У меня есть 2 очень старых сервера Linux (один с RHEL ES версии 2.1, а другой с FC версии 3 — оба сильно недопатчены [извините]), которые спонтанно перезагрузились точно в [с точностью до секунды] в одно и то же время в прошлый четверг. Это произошло снова вчера [во вторник] 5 раз! У меня много серверов Windows и Solaris на одном и том же блоке питания, которые не пострадали — у меня есть только эти два сервера Linux.
Что я рассмотрел: - На обоих серверах не сообщается о проблемах с оборудованием. Только на одном из них запущено клиентское программное обеспечение, необходимое для системы управления ИБП [журналы которой не показывают недавних действий]. Нет ни локального, ни удаленного задания cron/at, а перезагрузки происходят в случайное [AFAIK] время. "last -x" не показывает ничего [IMHO] полезного, то же самое касается сообщений, системного журнала, защищенных журналов.
В настоящее время я думаю, что вредоносная активность, использующая некоторую [неисправленную] уязвимость Linux [более чем вероятна], вызывается удаленно и, возможно, с использованием некоторого уровняbroadcastчтобы отключить уязвимые узлы - но я параноик :)
Это происходит только в течение дня, поэтому я думаю, что источником может быть рабочая станция пользователя [все окна], которая включена только в рабочее время.
У меня такие вопросы: 1. Жизнеспособна ли моя параноидальная теория? 2. Как я могуловушкаисточник перезагрузок?
решение1
Это может быть что-то простое, например, грязная энергия. Это единственные машины на этом удлинителе/вилке?
Если вы считаете, что по какой-либо причине компьютер удаленно перезагружается (если это возможно), отключите его от сети, и вы сможете устранить эту проблему.
решение2
Спасибо за все предложения. Ядуматьтеперь это решено - никакого злого умысла не обнаружено. Без моего ведома [я удаленный работник], но наша поддержка ПК подключила мои 2 сервера к IP KVM около месяца назад. Похоже, что через процесс входа на свои серверы Windows сигнал CTRL-ALT-DEL долженутечказа пределами предполагаемой цели и быть перехваченным другими подключенными узлами. Как я уверен, вы знаете, CAD, если оставить его в режиме по умолчанию [как у меня], вызывает перезагрузку серверов Linux. Мне удалось получить некоторую относящуюся к делу информацию, запустив и записав "ps -ef" каждую секунду - он показал, что во время перезагрузки использовалась команда "/sbin/shutdown -t3 -r 0 w", что переводится как ловушка в /etc/inittab. Так что тайна раскрыта (yn), но я нашел ценный источник экспертных знаний за пределами моего обычного мира Google. Спасибо еще раз
решение3
Похоже, вы на правильном пути, думая, что это может быть компромиссом, особенно если на обоих серверах одинаковые учетные записи пользователей/пароли.
Первое, что я бы сделал, это побежал chkrootkitилиrkhunterи посмотрим, найдут ли они что-нибудь. (не уверен, что они будут работать, если установлены) послекомпромисс уже произошел или нет)
Во-вторых, необходимо включить удаленное ведение журнала и выяснить, что именно произошло непосредственно перед перезагрузкой.
Третье предложение может заключаться в установкемунинили что-то подобное для отслеживания использования процессора/памяти перед перезагрузкой.
решение4
Если вы не можете отключить их от сети, я бы прослушал сетевой трафик.
Не уверен, что запуск tcpdump на затронутых машинах — хорошая идея, но вы можете использовать зеркалирование портов на своем коммутаторе или временно подключить их к старому концентратору (не коммутатору) и использовать отдельную машину для запуска tcpdump/wireshark/чего угодно.