我有2 台非常舊的Linux 伺服器(其中一台運行RHEL ES 2.1 版,另一台運行FC 3 版- 兩者都嚴重未打補丁[抱歉]),它們在上週四的同一時間(到第二個)自發重新啟動。這種情況昨天[星期二]又發生了5次!我有很多使用相同電源的 Windows 和 Solaris 伺服器沒有受到影響 - 我只有這兩台 Linux 伺服器。
我考慮過的事情:- 兩台伺服器上都沒有報告硬體問題。其中只有一個正在執行 UPS 管理系統所需的客戶端軟體 [日誌顯示沒有最近的操作]。沒有本地或遠端 cron/at 作業,並且重新啟動是隨機的 [AFAIK] 次。 「last -x」沒有顯示任何有用的內容[恕我直言],這對於訊息、系統日誌、安全日誌來說是相同的。
我目前正在考慮利用某些[未修補的] Linux 漏洞的惡意活動[很可能]被遠端調用,並且可能使用某種級別的pod送絆倒易受攻擊的節點 - 但我很偏執:)
它只發生在白天,所以我認為來源可能是僅在工作時間打開的使用者工作站[所有視窗]。
我的問題是:- 1. 我的偏執理論可行嗎? 2.我怎麼可以陷阱重啟的根源?
答案1
它可能是像骯髒的權力一樣簡單的事情。這些是該電源板/插頭上唯一的機器嗎?
如果您認為電腦因任何原因(如果可能)而遠端重新啟動,請將其從網路上拔下,並且可以消除這種情況。
答案2
感謝所有的建議。我思考現在已經解決了 - 沒有發現惡意意圖。我不知道[我是遠端工作者],但我們的 PC 支援人員大約一個月前已將我的 2 台伺服器插入 IP KVM。看起來,透過他們登入 Windows 伺服器的行為,CTRL-ALT-DEL 訊號必須洩漏超出預期目標並被其他連接的節點接收。我確信您知道 CAD 如果保留預設模式(就像我的)會導致 Linux 伺服器重新啟動。我設法透過每秒運行並記錄一個“ps -ef”來捕獲一些相關資訊 - 它顯示在重新啟動時使用的命令是“/sbin/shutdown -t3 -r 0 w”,它轉換為 / 中的陷阱等/inittab。所以謎團解決了(yn),但我在我平常的谷歌世界之外找到了寶貴的專家知識來源。再次感謝
答案3
聽起來您正在正確的軌道上,認為這可能是一種妥協 - 特別是如果兩個伺服器具有相同的用戶帳戶/密碼。
我要做的第一件事就是跑步 chkrootkit或者獵人頭者看看他們是否發現了什麼。 (不確定如果安裝這些是否會起作用 後妥協是否已經發生)
第二件事是啟用遠端日誌記錄,並準確地弄清楚重新啟動之前發生了什麼。
第三個建議可能是安裝穆寧或類似的東西來在重新啟動之前追蹤你的CPU/記憶體使用情況。
答案4
如果您無法將它們從網路上拔下,我會嗅探網路流量。
不確定在受影響的電腦本身上執行tcpdump 是否是一個好主意,但您可以在交換器上使用連接埠鏡像,或者將它們臨時插入舊集線器(不是交換器)並使用單獨的電腦運行tcpdump/wireshark/無論您做什麼喜歡。