什么信息可能被发送到我的服务器导致它重新启动?
细节:
我有一台运行 Ubuntu 10.04LTS 的内部使用的 LAMP 服务器(升级计划定在那个模糊的“当我有时间时”)。它运行几个内部脚本和监视器,是我远程访问办公室的首选网关。在过去的几个月里,ssh 和 web 攻击尝试以惊人的速度增加,两周前服务器开始无缘无故地重启。起初是夜间一次,然后是每晚一次,最后升级到每隔几个小时一次。
我查看了所有系统日志,其中只显示启动消息,然后是正常运行消息,然后再次显示启动消息。我运行了内存测试和驱动器测试以及 CPU 测试,结果全部正常。因此,我将注意力转向了那些不请自来的敲门者。
我想:任何国外的人都没有正当理由连接这台计算机。
因此我开始从日志中抓取一个明显是恶意用户的 IP 地址,使用 whois 来查找其托管公司,并禁止该托管公司的整个范围:
iptables -I INPUT -s 1.180.0.0/14 -j DROP
但这似乎很慢,所以我开始寻找更好的列表。在寻找的时候,服务器又重新启动了。我很快就找到了这个:http://nebulous.frikafrax.com/2013/323/chinanet-spam并花了几分钟拼凑一个 Perl 脚本将整个范围转储到 iptables 中。
不再随机重启服务器。
已经 3 天没有重启了。现在我的开场白结束了,问题是:
什么信息可能被发送到我的服务器导致它重新启动?有证据表明,原因不是硬件,而是一种攻击效应,可能是有意的,也可能是无意的副作用,但我希望获得有关此攻击的更多信息,以及将来检测和预防此攻击的方法。
欢迎任何想法或具体经验。
答案1
我希望获得有关此次袭击的更多信息
嗯,你是有日志的人,所以你需要自己做取证工作。这并非不可能你的服务器已被入侵,所以请尽职尽责地研究这个问题。如果您还没有运行资源监视器,请安装类似 munin 之类的程序,或者sysstat至少安装一个,这样您就可以记录系统资源的使用情况。
以及将来检测和预防的方法。
将服务器置于 VPN 后面。问题解决了。如果这不是一个选项,您应该确保禁用密码身份验证(使用密钥身份验证),并考虑在非标准端口上运行 sshd。使用非标准端口根本不会提高您的安全性,但肯定会减少日志中的大量噪音以及处理所有身份验证尝试的系统负载。