저는 아주 오래된 Linux 서버 2개(1개는 RHEL ES 릴리스 2.1을 실행하고 다른 하나는 FC 릴리스 3을 실행 중입니다. 둘 다 심각하게 패치가 적용되지 않음[죄송합니다])가 지난 목요일 정확히 [두 번째까지] 같은 시간에 자동으로 재부팅되었습니다. 어제[화] 이런 일이 5번이나 반복됐어요! 동일한 전원 공급 장치에 영향을 받지 않은 많은 Windows 및 Solaris 서버가 있습니다. 이 두 개의 Linux 서버만 있습니다.
내가 고려한 사항: - 두 서버 모두에서 하드웨어 문제가 보고되지 않았습니다. 그 중 하나만 UPS 관리 시스템에 필요한 클라이언트 소프트웨어를 실행하고 있습니다(로그에는 최근 작업이 표시되지 않음). 로컬 또는 원격 cron/at 작업이 없으며 재부팅은 무작위로 [AFAIK] 시간에 수행됩니다. "last -x"는 [IMHO] 유용한 내용을 표시하지 않으며 이는 메시지, syslog, 보안 로그에도 동일합니다.
나는 현재 패치되지 않은 일부 Linux 취약점을 악용하는 악의적인 활동이 원격으로 호출되고 일정 수준의방송취약한 노드를 트립하려고 합니다. 하지만 저는 편집증적입니다. :)
낮에만 발생하므로 소스는 근무 시간에만 켜져 있는 사용자 워크스테이션[모든 창]일 수 있다고 생각합니다.
내 질문은 다음과 같습니다. - 1. 내 편집증 이론이 실행 가능합니까? 2. 내가 어떻게 할 수 있니?덫재부팅의 원인은 무엇입니까?
답변1
그것은 더러운 권력처럼 단순한 것일 수도 있습니다. 이 전원 스트립/플러그에 이 기계만 있습니까?
어떤 이유로든(가능한 경우) 원격으로 재부팅되고 있다고 생각되면 네트워크에서 머신의 플러그를 뽑으면 이를 제거할 수 있습니다.
답변2
모든 제안에 감사드립니다. 나생각하다이제 해결되었습니다. 악의적인 의도는 발견되지 않았습니다. 저에게는 알려지지 않았지만[저는 원격 근무자입니다] 우리 PC 지원팀은 약 한 달 전에 제 서버 2대를 IP KVM에 연결했습니다. Windows 서버에 로그인하는 행위를 통해 CTRL-ALT-DEL 신호가 필요한 것으로 보입니다.새다의도한 대상 외부에 있고 연결된 다른 노드에 의해 선택됩니다. CAD를 [나의 경우처럼] 기본 모드로 두면 Linux 서버가 재부팅된다는 점을 여러분도 알고 계실 것입니다. 매초마다 "ps -ef"를 실행하고 로깅하여 관련 정보를 캡처할 수 있었습니다. 재부팅 시 사용된 명령은 "/sbin/shutdown -t3 -r 0 w"였으며 이는 /의 트랩으로 변환됩니다. etc/inittab. 그래서 미스터리는 풀렸지만(yn) 평소 Google 세계 밖에서 전문 지식의 귀중한 소스를 찾았습니다. 다시 한번 감사드립니다
답변3
특히 두 서버가 동일한 사용자 계정/비밀번호를 가지고 있는 경우에는 이것이 손상될 수 있다고 생각하는 것이 올바른 방향으로 가고 있는 것 같습니다.
내가 가장 먼저 할 일은 달리는 것이다. chkrootkit또는르헌터그리고 그들이 뭔가를 찾는지 살펴보세요. (설치해도 작동할지 확실하지 않음) ~ 후에타협이 이미 발생했는지 여부)
두 번째는 원격 로깅을 활성화하고 재부팅 직전에 무슨 일이 일어났는지 정확히 파악하는 것입니다.
세 번째 제안은 설치하는 것입니다.무닌또는 재부팅하기 전에 CPU/메모리 사용량을 추적하는 것과 유사한 것입니다.
답변4
네트워크에서 플러그를 뽑을 수 없다면 네트워크 트래픽을 스니핑하겠습니다.
영향을 받는 시스템 자체에서 tcpdump를 실행하는 것이 좋은 생각인지는 확실하지 않지만 스위치에서 포트 미러링을 사용하거나 일시적으로 이전 허브(스위치 아님)에 연결하고 별도의 시스템을 사용하여 tcpdump/wireshark/무엇이든 실행할 수 있습니다. 좋다.