resultados estranhos de investigar uma reinicialização no auth.log

Question

resultados estranhos de investigar uma reinicialização no auth.log

#1 resposta do (0 votos)

1

Meu servidor Ubuntu 14.04 está hospedado em um provedor de nuvem conhecido.

Eu notei hoje algo que geralmente faz meu coração parar:

user@myserver123:/var/log$ screen -ls
No Sockets found in /var/run/screen/S-user.

Confirmei que houve uma reinicialização na noite de sexta-feira (literalmente o pior momento para uma reinicialização).

Primeiro, verifiquei last :

reboot   system boot  3.16.0-31-generi Fri Jul 24 20:08 - 19:50 (3+23:42)   

wtmp begins Fri Jul 24 20:08:04 2015

Tentando investigar, examinei /var/log/auth.log e descobri o seguinte:

Por que todo o ^@ no arquivo de log? Linhas acima do bloco de ^@ são falhas de autenticação ssh normais.

Noto que diz (Power Button) na primeira linha após o ^@ .

Isso significa que alguém no data center pressionou o botão liga / desliga na máquina que hospeda o meu VPS?

systemd reboot login cloud logs

por bee 28.07.2015 / 21:53

1 resposta

Tags systemd reboot login cloud logs

Meu Fedora 22 não consegue descobrir redes wifi? Como descartar o pacote se a entrada do conntrack não estiver presente

score 0 · Accepted Answer

Você tem um bloco de bytes nulos no seu arquivo de log. Isto pode ser devido a:

Um bug no programa syslog. Improvável.
Um erro do kernel, especialmente um no sistema de arquivos ou nos drivers de disco. Provavelmente leve.
Um disco com falha. Desde que você tem um VPS, isso é algo para perguntar ao provedor de VPS.
Falha na RAM. Desde que você tem um VPS, isso é algo para perguntar ao provedor de VPS. Em uma máquina rodando em hardware não-ECC, a RAM é a primeira coisa que eu verifico.
Um atacante desajeitadamente não consegue esconder seus rastros. Muito improvável, porque escrever zeros é uma maneira estranha de esconder - copiar mensagens de log inofensivas ou simplesmente deletar as incriminatórias seria a coisa normal.

A mensagem sobre o botão liga / desliga não fornece informações sobre a causa da reinicialização. Está dizendo que agora, na sessão atual, o systemd iniciará um desligamento do sistema se você pressionar o botão de desligamento.