这是 /var/log/messages 中的最后一条日志条目,此后机器已停止。我该如何调试机器停止的原因?
我不确定,但也许系统停止是因为外部攻击,因为 pure-ftpd 出现很多“身份验证失败”。
服务器详细信息:
- CentOS 版本 6.3
- 内核 2.6.32-279.1.1.el6.x86_64
AWS EC2 m1.small 实例
Jun 17 06:48:55 xxxxx pure-ftpd: ([email protected]) [WARNING] Authentication failed for user [xxxxx.us] Jun 17 06:48:55 xxxxx pure-ftpd: ([email protected]) [INFO] Logout. Jun 17 06:48:55 xxxxx pure-ftpd: ([email protected]) [INFO] New connection from 178.212.111.31 Jun 17 06:49:01 xxxxx pure-ftpd: ([email protected]) [WARNING] Authentication failed for user [xxxxx.us] Jun 17 06:49:01 xxxxx pure-ftpd: ([email protected]) [INFO] Logout. Jun 17 08:36:10 xxxxx pure-ftpd: ([email protected]) [INFO] New connection from 195.23.240.21 Jun 17 08:36:17 xxxxx pure-ftpd: ([email protected]) [WARNING] Authentication failed for user [admin] Jun 17 08:36:17 xxxxx pure-ftpd: ([email protected]) [INFO] Logout. Jun 17 09:06:54 xxxxx init: tty (/dev/tty1) main process (1258) killed by TERM signal Jun 17 09:06:54 xxxxx init: tty (/dev/tty2) main process (1260) killed by TERM signal Jun 17 09:06:54 xxxxx init: tty (/dev/tty3) main process (1262) killed by TERM signal Jun 17 09:06:54 xxxxx init: tty (/dev/tty4) main process (1264) killed by TERM signal Jun 17 09:06:54 xxxxx init: serial (hvc0) main process (1266) killed by TERM signal Jun 17 09:06:54 xxxxx init: tty (/dev/tty5) main process (1267) killed by TERM signal Jun 17 09:06:54 xxxxx init: tty (/dev/tty6) main process (1269) killed by TERM signal Jun 17 09:07:08 xxxxx abrtd: Got signal 15, exiting Jun 17 09:07:12 xxxxx init: Disconnected from system bus Jun 17 09:07:12 xxxxx auditd[1296]: The audit daemon is exiting. Jun 17 09:07:12 xxxxx kernel: type=1305 audit(1402996032.289:34539): audit_pid=0 old=1296 auid=4294967295 ses=4294967295 res=1 Jun 17 09:07:12 xxxxx kernel: type=1305 audit(1402996032.427:34540): audit_enabled=0 old=1 auid=4294967295 ses=4294967295 res=1 Jun 17 09:07:12 xxxxx kernel: Kernel logging (proc) stopped. Jun 17 09:07:12 xxxxx rsyslogd: [origin software="rsyslogd" swVersion="5.8.10" x-pid="12339" x-info="http://www.rsyslog.com"] exiting on signal 15.
答案1
我相信这只是 AWS 资源分配的一个简单问题。如果你的 pure-ftpd 被暴力破解,它会将你的一个分配限制在突发限额内。我不太了解亚马逊实例的工作原理,但这个答案适用于 m1.micro——AWS 可能会关闭您的实例(即使它的报价稍高一些)。
然而,好消息是你的 pure-ftpd 是最新的软件包,所以从我的观察来看,我没有发现任何漏洞。坏消息是你的内核太旧了(根据我的 VM,最新的是 2.6.32-431.el6)——里面有好几个漏洞。
我的建议是,为了安全起见,先构建一个新实例,更新所有最新内容,然后在采取安全预防措施后将所有内容迁移到该实例上,以防万一受到攻击。此外,我强烈建议至少安装 fail2ban,并研究各种 IDS 或防火墙策略,以帮助降低您的攻击面。