调查 auth.log 中的重新启动后出现奇怪的结果

调查 auth.log 中的重新启动后出现奇怪的结果

我的 Ubuntu 14.04 服务器托管在一家知名的云提供商上。

今天我注意到一些通常让我心跳停止的事情:

user@myserver123:/var/log$ screen -ls
No Sockets found in /var/run/screen/S-user.

我确认周五晚上有重启(实际上是重启发生的最糟糕的时间)。

首先我检查了last

reboot   system boot  3.16.0-31-generi Fri Jul 24 20:08 - 19:50 (3+23:42)   

wtmp begins Fri Jul 24 20:08:04 2015

我尝试调查/var/log/auth.log并发现了这一点:

授权日志

为什么所有这些都^@在日志文件中?块上方的行^@是正常的 ssh 身份验证失败。

我注意到它写(Power Button)在 . 之后的第一行^@

这是否意味着数据中心有人按下了托管我的 VPS 的计算机上的电源按钮?

答案1

您的日志文件中有一个空字节块。这可能是由于:

  • syslog 程序中的错误。不太可能。
  • 内核错误,尤其是文件系统或磁盘驱动程序中的错误。可能性不大。
  • 出现故障的磁盘。由于您有 VPS,因此需要询问 VPS 提供商。
  • 内存故障。由于您有 VPS,因此需要询问 VPS 提供商。在运行非 ECC 硬件的机器上,RAM 是我首先要检查的东西。
  • 攻击者笨拙地未能隐藏他们的踪迹。可能性很小,因为写零是一种奇怪的隐藏方式——复制无害的日志消息或直接删除有罪的日志消息是正常的事情。

有关电源按钮的消息未提供有关重新启动原因的信息。也就是说,现在,在当前会话中,如果您按下关机按钮,systemd 将启动系统关闭。

相关内容