Мы используем стек VPS LAMP на CentOS 7, на котором размещены несколько веб-сайтов, базы данных MariaDB и связанные с ними службы. Среди ночи наш сервер загадочным образом полностью отключился.
Когда мы обнаружили проблему, мы выключили и снова включили VPS, и сервер снова заработал, но меня встретило предупреждение SSH о том, что отпечаток RSA2 изменился, когда я снова вошел в систему (что кажется очень подозрительным). Анализ журналов, кажется, указывает на то, что соединение eth1 внезапно перестало работать:
Полный журнал из / var / log / messages: http://pastebin.com/Gbmitkhs
Вот несколько последних строк перед отключением сервера:
Dec 17 02:24:53 WebServer NetworkManager[487]: <warn> (eth1) firewall zone remove failed [102402]: (4) Did not receive a reply. Possible causes include: the remote application did not send a reply, the message bus security policy blocked the reply, the reply timeout expired, or the network connection was broken.
Dec 17 02:25:30 WebServer systemd-logind: Failed to start user slice: Connection timed out
Dec 17 02:25:31 WebServer systemd-logind: Assertion 's->user->slice' failed at src/login/logind-session.c:510, function session_start_scope(). Aborting.
Dec 17 02:25:32 WebServer systemd: systemd-logind.service: main process exited, code=killed, status=6/ABRT
Dec 17 02:25:32 WebServer systemd: Unit systemd-logind.service entered failed state.
Dec 17 02:25:33 WebServer systemd: systemd-logind.service failed.
Dec 17 02:25:34 WebServer systemd: systemd-logind.service has no holdoff time, scheduling restart
Я не заметил никакой подозрительной активности при предварительном просмотре журналов безопасности или журналов доступа Apache (помимо активности сканирования ботов).
Что могло вызвать сбой и последующее изменение отпечатка сервера RSA2?