我有两台非常老的Linux服务器(一台运行RHEL ES 2.1版,另一台FC版本3 – 两者都严重受损),在上个星期四的同一时间自动重新启动。 这再次发生在昨天[星期二] 5次! 我有很多Windows和Solaris服务器在相同的电源上没有受到影响 – 我只有这两个Linux服务器。
我考虑过的事情: – 在任一台服务器上都没有硬件问题报告。 其中只有一个正在运行UPSpipe理系统所需的客户端软件[日志显示没有最近的动作]。 没有本地或远程cron / at作业,并且重新启动是随机的[AFAIK]时间。 “last -x”没有显示任何[IMHO]有用,对于消息,系统日志和安全日志也是如此。
我目前认为恶意行为是利用一些[未修补]的Linux漏洞[很可能]被远程调用,并可能使用某种级别的广播来攻击易受攻击的节点 – 但我是偏执狂的:)
它只发生在白天,所以我想源可能是一个用户工作站[所有窗口],只有在工作时间。
我的问题是:1.我的偏执理论是否可行? 2.如何捕获重新启动的来源?
它可能像肮脏的权力一样简单。 这是这个电源sockets上唯一的机器吗?
如果您认为由于某种原因(如果可能的话)将其远程重新启动,请将其从networking拔下,您可以将其清除。
感谢所有的build议。 我认为它现在解决了 – 没有发现恶意的意图。 我不知道(我是一个远程工作者),但是大约一个月前,我们的PC支持已经将我的两台服务器连接到IP KVM上了。 看来,通过他们login到他们的Windows服务器的行为,CTRL-ALT-DEL信号必须泄漏到预期的目标之外并被其他连接的节点拾取。 因为我确定你知道CAD如果保持在默认模式下[因为我的]导致Linux服务器重新启动。 我设法通过每秒运行&logging一个“ps -ef”来捕获一些相关的信息 – 它在重新启动时显示了使用的命令是“/ sbin / shutdown -t3 -r 0 w”,这转换为陷阱/ etc / inittab中。 所以神秘的解决(yn),但我发现了一个宝贵的专家知识来源之外,我平常的谷歌世界。 再次感谢
这听起来像是你在正确的轨道上认为这可以通过妥协 – 特别是如果两台服务器有相同的用户帐户/密码。
我会做的第一件事是运行chkrootkit或rkhunter ,看看他们是否find任何东西。 (不知道如果安装后妥协已经发生,这些将工作或不)
第二件事是启用远程日志logging,并确切地说明在重启之前发生的事情。
第三个build议可能是安装munin或类似的东西来跟踪你的CPU /内存使用情况,在重新启动之前。
你有没有检查他们是否在同一个权力补丁?
如果您的电源问题在UPS和机器之间,它不会显示在日志上。
我不能拔掉他们的networking,我会嗅探networkingstream量。
不知道是否在受影响的机器上运行tcpdump本身是一个好主意,但是可以在交换机上使用端口镜像,或者将它们暂时插入到一个旧的集线器(而不是交换机)中,并使用单独的机器运行tcpdump / wireshark /无论你喜欢。