Isso é uma violação de segurança?

1

Eu tenho um servidor rodando o Ubuntu 10.04LTS (eu sei que é muito antigo), que nas últimas duas semanas não tem respondido ao tráfego de rede, e precisava de um hard reset na manhã (9h quando o escritório abre).

Eu olhei pelo kern.log e notei um padrão.

Depois disso, normalmente há um bloco UFW de um endereço IP externo de entrada, erro VFS do CIFS, outro bloco UFW de um endereço IP diferente e, em seguida, nada registrado até a reinicialização. Não tenho certeza se isso significa que o servidor travou e o log parou ou se o log foi desligado ou limpo.

Os endereços IP externos variam de cada vez.

Log de exemplo:

Feb 19 01:46:43 Server1 kernel: [139893.285676] [UFW BLOCK] IN=eth0 OUT= MAC=00:26:b9:2e:79:5c:3c:81:d8:44:41:00:08:00 SRC=50.30.32.186 DST=10.0.0.1 LEN=52 TOS=0x00 PREC=0x00 TTL=107 ID=2976 DF PROTO=TCP SPT=57588 DPT=80 WINDOW=8192 RES=0x00 CWR ECE SYN URGP=0 
Feb 19 02:57:20 Server1 kernel: [144130.370015]  CIFS VFS: No response for cmd 50 mid 52893
Feb 19 02:57:21 Server1 kernel: [144130.760010]  CIFS VFS: No response to cmd 4 mid 52894
Feb 19 02:57:21 Server1 kernel: [144130.760015]  CIFS VFS: Send error in Close = -11
Feb 19 03:36:47 Server1 kernel: [146497.272912] [UFW BLOCK] IN=eth0 OUT= MAC=00:26:b9:2e:79:5c:3c:81:d8:44:41:00:08:00 SRC=86.108.49.79 DST=10.0.0.1 LEN=52 TOS=0x00 PREC=0x00 TTL=109 ID=29914 DF PROTO=TCP SPT=65452 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0 
Feb 19 09:00:56 Server1 kernel: [165946.155435] [UFW BLOCK] IN=eth0 OUT= MAC=00:26:b9:2e:79:5c:00:21:9b:29:91:aa:08:00 SRC=169.254.164.54 DST=10.0.0.1 LEN=89 TOS=0x00 PREC=0x00 TTL=255 ID=24 PROTO=UDP SPT=64676 DPT=53 LEN=69

Isso parece um ataque de tentativa / sucesso ou um problema com o próprio servidor?

UPDATE

Parece que o consenso geral é que isso não é um ataque, mas um erro. Como eu estava obcecado com uma violação de segurança, deixei de mencionar que esta manhã, reiniciar o servidor não corrigiu todos os problemas e eu para solucionar um pouco mais. Durante esse período, liguei o servidor a uma porta diferente no switch e as coisas funcionaram pouco depois. Apenas testou a porta novamente e parece morto. Isso causaria e erro que pararia de fazer o log para kern.log?

    
por Gavin 19.02.2014 / 13:29

3 respostas

5

As entradas do firewall e os erros do CIFS não têm relação óbvia entre si; eles ocorrem muitos minutos separados. E, além disso, esse tráfego foi bloqueado.

    
por 19.02.2014 / 13:36
1

Provavelmente não é um ataque, embora não possa ser fechado (nunca pode ser). Eles são provenientes de fontes totalmente diferentes, visando portos totalmente diferentes, tempos diferentes e alguns deles têm uma fonte interna e outra externa.

Eu vejo a causa mais provável, que não apenas seu software é antigo, mas também seu hardware. Este erro de envio parece um problema de hardware, provavelmente há alguma falha na comunicação DMA entre a memória e o controlador ethernet.

No seu lugar eu

  • tentou usar uma placa de rede externa

  • se não funcionar, substituí a placa-mãe do servidor (talvez placa-mãe / cpu / ram atualizada).

por 19.02.2014 / 13:39
1

Como Michael diz, os blocos de firewall parecem irrelevantes. Uma falha em um sistema de arquivos (CIFS VFS sendo o Sistema de Arquivos Virtual do Sistema de Arquivos da Internet Comum (sim, aceito que há redundância lá)), no entanto, pode fazer com que uma máquina fique realmente muito infeliz. Se é isso que está te matando, é muito mais provável que seja um bug do que qualquer coisa mal-intencionada - mas isso o estará derrubando da mesma forma.

Eu gastaria meu tempo de depuração examinando esses erros e ignoraria as coisas do firewall.

    
por 19.02.2014 / 13:38