resultados estranhos de investigar uma reinicialização no auth.log

1

Meu servidor Ubuntu 14.04 está hospedado em um provedor de nuvem conhecido.

Eu notei hoje algo que geralmente faz meu coração parar:

user@myserver123:/var/log$ screen -ls
No Sockets found in /var/run/screen/S-user.

Confirmei que houve uma reinicialização na noite de sexta-feira (literalmente o pior momento para uma reinicialização).

Primeiro, verifiquei last :

reboot   system boot  3.16.0-31-generi Fri Jul 24 20:08 - 19:50 (3+23:42)   

wtmp begins Fri Jul 24 20:08:04 2015

Tentando investigar, examinei /var/log/auth.log e descobri o seguinte:

Por que todo o ^@ no arquivo de log? Linhas acima do bloco de ^@ são falhas de autenticação ssh normais.

Noto que diz (Power Button) na primeira linha após o ^@ .

Isso significa que alguém no data center pressionou o botão liga / desliga na máquina que hospeda o meu VPS?

    
por bee 28.07.2015 / 21:53

1 resposta

0

Você tem um bloco de bytes nulos no seu arquivo de log. Isto pode ser devido a:

  • Um bug no programa syslog. Improvável.
  • Um erro do kernel, especialmente um no sistema de arquivos ou nos drivers de disco. Provavelmente leve.
  • Um disco com falha. Desde que você tem um VPS, isso é algo para perguntar ao provedor de VPS.
  • Falha na RAM. Desde que você tem um VPS, isso é algo para perguntar ao provedor de VPS. Em uma máquina rodando em hardware não-ECC, a RAM é a primeira coisa que eu verifico.
  • Um atacante desajeitadamente não consegue esconder seus rastros. Muito improvável, porque escrever zeros é uma maneira estranha de esconder - copiar mensagens de log inofensivas ou simplesmente deletar as incriminatórias seria a coisa normal.

A mensagem sobre o botão liga / desliga não fornece informações sobre a causa da reinicialização. Está dizendo que agora, na sessão atual, o systemd iniciará um desligamento do sistema se você pressionar o botão de desligamento.

    
por 29.07.2015 / 03:10