私は非常に古い Linux サーバーを 2 台持っています (1 台は RHEL ES リリース 2.1 を実行しており、もう 1 台は FC リリース 3 を実行しています。どちらもパッチがまったく適用されていません [申し訳ありません])。先週の木曜日、これらがまったく同じ時刻に [秒単位] で突然再起動しました。昨日 [火曜日] にも 5 回同じことが起こりました。同じ電源装置に Windows サーバーと Solaris サーバーを多数接続していますが、影響を受けていません。Linux サーバーはこれら 2 台だけです。
私が検討したこと:- どちらのサーバーでもハードウェアの問題は報告されていません。UPS 管理システムに必要なクライアント ソフトウェアを実行しているのは 1 台だけです (ログには最近のアクションが表示されません)。ローカルまたはリモートの cron/at ジョブはなく、再起動はランダムに行われます (AFAIK)。「last -x」では [IMHO] 何も役に立ちません。これはメッセージ、syslog、セキュア ログでも同様です。
私は現在、何らかの[パッチ未適用の]Linuxの脆弱性を悪用した悪意のある活動が[おそらく]リモートから呼び出され、ある程度のレベルの放送脆弱なノードをトリップさせる - しかし私は偏執狂です :)
これは日中にのみ発生するため、原因は勤務時間中にのみオンになっているユーザーのワークステーション(すべて Windows)である可能性があると考えています。
私の質問は:- 1. 私の妄想理論は実行可能か? 2. どうすればトラップ再起動の原因は何ですか?
答え1
単純に電力が汚れているだけかもしれません。この電源タップ/プラグに接続されている機械はこれだけですか?
何らかの理由でリモートから再起動されていると思われる場合は (可能な場合)、マシンをネットワークから切断すると、その問題を排除できます。
答え2
ご提案ありがとうございます。考える解決しました。悪意は見つかりませんでした。私はリモートワーカーなので知りませんでしたが、PCサポートが約1か月前に私の2台のサーバーをIP KVMに接続していました。Windowsサーバーにログオンする行為を通じて、CTRL-ALT-DEL信号がリーク意図したターゲットの外側にあって、他の接続されたノードによって拾われます。CAD をデフォルト モードのままにしておくと (私の場合)、Linux サーバーが再起動します。私は「ps -ef」を 1 秒ごとに実行してログに記録することで、いくつかの関連情報を取得できました。再起動時に使用されたコマンドは「/sbin/shutdown -t3 -r 0 w」であり、これは /etc/inittab のトラップに変換されます。これで謎は解けました (yn)。いつもの Google の世界の外で、貴重な専門知識のソースを見つけました。ありがとうございました。
答え3
特に両方のサーバーに同じユーザー アカウント/パスワードがある場合、これが侵害になる可能性があると考えるのは正しいようです。
まず最初にやることは走ることです chkrootkitまたはハンター何か見つかるか確認してみてください。(インストールしても動作するかどうかはわかりません 後妥協がすでに行われているかどうか
2 番目は、リモート ログを有効にして、再起動の直前に何が起こったかを正確に把握することです。
3つ目の提案は、インストールすることですムニンまたは、再起動前に CPU/メモリの使用状況を追跡する同様のもの。
答え4
ネットワークから取り外すことができない場合は、ネットワーク トラフィックをスニッフィングします。
影響を受けるマシンで tcpdump を実行すること自体がよいアイデアであるかどうかはわかりませんが、スイッチでポートミラーリングを使用するか、一時的に古いハブ (スイッチではない) に接続して、別のマシンを使用して tcpdump/wireshark など、好きなものを実行することができます。