самопроизвольная перезагрузка suse 10.2

[proffess]

Здравствуйте,

Такой вопрос. Заметил (компьютер всегда находится в работающем состоянии), что по какой-то непонятной причине происходит самопроизовльная перезагрузка компьютера. Случается не так часто (может, раз в неделю), но мне это не очень нравится. Можно ли как-то узнать, в чем причина этого процесса?

Спасибо,

Сергей

[Legalizer]

1. Смотрите, есть ли что-нибудь подозрительное в логах.

2. Перезагрузки происходят с некоторой установленной периодичностью или хаотично?

[proffess]

1) В логах (/var/log/messages) много всякой информации типа:

Mar 13 00:25:50 berry syslog-ng[2542]: STATS: dropped 0

Mar 13 00:42:34 berry sshd[4685]: Did not receive identification string from 59.188.9.11

Mar 13 00:48:40 berry sshd[4710]: Invalid user staff from 59.188.9.11

Mar 13 00:48:42 berry sshd[4712]: Invalid user sales from 59.188.9.11

Mar 13 00:48:45 berry sshd[4714]: Invalid user recruit from 59.188.9.11

Mar 13 00:48:47 berry sshd[4716]: Invalid user alias from 59.188.9.11

Mar 13 00:48:50 berry sshd[4718]: Invalid user office from 59.188.9.11

Mar 13 00:48:53 berry sshd[4720]: Invalid user samba from 59.188.9.11

Mar 13 00:48:55 berry sshd[4722]: Invalid user tomcat from 59.188.9.11

Mar 13 00:48:58 berry sshd[4724]: Invalid user webadmin from 59.188.9.11

Mar 13 00:49:00 berry sshd[4726]: Invalid user spam from 59.188.9.11

Mar 13 00:49:02 berry sshd[4728]: Invalid user virus from 59.188.9.11

Mar 13 00:49:05 berry sshd[4730]: Invalid user cyrus from 59.188.9.11

Mar 13 00:49:07 berry sshd[4732]: Invalid user oracle from 59.188.9.11

Mar 13 00:49:14 berry sshd[4734]: Invalid user michael from 59.188.9.11

Mar 13 00:49:21 berry sshd[4738]: Invalid user test from 59.188.9.11

Mar 13 00:49:23 berry sshd[4740]: Invalid user webmaster from 59.188.9.11

Mar 13 00:49:25 berry sshd[4742]: Invalid user postmaster from 59.188.9.11

Mar 13 00:49:30 berry sshd[4746]: Invalid user postgres from 59.188.9.11

Mar 13 00:49:32 berry sshd[4748]: Invalid user paul from 59.188.9.11

Mar 13 00:49:36 berry sshd[4752]: Invalid user guest from 59.188.9.11

Mar 13 00:49:39 berry sshd[4754]: Invalid user admin from 59.188.9.11

Mar 13 00:49:41 berry sshd[4756]: Invalid user linux from 59.188.9.11

Mar 13 00:49:43 berry sshd[4758]: Invalid user user from 59.188.9.11

Mar 13 00:49:45 berry sshd[4760]: Invalid user david from 59.188.9.11

Mar 13 00:49:47 berry sshd[4762]: Invalid user web from 59.188.9.11

Mar 13 00:49:50 berry sshd[4764]: Invalid user apache from 59.188.9.11

Mar 13 00:49:52 berry sshd[4766]: Invalid user pgsql from 59.188.9.11

Mar 13 00:49:54 berry sshd[4768]: Invalid user mysql from 59.188.9.11

Mar 13 00:49:57 berry sshd[4770]: Invalid user info from 59.188.9.11

Mar 13 00:49:59 berry sshd[4772]: Invalid user tony from 59.188.9.11

Mar 13 00:50:01 berry sshd[4774]: Invalid user core from 59.188.9.11

Mar 13 00:52:17 berry sshd[4886]: Invalid user www from 59.188.9.11

Mar 13 00:52:21 berry sshd[4890]: Invalid user adam from 59.188.9.11

Mar 13 00:52:23 berry sshd[4892]: Invalid user stephen from 59.188.9.11

Mar 13 00:52:26 berry sshd[4894]: Invalid user richard from 59.188.9.11

Mar 13 00:52:28 berry sshd[4896]: Invalid user george from 59.188.9.11

Mar 13 00:52:34 berry sshd[4898]: Invalid user john from 59.188.9.11

Mar 13 00:52:39 berry sshd[4902]: Invalid user angel from 59.188.9.11

Mar 13 00:52:44 berry sshd[4906]: Invalid user pgsql from 59.188.9.11

Mar 13 00:52:48 berry sshd[4910]: Invalid user adm from 59.188.9.11

Mar 13 00:52:51 berry sshd[4912]: Invalid user ident from 59.188.9.11

Это что, хакеры атакуют?

2) перезагрузка происходит хаотично.

[Aceler]

Да, это хакеры атакуют, судя по всему, успешно

Если вам сильно не нужен ssh - отключите. Проверьте, какие команды выполнялись от рута и от обычных пользователей. Отключите вход для всех ненужных пользователей. Поставьте все обновления - в первую очередь на SSHD.

[Legalizer]

А еще стоит запустить какой-нибудь rootkit-hunter

А заодно настоятельно рекомендую почитать на opennet.ru или соответствующих сайтах по беопасноти статьи по обнаружению руткитов и вообще вторжения в систему

[proffess]

Спасибо за совет. Хотя я очень часто использую ssh, я отключил доступ к компьютеру извне.

Также проверка rkhunter показала, что ничего не завелось на компьютере.

Я по своей наивности предполагал, что компьютеры под Линуксом мало кому интересны. Можно ли из этих сообщений (логов, приведенных выше) сказать, что им удалось "зайти" на машину? Хотелось бы знать масштаб "успешности" атак , как написал Aceler.

Спасибо.

[AccessD]

Цитата:

Я по своей наивности предполагал, что компьютеры под Линуксом мало кому интересны.

и зря. полно скрипткидсов, которые начитавшись самого хаксорского журнала полагают, что все никс машины - это сервера цру и фсб и пытаются порутать тачки, используя сплоиты, взятые из того же журнала. при этом чаще всего их собственные машины являются ботами

в вашем случае, как я понимаю, они пытались получить доступ с ограниченными правами, а потом запустили бы сплоит, расчитанный на сервис с некоторой уязвимостью и порутали бы вас. один из методов борьбы - не давать сервисам представляться своим именем (это не позволит подобрать сплоит)

[Legalizer]

Можно вешать сервисы на нестандартные порты. Тоже от детей может помочь.

[AccessD]

и ещё: каким-то образом можно предотвращать сканирование (не помню точно, кажется используя netfilter), nmap врага ничего ему не покажет.

[Byte]

AccessD писал(а) Wed, 14 March 2007 16:43

и ещё: каким-то образом можно предотвращать сканирование (не помню точно, кажется используя netfilter), nmap врага ничего ему не покажет.

запретить входящие ICMP ?

[AccessD]

нашёл - блокирует стелс сканирование.

iptables-A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -j LOG --log-prefix "Stealth scan"

iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP

а запрет на пинги, ИМХО - обязательно

[Ineu]

AccessD писал(а) Wed, 14 March 2007 18:10

а запрет на пинги, ИМХО - обязательно

А имхо - бессмысленно и вредно. Какой прок запрещать пинг? Если человек заинтересован Вашей машиной, то он и без icmp справится, а если нет - так и разумные настройки сервисов его отпугнут. Вовсе не обязательно брать пример с microsoft.com, можно с kernel.org

[AccessD]

в нашей сети малышня любит так баловаться, так что всё зависит от обстоятельств.

[Legalizer]

EvilShadow писал(а) Wed, 14 March 2007 19:59

Вовсе не обязательно брать пример с microsoft.com, можно с kernel.org

Абсолютно согласен. Должен быть простой способ узнать, жив ли пациент

С другой стороны, ping -f нелишним было бы запретить

[AccessD]

ну, потенциальных оппонентов у кернел.орг, я думаю, будет поменьше, чем у микрософта Отсюда и политика безопасности. и мораль

[proffess]

Cпасибо за советы. Однако это не решило моей главной проблемы - компьютер сегодня опять перезагрузился, хотя над безопасностью я поработал (да и логи чистые). Идеи?

[AccessD]

а может, просто неполадки электроснабжения?

[Byte]

... или проблемы с железом

[proffess]

Нет, с электроснабжением все в порядке, в комнате полно других компьютеров, плюс UPC стоит.

На этом компе раньше стояла 10.1 версия, таких проблем замечено не было. Сейчас устновлена (путем upgrade) 10.2 (64-битная версия).

[AccessD]

не знаю как сейчас, а раньше были жалобы на 64 дистры.

[proffess]

Спасибо.

Такой вопрос - можно ли каким-нибудь образом защитить систему от этих сканеров? Вчера опять подключил ssh и утром увидел миллион сканов с хакерских адресов. Как отключить доступ к машине от пользователей, отличных от меня?

[AccessD]

правила в sshd_config:

AllowUsers

DenyUsers