Мой ящик Fedora, размещенный в облаке, загадочным образом отключился сегодня утром, и мне интересно, насколько я должен быть параноиком. Событие произошло 21 апреля, сразу после 15:00 по системному времени.
В last -x, Я вижу очевидную перезагрузку (которую я не инициировал), не удалось поднял систему примерно на 1 час 20 минут, после чего остановился.
swaldman pts/0 64.71.8.198 Mon Apr 22 01:11 still logged in
reboot system boot 4.18.19-100.fc27 Mon Apr 22 01:11 still running
swaldman pts/0 64.71.8.198 Mon Apr 22 00:40 - 01:10 (00:30)
swaldman tty1 Mon Apr 22 00:37 - 00:39 (00:02)
reboot system boot 4.18.19-100.fc27 Mon Apr 22 00:36 - 01:11 (00:34)
reboot system boot 4.18.19-100.fc27 Sun Apr 21 15:04 - 01:11 (10:07)
swaldman pts/0 198.27.182.181 Sat Apr 13 19:27 - 05:08 (09:40)
swaldman pts/0 198.27.182.181 Fri Apr 12 06:50 - 09:04 (02:14)
swaldman pts/0 198.27.182.181 Thu Apr 11 00:12 - 20:46 (20:33)
Как часто бывает, много неудачных ssh попытки, которые предположительно являются атаками. Но что действительно странно, так это куча пустых записей в lastb вывод на момент события:
(Обновить: Дальнейшее расследование показывает услугу - geth или go-ethereum произошел сбой, а затем перед перезагрузкой произошла попытка перезапуска. После перезагрузки эта служба постоянно работала неправильно, выдавая сообщения об ошибках, связанные с некоторыми службами. geth[774]: ########## BAD BLOCK #########, некоторые выглядят как проблемы с диском, kernel: print_req_error: I/O error, dev vda, sector 665884656, пока сервер не сломался. На данный момент он работает нормально, включая ранее проблемные geth служба. Может быть, у моего хоста были проблемы с оборудованием, которые они с тех пор решили? Тем не менее, пустой lastb записи кажутся действительно странными. Но они, вероятно, соответствуют неудачным попыткам входа в систему во время злополучной перезагрузки за 1 час 20 минут. Странно, что регистрация этих попыток не увенчалась успехом или просто не удалась, а вместо этого частично потерпела неудачу, оставив эти пустые записи.)
andrey ssh:notty 51.77.201.36 Mon Apr 22 00:40 - 00:40 (00:00)
andrey ssh:notty 51.77.201.36 Mon Apr 22 00:40 - 00:40 (00:00)
default ssh:notty 206.189.197.48 Mon Apr 22 00:40 - 00:40 (00:00)
default ssh:notty 206.189.197.48 Mon Apr 22 00:40 - 00:40 (00:00)
root ssh:notty 182.113.224.25 Mon Apr 22 00:39 - 00:39 (00:00)
root ssh:notty 182.113.224.25 Mon Apr 22 00:39 - 00:39 (00:00)
root ssh:notty 182.113.224.25 Mon Apr 22 00:39 - 00:39 (00:00)
root ssh:notty 182.113.224.25 Mon Apr 22 00:39 - 00:39 (00:00)
root ssh:notty 182.113.224.25 Mon Apr 22 00:39 - 00:39 (00:00)
root ssh:notty 182.113.224.25 Mon Apr 22 00:39 - 00:39 (00:00)
swaldman tty1 Mon Apr 22 00:37 - 00:37 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
Thu Jan 1 00:00 - 00:00 (00:00)
root ssh:notty 218.92.0.167 Sun Apr 21 15:02 - 15:02 (00:00)
root ssh:notty 218.92.0.167 Sun Apr 21 15:02 - 15:02 (00:00)
root ssh:notty 218.92.0.167 Sun Apr 21 15:02 - 15:02 (00:00)
root ssh:notty 218.92.0.167 Sun Apr 21 15:02 - 15:02 (00:00)
root ssh:notty 218.92.0.167 Sun Apr 21 15:02 - 15:02 (00:00)
root ssh:notty 218.92.0.167 Sun Apr 21 15:02 - 15:02 (00:00)
root ssh:notty 218.92.0.167 Sun Apr 21 15:02 - 15:02 (00:00)
root ssh:notty 218.92.0.167 Sun Apr 21 15:02 - 15:02 (00:00)
root ssh:notty 218.92.0.167 Sun Apr 21 15:02 - 15:02 (00:00)
root ssh:notty 218.92.0.167 Sun Apr 21 15:02 - 15:02 (00:00)
root ssh:notty 218.92.0.167 Sun Apr 21 15:02 - 15:02 (00:00)
root ssh:notty 218.92.0.167 Sun Apr 21 15:02 - 15:02 (00:00)
root ssh:notty 218.92.0.167 Sun Apr 21 15:02 - 15:02 (00:00)
root ssh:notty 218.92.0.167 Sun Apr 21 15:02 - 15:02 (00:00)
root ssh:notty 218.92.0.167 Sun Apr 21 15:02 - 15:02 (00:00)
root ssh:notty 218.92.0.167 Sun Apr 21 15:01 - 15:01 (00:00)
root ssh:notty 218.92.0.167 Sun Apr 21 15:01 - 15:01 (00:00)
root ssh:notty 218.92.0.167 Sun Apr 21 15:01 - 15:01 (00:00)
root ssh:notty 218.92.0.167 Sun Apr 21 15:01 - 15:01 (00:00)
root ssh:notty 218.92.0.167 Sun Apr 21 15:01 - 15:01 (00:00)
root ssh:notty 218.92.0.167 Sun Apr 21 15:01 - 15:01 (00:00)
root ssh:notty 218.92.0.167 Sun Apr 21 15:01 - 15:01 (00:00)
root ssh:notty 218.92.0.167 Sun Apr 21 15:01 - 15:01 (00:00)
root ssh:notty 218.92.0.167 Sun Apr 21 15:01 - 15:01 (00:00)
root ssh:notty 218.92.0.167 Sun Apr 21 15:01 - 15:01 (00:00)
root ssh:notty 218.92.0.167 Sun Apr 21 15:01 - 15:01 (00:00)
root ssh:notty 218.92.0.167 Sun Apr 21 15:01 - 15:01 (00:00)
root ssh:notty 218.92.0.167 Sun Apr 21 15:01 - 15:01 (00:00)
root ssh:notty 218.92.0.167 Sun Apr 21 15:01 - 15:01 (00:00)
root ssh:notty 218.92.0.167 Sun Apr 21 15:01 - 15:01 (00:00)
root ssh:notty 218.92.0.167 Sun Apr 21 15:01 - 15:01 (00:00)
root ssh:notty 218.92.0.167 Sun Apr 21 15:01 - 15:01 (00:00)
root ssh:notty 218.92.0.167 Sun Apr 21 15:00 - 15:00 (00:00)
root ssh:notty 218.92.0.167 Sun Apr 21 15:00 - 15:00 (00:00)
root ssh:notty 218.92.0.167 Sun Apr 21 15:00 - 15:00 (00:00)
root ssh:notty 218.92.0.167 Sun Apr 21 15:00 - 15:00 (00:00)
root ssh:notty 218.92.0.167 Sun Apr 21 15:00 - 15:00 (00:00)
root ssh:notty 218.92.0.167 Sun Apr 21 15:00 - 15:00 (00:00)
root ssh:notty 218.92.0.167 Sun Apr 21 15:00 - 15:00 (00:00)
root ssh:notty 218.92.0.167 Sun Apr 21 15:00 - 15:00 (00:00)
root ssh:notty 218.92.0.167 Sun Apr 21 15:00 - 15:00 (00:00)
root ssh:notty 218.92.0.167 Sun Apr 21 15:00 - 15:00 (00:00)
hydra ssh:notty 119.197.77.52 Sun Apr 21 15:00 - 15:00 (00:00)
root ssh:notty 218.92.0.167 Sun Apr 21 15:00 - 15:00 (00:00)
Кто-нибудь сталкивался с такими пустыми записями?
Кроме этого, я не могу найти никаких доказательств вторжения. Оптимистическое мнение состоит в том, что что-то удалось вызвать сбой, но дальше этого не произошло. Очевидно пессимистическое мнение, что злоумышленник скрыл ее следы (за исключением этих пустых записей в lastb). Я уверен, что поступить мудро - это ошибиться в сторону пессимизма, но если кто-то раньше сталкивался с пустыми записями, подобными этой, я был бы признателен за любое понимание или опыт.
Большое спасибо!