.2025 16:00
Auch nix:
Ich weiß nicht, ob das Zufall ist, dass es mit dem Anstecken der Netzwerkkarte zusammen fiel, aber die Frage ist: Wo muss ich denn da dran?
Hat jemand ne Idee, wie ich das wieder weg bekomme?
Ergänzung: Ich habe vorerst php-fpm gestoppt. DAmit hören die Logeinträge auf, aber nginx beschwert sch natürlich, dass er den Socket nicht findet und die Websites sind damit auch offline, ist klar.
Aber sobald ich php-fpm starte, geht es genauso weiter, mit tausenden Einträgen pro minute.
Ich habe in meiner Verzweiflung rkhunter mal drüber laufen lassen, der hat aber nichts gefunden.
Danke und viele Grüße,
Martin
ich betreibe hier einen Leap-Server mit Wordpress und Nextcloud mit nginx als Webserver. Beide laufen seit Januar in separaten php-fpm-Pools (online sind sie seit 2018) und das klappt eigentlich gut. Ich schaue regelmäßig in die Logs und finde keine Auffälligkeiten. Im Hintergrund ist auch AppArmor aktiv.
HEUTE zwischen 16 und 17 Uhr habe ich einen blöden Fehler gemacht: Ich habe aus versehen eine USB-Ethernet-Karte an einen der Ports angesteckt, die eigentlich an den Server eins tiefer im Rack gehen sollte. Den Fehler habe ich nach einer viertel Stunde gemerkt und sie wieder abgezogen. Beim schauen in die Logs ist mir in dmesg folgendes aufgefallen:
[ 3160.614004] audit_log_start: 796038 callbacks suppressed
[ 3160.614011] audit: audit_backlog=65 > audit_backlog_limit=64
[ 3160.614016] audit: audit_lost=6377118 audit_rate_limit=0 audit_backlog_limit=64
[ 3160.614018] audit: backlog limit exceeded
Im ersten Moment war ich ratlos und habe dann aber nachgeschaut mit
aureport --start today --event --summary -i
das Ergebnis:
Event Summary Report
======================
total type
======================
158481 AVC
249 BPF
99 USER_START
98 USER_ACCT
95 CRED_DISP
91 USER_END
89 CRED_REFR
60 CRED_ACQ
38 USER_CMD
26 SERVICE_STOP
25 SERVICE_START
21 LOGIN
9 CRYPTO_KEY_USER
2 USER_AUTH
2 CRYPTO_SESSION
1 USER_LOGIN
1 USER_LOGOUT
Wo kommen denn die 160.000 AVC-Einträge her?
aureport --start today -a
158481. 12.08.2025 16:51:07 php-fpm (null) 0 (null) (null) (null) unset 408780
Zur sicherheit nochmal gestern selektiert:
aureport --start 11.08.2025 --end 11.08.2025
Nix:
Summary Report
======================
Range of time in logs: 12.08.2025 16:19:14.409 - 01.01.1970 01:00:00.000
Selected time for report: 11.08.2025 00:00:00 - 11.08.2025 18:17:12
Number of changes in configuration: 0
Number of changes to accounts, groups, or roles: 0
Number of logins: 0
Number of failed logins: 0
Number of authentications: 0
Number of failed authentications: 0
Number of users: 0
Number of terminals: 0
Number of host names: 0
Number of executables: 0
Number of commands: 0
Number of files: 0
Number of AVC's: 0
Number of MAC events: 0
Number of failed syscalls: 0
Number of anomaly events: 0
Number of responses to anomaly events: 0
Number of crypto events: 0
Number of integrity events: 0
Number of virt events: 0
Number of keys: 0
Number of process IDs: 0
Number of events: 0
oder auch heute, eine Stunde früher:
ureport --start 12.08.2025 15:00 --end 12.08.2025 16:00
Auch nix:
Summary Report
======================
Range of time in logs: 12.08.2025 16:19:14.409 - 01.01.1970 01:00:00.000
Selected time for report: 12.08.2025 15:00:00 - 12.08.2025 16:00:00
Number of changes in configuration: 0
Number of changes to accounts, groups, or roles: 0
Number of logins: 0
Number of failed logins: 0
Number of authentications: 0
Number of failed authentications: 0
Number of users: 0
Number of terminals: 0
Number of host names: 0
Number of executables: 0
Number of commands: 0
Number of files: 0
Number of AVC's: 0
Number of MAC events: 0
Number of failed syscalls: 0
Number of anomaly events: 0
Number of responses to anomaly events: 0
Number of crypto events: 0
Number of integrity events: 0
Number of virt events: 0
Number of keys: 0
Number of process IDs: 0
Number of events: 0
Ich weiß nicht, ob das Zufall ist, dass es mit dem Anstecken der Netzwerkkarte zusammen fiel, aber die Frage ist: Wo muss ich denn da dran?
Hat jemand ne Idee, wie ich das wieder weg bekomme?
Ergänzung: Ich habe vorerst php-fpm gestoppt. DAmit hören die Logeinträge auf, aber nginx beschwert sch natürlich, dass er den Socket nicht findet und die Websites sind damit auch offline, ist klar.
Aber sobald ich php-fpm starte, geht es genauso weiter, mit tausenden Einträgen pro minute.
Ich habe in meiner Verzweiflung rkhunter mal drüber laufen lassen, der hat aber nichts gefunden.
Danke und viele Grüße,
Martin
Zuletzt bearbeitet: