Что могло быть отправлено на мой сервер, чтобы он перезагрузился?
Подробности:
У меня есть LAMP-сервер для внутреннего использования под управлением Ubuntu 10.04LTS (обновление запланировано на этот туманный "когда у меня есть время"). Он запускает несколько внутренних скриптов и мониторов, и я предпочитаю удаленный доступ в офис. За последние пару месяцев количество попыток ssh и веб-атак росло ужасающими темпами, и две недели назад сервер начал перезагружаться без видимой причины. Сначала это было одну ночь, затем каждую ночь, пока, наконец, не стало каждые несколько часов.
Я просмотрел все системные журналы, в которых показаны только сообщения загрузки, затем сообщения о нормальном запуске, а затем снова сообщения загрузки. Я провел тесты memtest, drive и CPU, и все они вернулись чистыми. Итак, я обратил свое внимание на незваных дверных молотков.
Я подумал: у кого-либо за пределами страны НЕТ законных причин подключаться к этому компьютеру.
Итак, я начал извлекать IP-адрес очевидного тролля из журналов, используя whois для вызова их хост-компании и запрещая весь диапазон этой хост-компании:
iptables -I INPUT -s 1.180.0.0/14 -j DROP
Но это казалось медленным, поэтому я начал искать лучший список. Пока смотрел, сервер снова перезагрузился. Я нашел это довольно быстро: http://nebulous.frikafrax.com/2013/323/chinanet-spam и потратил несколько минут на создание Perl-скрипта, чтобы выгрузить весь набор диапазонов в iptables.
Больше никаких случайных перезагрузок сервера.
Прошло 3 дня без перезагрузок. Итак, теперь, когда моя преамбула закончена, вот вопрос:
Что могло быть отправлено на мой сервер, чтобы он перезагрузился? Свидетельства более чем предполагают, что причиной было не оборудование, а эффект атаки, возможно, преднамеренный, возможно, непреднамеренный побочный эффект, но я хотел бы получить больше информации об этой атаке и способах ее обнаружения и предотвращения в будущем.
Приветствуются любые мысли или конкретный опыт.
Я хотел бы получить больше информации об этой атаке
Что ж, это вы ведете журналы, так что вам придется провести собственную судебную экспертизу. Не исключено, что ваш сервер был взломан, так что проявите должную осмотрительность при исследовании этого. Если у вас еще нет монитора ресурсов, установите что-нибудь вроде munin или sysstat по крайней мере, чтобы у вас была запись уровней использования системных ресурсов.
и способы его обнаружения и предотвращения в будущем.
Поставьте сервер за VPN. Задача решена. Если это не вариант, убедитесь, что аутентификация по паролю отключена (используйте аутентификацию по ключу) и подумайте о запуске sshd на нестандартном порту. Использование нестандартного порта совсем не повышает вашу безопасность, но, несомненно, уменьшит значительную часть шума в ваших журналах, а также нагрузку на систему из-за необходимости иметь дело со всеми попытками аутентификации.