Ich habe 2 sehr alte Linux-Server (einer mit RHEL ES Release 2.1 und der andere mit FC Release 3 – beide stark untergepatcht [sorry]), die letzten Donnerstag genau [auf die Sekunde genau] zur selben Zeit spontan neu gestartet wurden. Das ist gestern [Dienstag] 5 Mal wieder passiert! Ich habe viele Windows- und Solaris-Server mit derselben Stromversorgung, die nicht betroffen waren – ich habe nur diese beiden Linux-Server.
Dinge, die ich berücksichtigt habe: - Auf keinem der Server wurden Hardwareprobleme gemeldet. Nur auf einem der Server läuft die Client-Software, die das USV-Verwaltungssystem benötigt [dessen Protokolle keine aktuellen Aktionen anzeigen]. Es gibt keinen lokalen oder Remote-Cron/at-Job, und die Neustarts erfolgen [soweit ich weiß] zu zufälligen Zeiten. „last -x“ zeigt [meiner Meinung nach] nichts Nützliches an, was für Nachrichten, Syslog und sichere Protokolle dasselbe ist.
Ich denke derzeit, dass böswillige Aktivitäten, die eine [nicht gepatchte] Linux-Sicherheitslücke ausnutzen, [mehr als wahrscheinlich] aus der Ferne aufgerufen werden und möglicherweise ein gewisses Maß anübertragenum anfällige Knoten auszulösen - aber ich bin paranoid :)
Da es nur tagsüber passiert, vermute ich, dass die Ursache möglicherweise eine Benutzer-Workstation [alle Fenster] ist, die nur während der Arbeitszeit eingeschaltet ist.
Meine Fragen sind: 1. Ist meine paranoide Theorie tragfähig? 2. Wie könnte ichfangendie Ursache der Neustarts?
Antwort1
Es könnte etwas ganz Einfaches sein, wie verschmutzter Strom. Sind das die einzigen Geräte an dieser Steckdosenleiste/an diesem Stecker?
Wenn Sie glauben, dass die Maschine aus irgendeinem Grund per Remote-Zugriff neu gestartet wird (falls möglich), trennen Sie sie vom Netzwerk. So können Sie das Problem beheben.
Antwort2
Vielen Dank für alle Vorschläge. Ichdenkenes ist jetzt gelöst - es wurde keine böswillige Absicht festgestellt. Ohne mein Wissen [ich arbeite von zu Hause aus] hatte unser PC-Support meine beiden Server vor etwa einem Monat an einen IP-KVM angeschlossen. Es scheint, dass durch die Anmeldung bei ihren Windows-Servern das CTRL-ALT-DEL-SignalLeckaußerhalb des beabsichtigten Ziels und werden von anderen verbundenen Knoten aufgegriffen. Wie Sie sicher wissen, führt CAD, wenn es im Standardmodus belassen wird [wie bei mir], zum Neustart von Linux-Servern. Ich konnte einige relevante Informationen erfassen, indem ich jede Sekunde ein „ps -ef“ ausführte und protokollierte – es zeigte, dass zum Zeitpunkt des Neustarts der verwendete Befehl „/sbin/shutdown -t3 -r 0 w“ war, was der Falle in /etc/inittab entspricht. Das Rätsel ist also gelöst (yn), aber ich habe eine wertvolle Quelle für Expertenwissen außerhalb meiner üblichen Google-Welt gefunden. Nochmals vielen Dank
Antwort3
Es hört sich so an, als ob Sie mit der Annahme, dass es sich hier um einen Kompromiss handeln könnte, auf dem richtigen Weg sind – insbesondere, wenn beide Server über dieselben Benutzerkonten/Passwörter verfügen.
Das erste, was ich tun würde, wäre wegzulaufen chkrootkitoderAbonnierenund sehen Sie, ob sie etwas finden. (nicht sicher, ob diese funktionieren, wenn sie installiert sind nachein Kompromiss ist bereits zustande gekommen oder nicht)
Als Zweites müssten Sie die Remote-Protokollierung aktivieren und genau herausfinden, was unmittelbar vor dem Neustart passiert ist.
Ein dritter Vorschlag könnte darin bestehen,muninoder etwas Ähnliches, um Ihre CPU-/Speichernutzung vor dem Neustart zu verfolgen.
Antwort4
Wenn Sie sie nicht vom Netzwerk trennen können, würde ich den Netzwerkverkehr abhören.
Ich bin nicht sicher, ob es eine gute Idee ist, tcpdump auf den betroffenen Maschinen selbst auszuführen, aber Sie können entweder die Portspiegelung auf Ihrem Switch verwenden oder sie vorübergehend an einen alten Hub (kein Switch) anschließen und eine separate Maschine verwenden, um tcpdump/Wireshark/was auch immer Sie möchten auszuführen.