У меня есть сервер под управлением Ubuntu 10.04LTS (я знаю, что он слишком старый), который за последние пару недель иногда не отвечал на сетевой трафик и требовал полного сброса первым делом утром (9 утра, когда офис открывается) .
Я просмотрел kern.log и заметил закономерность.
После этого обычно возникает блок UFW с входящего внешнего IP-адреса, ошибка CIFS VFS, другой блок UFW с другого IP-адреса, а затем ничего не регистрируется до перезапуска. Я не уверен, означает ли это, что сервер упал и ведение журнала остановлено, или журнал был отключен или очищен.
Внешние IP-адреса каждый раз меняются.
Пример журнала:
Feb 19 01:46:43 Server1 kernel: [139893.285676] [UFW BLOCK] IN=eth0 OUT= MAC=00:26:b9:2e:79:5c:3c:81:d8:44:41:00:08:00 SRC=50.30.32.186 DST=10.0.0.1 LEN=52 TOS=0x00 PREC=0x00 TTL=107 ID=2976 DF PROTO=TCP SPT=57588 DPT=80 WINDOW=8192 RES=0x00 CWR ECE SYN URGP=0
Feb 19 02:57:20 Server1 kernel: [144130.370015] CIFS VFS: No response for cmd 50 mid 52893
Feb 19 02:57:21 Server1 kernel: [144130.760010] CIFS VFS: No response to cmd 4 mid 52894
Feb 19 02:57:21 Server1 kernel: [144130.760015] CIFS VFS: Send error in Close = -11
Feb 19 03:36:47 Server1 kernel: [146497.272912] [UFW BLOCK] IN=eth0 OUT= MAC=00:26:b9:2e:79:5c:3c:81:d8:44:41:00:08:00 SRC=86.108.49.79 DST=10.0.0.1 LEN=52 TOS=0x00 PREC=0x00 TTL=109 ID=29914 DF PROTO=TCP SPT=65452 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Feb 19 09:00:56 Server1 kernel: [165946.155435] [UFW BLOCK] IN=eth0 OUT= MAC=00:26:b9:2e:79:5c:00:21:9b:29:91:aa:08:00 SRC=169.254.164.54 DST=10.0.0.1 LEN=89 TOS=0x00 PREC=0x00 TTL=255 ID=24 PROTO=UDP SPT=64676 DPT=53 LEN=69
Это похоже на попытку / успешную атаку или проблему с самим сервером?
ОБНОВИТЬ
Похоже, что все согласны с тем, что это не атака, а ошибка. Поскольку я был зациклен на нарушении безопасности, я забыл упомянуть, что сегодня утром перезапуск сервера не устранил всех проблем, и я должен устранить неполадки еще немного. Во время этого я подключил сервер к другому порту на коммутаторе, и вскоре все заработало. Просто протестировал порт еще раз, и он кажется мертвым. Будет ли это причиной и ошибкой, которая остановит запись в kern.log?
Записи межсетевого экрана и ошибки CIFS не имеют очевидного отношения друг к другу; они происходят с интервалом слишком много минут. Кроме того, этот трафик был заблокирован.
Как говорит Майкл, блоки межсетевого экрана кажутся неуместными. Однако сбой в файловой системе (CIFS VFS - это виртуальная файловая система общей файловой системы Интернета (да, я согласен с тем, что там есть избыточность)), машина действительно может стать очень недовольной. Если это то, что вас убивает, скорее всего, это ошибка, чем что-то злонамеренное, но она все равно вас сбивает.
Я тратил время на отладку, изучая эти ошибки, и игнорировал брандмауэр.
Вероятно, это не атака, хотя ее нельзя закрыть (никогда не может быть). Они поступают из совершенно разных источников, нацелены на совершенно разные порты, в разное время, и у некоторых из них есть внутренний и такой же из них внешний источник.
Я вижу наиболее вероятную причину в том, что не только ваше программное обеспечение устарело, но и ваше оборудование. Эта ошибка отправки выглядит как какая-то аппаратная проблема, возможно, произошел сбой связи DMA между памятью и контроллером Ethernet.
На твоем месте я
пробовал использовать внешнюю сетевую карту
если это не сработает, я заменил материнскую плату сервера (возможно, обновил материнскую плату / процессор / оперативную память).