我的 Ubuntu 14.04 服务器托管在一家知名的云提供商上。
今天我注意到一些通常让我心跳停止的事情:
user@myserver123:/var/log$ screen -ls
No Sockets found in /var/run/screen/S-user.
我确认周五晚上有重启(实际上是重启发生的最糟糕的时间)。
首先我检查了last:
reboot system boot 3.16.0-31-generi Fri Jul 24 20:08 - 19:50 (3+23:42)
wtmp begins Fri Jul 24 20:08:04 2015
我尝试调查/var/log/auth.log并发现了这一点:
为什么所有这些都^@在日志文件中?块上方的行^@是正常的 ssh 身份验证失败。
我注意到它写(Power Button)在 . 之后的第一行^@。
这是否意味着数据中心有人按下了托管我的 VPS 的计算机上的电源按钮?
答案1
您的日志文件中有一个空字节块。这可能是由于:
- syslog 程序中的错误。不太可能。
- 内核错误,尤其是文件系统或磁盘驱动程序中的错误。可能性不大。
- 出现故障的磁盘。由于您有 VPS,因此需要询问 VPS 提供商。
- 内存故障。由于您有 VPS,因此需要询问 VPS 提供商。在运行非 ECC 硬件的机器上,RAM 是我首先要检查的东西。
- 攻击者笨拙地未能隐藏他们的踪迹。可能性很小,因为写零是一种奇怪的隐藏方式——复制无害的日志消息或直接删除有罪的日志消息是正常的事情。
有关电源按钮的消息未提供有关重新启动原因的信息。也就是说,现在,在当前会话中,如果您按下关机按钮,systemd 将启动系统关闭。