我有一台运行Ubuntu 10.04LTS的服务器(我知道它太旧了),在过去的几个星期里,它有时对networkingstream量没有反应,并且需要在早上(办公室打开的时候上午9点) 。
我已经通过kern.log看,发现一个模式。
发生这种情况后,通常会有一个来自外部IP地址的UFW块,CIFS VFS错误,另一个来自不同IP地址的UFW块,然后在重新启动之前没有任何logging。 我不知道这是否意味着服务器崩溃,日志logging停止或日志已被closures或消毒。
外部IP地址每次都有所不同。
示例日志:
Feb 19 01:46:43 Server1 kernel: [139893.285676] [UFW BLOCK] IN=eth0 OUT= MAC=00:26:b9:2e:79:5c:3c:81:d8:44:41:00:08:00 SRC=50.30.32.186 DST=10.0.0.1 LEN=52 TOS=0x00 PREC=0x00 TTL=107 ID=2976 DF PROTO=TCP SPT=57588 DPT=80 WINDOW=8192 RES=0x00 CWR ECE SYN URGP=0 Feb 19 02:57:20 Server1 kernel: [144130.370015] CIFS VFS: No response for cmd 50 mid 52893 Feb 19 02:57:21 Server1 kernel: [144130.760010] CIFS VFS: No response to cmd 4 mid 52894 Feb 19 02:57:21 Server1 kernel: [144130.760015] CIFS VFS: Send error in Close = -11 Feb 19 03:36:47 Server1 kernel: [146497.272912] [UFW BLOCK] IN=eth0 OUT= MAC=00:26:b9:2e:79:5c:3c:81:d8:44:41:00:08:00 SRC=86.108.49.79 DST=10.0.0.1 LEN=52 TOS=0x00 PREC=0x00 TTL=109 ID=29914 DF PROTO=TCP SPT=65452 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0 Feb 19 09:00:56 Server1 kernel: [165946.155435] [UFW BLOCK] IN=eth0 OUT= MAC=00:26:b9:2e:79:5c:00:21:9b:29:91:aa:08:00 SRC=169.254.164.54 DST=10.0.0.1 LEN=89 TOS=0x00 PREC=0x00 TTL=255 ID=24 PROTO=UDP SPT=64676 DPT=53 LEN=69 这看起来像是企图/成功的攻击还是服务器本身的问题?
UPDATE
看起来普遍的共识是,这不是一个攻击,而是一个错误。 由于我在注意安全漏洞,我忽略了今天上午提到的重新启动服务器并没有解决所有的问题,我排除了一些问题。 在此期间,我将服务器插入交换机上的一个不同的端口,事情很快就开始了。 只是再次testing端口,似乎已经死了。 这将导致和错误,将停止logging到kern.log?
防火墙条目和CIFS错误之间没有明显的联系; 他们发生的方式分开太多分钟。 而且,那个stream量被阻塞了。
它可能不是一个攻击,尽pipe它不能被封闭(它永远不会)。 他们来自完全不同的来源,针对完全不同的港口,不同的时间,其中一些有一个内部和相同的外部来源。
我看到最可能的原因,不仅你的软件是旧的,而且你的硬件。 这个发送错误看起来有些硬件问题,内存和以太网控制器之间可能有一些DMA通信失败。
在你的地方我
试图使用外部网卡
如果它不工作,我更换了服务器的主板(也许升级主板/ CPU / RAM)。
正如迈克尔所说,防火墙似乎不相关。 一个文件系统出现故障(CIFS VFS是通用互联网文件系统虚拟文件系统(是的,我接受那里有冗余)),然而,可能会导致一台机器变得非常不愉快。 如果这就是杀死你的东西,那么它更可能是一个比任何恶意的东西都要糟糕的东西 – 但它会把你们带走,就像是一样。
我会花我的debugging时间来查看这些错误,并忽略防火墙的东西。