我有一台运行 Ubuntu 10.04LTS(我知道它太旧了)的服务器,在过去的几周里,它有时对网络流量没有响应,并且需要在早上(办公室开门时是上午 9 点)第一件事就是进行硬重置。
我查看了 kern.log 并注意到了一个模式。
发生这种情况后,通常会有一个来自传入外部 IP 地址的 UFW 块、CIFS VFS 错误、另一个来自不同 IP 地址的 UFW 块,然后直到重新启动才记录任何内容。我不确定这是否意味着服务器崩溃并且日志记录已停止,或者日志是否已关闭或清理。
外部 IP 地址每次都不同。
示例日志:
Feb 19 01:46:43 Server1 kernel: [139893.285676] [UFW BLOCK] IN=eth0 OUT= MAC=00:26:b9:2e:79:5c:3c:81:d8:44:41:00:08:00 SRC=50.30.32.186 DST=10.0.0.1 LEN=52 TOS=0x00 PREC=0x00 TTL=107 ID=2976 DF PROTO=TCP SPT=57588 DPT=80 WINDOW=8192 RES=0x00 CWR ECE SYN URGP=0
Feb 19 02:57:20 Server1 kernel: [144130.370015] CIFS VFS: No response for cmd 50 mid 52893
Feb 19 02:57:21 Server1 kernel: [144130.760010] CIFS VFS: No response to cmd 4 mid 52894
Feb 19 02:57:21 Server1 kernel: [144130.760015] CIFS VFS: Send error in Close = -11
Feb 19 03:36:47 Server1 kernel: [146497.272912] [UFW BLOCK] IN=eth0 OUT= MAC=00:26:b9:2e:79:5c:3c:81:d8:44:41:00:08:00 SRC=86.108.49.79 DST=10.0.0.1 LEN=52 TOS=0x00 PREC=0x00 TTL=109 ID=29914 DF PROTO=TCP SPT=65452 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Feb 19 09:00:56 Server1 kernel: [165946.155435] [UFW BLOCK] IN=eth0 OUT= MAC=00:26:b9:2e:79:5c:00:21:9b:29:91:aa:08:00 SRC=169.254.164.54 DST=10.0.0.1 LEN=89 TOS=0x00 PREC=0x00 TTL=255 ID=24 PROTO=UDP SPT=64676 DPT=53 LEN=69
这看起来像是一次尝试/成功的攻击,还是服务器本身的问题?
更新
看起来大家普遍认为这不是攻击,而是一个错误。由于我专注于安全漏洞,今天早上我忘记提到这一点,重新启动服务器并没有解决所有问题,我还需要进行更多的故障排除。在此期间,我将服务器插入交换机上的另一个端口,不久之后一切正常。刚刚再次测试了端口,它似乎坏了。这会导致停止记录到 kern.log 的错误吗?
答案1
防火墙条目和 CIFS 错误之间没有明显的联系;它们发生的时间相隔太久。此外,该流量已被阻止。
答案2
这可能不是攻击,尽管它无法被阻止(永远不可能)。它们来自完全不同的来源,针对完全不同的端口,不同的时间,其中一些有内部来源,一些有外部来源。
我认为最可能的原因是,不仅您的软件旧了,而且您的硬件也旧了。此发送错误看起来像是硬件问题,可能是内存和以太网控制器之间发生了 DMA 通信故障。
代替你,我
尝试使用外部网卡
如果不起作用,我更换了服务器的主板(也许升级了主板/cpu/ram)。
答案3
正如迈克尔所说,防火墙阻止似乎无关紧要。然而,文件系统故障(CIFS VFS 是通用互联网文件系统虚拟文件系统(是的,我承认其中存在冗余))确实会导致机器变得非常不正常。如果这就是导致您崩溃的原因,那么它更有可能是一个错误,而不是任何恶意软件 - 但同样,它也会让您崩溃。
我会花费调试时间来调查这些错误,而忽略防火墙的问题。