Tengo 2 servidores Linux muy antiguos (1 con RHEL ES versión 2.1 y el otro FC versión 3, ambos muy parcheados [lo siento]) que se reiniciaron espontáneamente exactamente [al segundo] a la misma hora el jueves pasado. ¡Esto volvió a suceder ayer [martes] 5 veces! Tengo muchos servidores Windows y Solaris en la misma fuente de alimentación que no se vieron afectados; solo tengo estos dos servidores Linux.
Cosas que he considerado: - No se han reportado problemas de hardware en ninguno de los servidores. Sólo uno de ellos ejecuta el software de cliente que necesita el sistema de gestión de UPS [cuyos registros no muestran acciones recientes]. No hay ningún trabajo cron/at local o remoto y los reinicios son aleatorios [AFAIK]. "last -x" no muestra nada [en mi humilde opinión] útil, que es lo mismo para mensajes, syslog y registros seguros.
Actualmente estoy pensando que la actividad maliciosa que explota alguna vulnerabilidad de Linux [sin parchear] [más que probable] se llama de forma remota y posiblemente usa algún nivel detransmisióndisparar nodos vulnerables, pero estoy paranoico :)
Solo sucede durante el día, así que creo que la fuente tal vez sea la estación de trabajo de un usuario [todas las ventanas] que solo está encendida durante el horario laboral.
Mis preguntas son: 1. ¿Es viable mi teoría paranoica? 2. ¿Cómo podríatrampa¿La fuente de los reinicios?
Respuesta1
Podría ser algo tan simple como poder sucio. ¿Son estas las únicas máquinas en esta regleta/enchufe?
Desenchufe la máquina de la red si cree que se está reiniciando de forma remota por algún motivo (si es posible), y podrá eliminarlo.
Respuesta2
Gracias por todas las sugerencias. IpensarAhora está resuelto: no se encontró ninguna intención maliciosa. Sin saberlo [soy un trabajador remoto], nuestro soporte técnico de PC había conectado mis 2 servidores a un KVM IP hace aproximadamente un mes. Parecería que al iniciar sesión en sus servidores de Windows, la señal CTRL-ALT-DEL debefiltraciónfuera del objetivo previsto y ser recogido por otros nodos conectados. Como estoy seguro de que sabe, CAD, si se deja en el modo predeterminado [como el mío], hace que los servidores Linux se reinicien. Logré capturar información pertinente ejecutando y registrando un "ps -ef" cada segundo; mostró que en el momento del reinicio el comando utilizado era "/sbin/shutdown -t3 -r 0 w", que se traduce como la trampa en / etc/inittab. Así que el misterio se resolvió (yn), pero encontré una valiosa fuente de conocimiento experto fuera de mi mundo habitual de Google. gracias de nuevo
Respuesta3
Parece que está en el camino correcto al pensar que esto podría ser un compromiso, especialmente si ambos servidores tienen las mismas cuentas de usuario/contraseñas.
Lo primero que haría es correr. chkrootkitocazadory ver si encuentran algo. (No estoy seguro si funcionarán si se instalan despuésya se ha llegado a un acuerdo o no)
Lo segundo sería habilitar el registro remoto y descubrir exactamente qué sucedió inmediatamente antes del reinicio.
Una tercera sugerencia podría ser instalarmunino algo similar para rastrear el uso de su CPU/memoria antes del reinicio.
Respuesta4
Si no puedes desconectarlos de la red, olfatearía el tráfico de la red.
No estoy seguro de si ejecutar tcpdump en las máquinas afectadas es una buena idea, pero puede usar la duplicación de puertos en su conmutador o conectarlos temporalmente a un concentrador antiguo (no a un conmutador) y usar una máquina separada para ejecutar tcpdump/wireshark/lo que sea que desee. como.