Pode ser algo tão simples quanto o poder sujo. Estas são as únicas máquinas neste filtro / plugue?
Desconecte a máquina da rede se você acha que ela está sendo reinicializada remotamente por qualquer motivo (se possível), e você pode eliminar isso.
Eu tenho 2 servidores Linux muito antigos (1 rodando o RHEL ES release 2.1 e o outro FC release 3 - ambos severamente sob patch [desculpe]) que foram reinicializados espontaneamente exatamente ao mesmo tempo na mesma quinta-feira passada. Isso aconteceu novamente ontem [terça-feira] 5 vezes! Eu tenho muitos Windows & Servidores Solaris na mesma fonte de alimentação que não foram afetados - só tenho esses dois servidores Linux.
Coisas que eu considerei: - Não há problemas de hardware relatados em qualquer servidor. Apenas um deles está executando o software cliente necessário para o sistema de gerenciamento da UPS [cujos registros não mostram ações recentes]. Não existe um cron / job local ou remoto e as reinicializações são aleatórias [AFAIK] vezes. "last -x" não mostra nada [IMHO] útil, o que é o mesmo para mensagens, syslog, logs seguros.
Atualmente, estou pensando que a atividade maliciosa está explorando alguma vulnerabilidade do Linux [sem patches] [mais do que provável] sendo chamada remotamente e possivelmente usando algum nível broadcast para bloquear nós vulneráveis - mas sou paranóico :)
Isso só acontece durante o dia, então estou pensando que a fonte talvez seja uma estação de trabalho de usuários [todas as janelas] que esteja ativa apenas durante o horário de trabalho.
Minhas perguntas são: - 1. Minha teoria paranoica é viável? 2. Como eu poderia <> capturar a origem das reinicializações?
Pode ser algo tão simples quanto o poder sujo. Estas são as únicas máquinas neste filtro / plugue?
Desconecte a máquina da rede se você acha que ela está sendo reinicializada remotamente por qualquer motivo (se possível), e você pode eliminar isso.
Obrigado por todas as sugestões. Eu acho que está resolvido - nenhuma intenção maliciosa foi encontrada. Sem que eu soubesse [sou um trabalhador remoto], mas nosso suporte a PC havia conectado meus dois servidores a um IP KVM há cerca de um mês. Parece que através do ato deles logando em seus servidores windows o sinal CTRL-ALT-DEL deve vazar fora do alvo pretendido e ser captado por outros nós conectados. Como tenho certeza, você sabe que o C-A-D, se deixado no modo padrão [como o meu], faz com que os servidores Linux sejam reinicializados. Consegui capturar algumas informações pertinentes executando & registrando um "ps -ef" a cada segundo - ele mostrava no momento da reinicialização que o comando usado era "/ sbin / shutdown -t3 -r0w", que se traduz no trap em / etc / inittab. Então mistério resolvido (yn), mas eu encontrei uma fonte valiosa de conhecimento especializado fora do meu mundo google habitual. Obrigado novamente
Parece que você está no caminho certo, achando que isso pode ser um compromisso - especialmente se ambos os servidores tiverem as mesmas contas / senhas de usuário.
A primeira coisa que eu faria seria executar chkrootkit ou rkhunter e veja se eles encontram alguma coisa. (não tenho certeza se estas funcionarem se instaladas após um compromisso já aconteceu ou não)
A segunda coisa seria permitir log remoto, e descobrir exatamente o que aconteceu imediatamente antes da reinicialização.
Uma terceira sugestão pode ser instale munin ou algo assim semelhante para rastrear sua cpu / memória uso antes da reinicialização.
Você verificou se eles estão no mesmo patch de energia?
Se o seu problema de energia estiver entre o no-break e as máquinas, ele não será exibido nos registros.
Se você não conseguir desconectá-los da rede, eu detectaria o tráfego de rede.
Não tenho certeza se a execução do tcpdump nas próprias máquinas afetadas é uma boa ideia, mas você pode usar o espelhamento de portas no seu switch ou conectá-los temporariamente a um hub antigo (sem switch) e usar uma máquina separada para executar tcpdump / wireshark / o que você quiser.
Tags linux