我有 2 台非常老旧的 Linux 服务器(其中一台运行 RHEL ES 版本 2.1,另一台运行 FC 版本 3 - 两台都严重缺乏补丁 [抱歉]),它们在上周四同一时间 [精确到秒] 自发重启。昨天 [星期二] 又发生了 5 次!我有许多使用相同电源的 Windows 和 Solaris 服务器,它们没有受到影响 - 我只有这两台 Linux 服务器。
我考虑过的事情:- 两台服务器均未报告硬件问题。只有其中一台运行 UPS 管理系统所需的客户端软件 [日志未显示近期操作]。没有本地或远程 cron/at 作业,而且重启时间也是随机的 [AFAIK]。“last -x”没有显示任何有用的信息 [IMHO],消息、系统日志和安全日志也是如此。
我目前认为,恶意活动可能利用一些未修补的 Linux 漏洞,并可能被远程调用,并可能使用某种程度的播送绊倒脆弱的节点 - 但我很偏执:)
它只在白天发生,所以我认为来源可能是仅在工作时间开启的用户工作站[所有窗口]。
我的问题是:1. 我的偏执理论可行吗?2. 我如何才能陷阱重启的根源?
答案1
原因可能很简单,比如电源不干净。这个电源板/插头上只有这些机器吗?
如果您认为机器因任何原因被远程重启(如果可能),请将机器从网络上拔下,这样就可以消除这种情况。
答案2
感谢大家的建议。我思考现在问题已经解决 - 没有发现任何恶意意图。我不知道 [我是一名远程工作者],但我们的 PC 支持人员大约一个月前将我的 2 台服务器插入了 IP KVM。看来,通过他们登录 Windows 服务器的行为,CTRL-ALT-DEL 信号必须泄露在预定目标之外,并被其他连接节点接收。我确信您知道,如果将 CAD 置于默认模式(就像我的一样),会导致 Linux 服务器重新启动。我设法通过每秒运行和记录“ps -ef”来捕获一些相关信息 - 它显示在重新启动时使用的命令是“/sbin/shutdown -t3 -r 0 w”,这转换为 /etc/inittab 中的陷阱。所以谜团解开了(yn),但我在通常的谷歌世界之外找到了一个宝贵的专家知识来源。再次感谢
答案3
听起来你是在正确的轨道上思考这可能是一个妥协 - 特别是如果两台服务器具有相同的用户帐户/密码。
我要做的第一件事就是跑步 chkroot工具或者亨特看看他们是否发现了什么。(不确定安装后这些是否会起作用) 后妥协已经发生或没有发生)
第二件事是启用远程日志记录,并查明重启之前发生的具体情况。
第三个建议可能是安装穆宁或类似的东西来跟踪重启之前的 CPU/内存使用情况。
答案4
如果您无法将它们从网络上拔下,我会嗅探网络流量。
不确定在受影响的机器上运行 tcpdump 是否是个好主意,但您可以在交换机上使用端口镜像或将它们临时插入旧的集线器(不是交换机),并使用单独的机器运行 tcpdump/wireshark/任何您喜欢的程序。