내 Ubuntu 14.04 서버는 잘 알려진 클라우드 공급자에서 호스팅됩니다.
오늘 나는 보통 내 심장을 멈추게 만드는 것을 발견했습니다.
user@myserver123:/var/log$ screen -ls
No Sockets found in /var/run/screen/S-user.
금요일 밤에 재부팅이 발생했음을 확인했습니다(실제로 재부팅이 발생하기 가장 힘든 시간).
먼저 확인했습니다 last.
reboot system boot 3.16.0-31-generi Fri Jul 24 20:08 - 19:50 (3+23:42)
wtmp begins Fri Jul 24 20:08:04 2015
조사해 본 결과 /var/log/auth.log다음과 같은 사실을 발견했습니다.
이 모든 것이 ^@로그 파일에 있는 이유는 무엇입니까? 블록 위의 줄은 ^@일반적인 SSH 인증 실패입니다.
(Power Button)나는 그것이 . 다음의 첫 번째 줄에 쓰여 있다는 것을 알았습니다 ^@.
이는 데이터 센터의 누군가가 내 VPS를 호스팅하는 컴퓨터의 전원 버튼을 눌렀다는 의미입니까?
답변1
로그 파일에 빈 바이트 블록이 있습니다. 이는 다음과 같은 이유 때문일 수 있습니다.
- syslog 프로그램에 오류가 있습니다. 너무 가능하지 않습니다.
- 커널 오류, 특히 파일 시스템이나 디스크 드라이버의 오류. 그럴 것 같지 않습니다.
- 디스크에 오류가 발생했습니다. VPS를 보유하고 있으므로 VPS 제공업체에 문의해야 합니다.
- 기억 장애. VPS를 보유하고 있으므로 VPS 제공업체에 문의해야 합니다. 비 ECC 하드웨어를 실행하는 시스템에서는 RAM을 가장 먼저 확인합니다.
- 공격자들은 어설프게도 자신의 흔적을 숨기는 데 실패했습니다. 0을 쓰는 것은 숨기는 이상한 방법이기 때문에 그럴 가능성은 거의 없습니다. 무해한 로그 메시지를 복사하거나 유죄가 있는 로그 메시지를 삭제하는 것은 정상입니다.
전원 버튼에 대한 메시지는 재시작 이유에 대한 정보를 제공하지 않습니다. 즉, 이제 현재 세션 내에서 종료 버튼을 누르면 systemd가 시스템 종료를 시작합니다.