Eu tenho 2 servidores Linux muito antigos (1 executando o RHEL ES versão 2.1 e o outro FC versão 3 - ambos severamente corrigidos [desculpe]) que foram reinicializados espontaneamente exatamente [ao segundo] no mesmo horário na última quinta-feira. Isso aconteceu de novo ontem [terça-feira] 5 vezes! Tenho muitos servidores Windows e Solaris na mesma fonte de alimentação que não foram afetados - só tenho esses dois servidores Linux.
Coisas que considerei: - Não há problemas de hardware relatados em nenhum dos servidores. Apenas um deles está executando o software cliente necessário ao sistema de gerenciamento do UPS [cujos registros não mostram ações recentes]. Não há trabalho cron/at local ou remoto e as reinicializações ocorrem em horários aleatórios [AFAIK]. "last -x" não mostra nada [IMHO] útil, o que é o mesmo para mensagens, syslog, logs seguros.
Atualmente estou pensando em atividades maliciosas explorando alguma vulnerabilidade do Linux [não corrigida] [mais do que provável] sendo chamada remotamente e possivelmente usando algum nível detransmissãopara tropeçar em nós vulneráveis - mas sou paranóico :)
Isso só acontece durante o dia, então estou pensando que a fonte pode ser uma estação de trabalho do usuário [todas as janelas] que fica ligada apenas durante o horário de trabalho.
Minhas perguntas são: - 1. Minha teoria paranóica é viável? 2. Como eu poderiaarmadilhaa origem das reinicializações?
Responder1
Poderia ser algo tão simples como poder sujo. Estas são as únicas máquinas neste filtro de linha/plugue?
Desconecte a máquina da rede se achar que ela está sendo reinicializada remotamente por qualquer motivo (se possível), e você pode eliminar isso.
Responder2
Obrigado por todas as sugestões. EUpensaragora está resolvido - nenhuma intenção maliciosa foi encontrada. Sem que eu saiba [sou um trabalhador remoto], mas nosso suporte para PC conectou meus 2 servidores a um KVM IP há cerca de um mês. Parece que através do ato de fazer login em seus servidores Windows, o sinal CTRL-ALT-DEL devevazarfora do alvo pretendido e são captados por outros nós conectados. Como tenho certeza de que você sabe, o CAD, se deixado no modo padrão [como o meu estava], faz com que os servidores Linux sejam reinicializados. Consegui capturar algumas informações pertinentes executando e registrando um "ps -ef" a cada segundo - ele mostrou no momento da reinicialização que o comando usado era "/sbin/shutdown -t3 -r 0 w" que se traduz na armadilha em / etc/inittab. Então o mistério foi resolvido (yn), mas encontrei uma fonte valiosa de conhecimento especializado fora do meu mundo habitual do Google. obrigado novamente
Responder3
Parece que você está no caminho certo pensando que isso pode ser comprometido - especialmente se ambos os servidores tiverem as mesmas contas/senhas de usuário.
A primeira coisa que eu faria é correr chkrootkitoucaçadore ver se eles encontram alguma coisa. (não tenho certeza se funcionarão se instalados depoisum compromisso já aconteceu ou não)
A segunda coisa seria ativar o registro remoto e descobrir exatamente o que aconteceu imediatamente antes da reinicialização.
Uma terceira sugestão pode ser instalarMuninou algo semelhante para rastrear o uso de CPU/memória antes da reinicialização.
Responder4
Se você não conseguir desconectá-los da rede, eu farejaria o tráfego da rede.
Não tenho certeza se executar o tcpdump nas máquinas afetadas é uma boa ideia, mas você pode usar o espelhamento de porta no seu switch ou conectá-los temporariamente em um hub antigo (não no switch) e usar uma máquina separada para executar o tcpdump/wireshark/o que você quiser. como.