Перейти к содержанию

самопроизвольная перезагрузка suse 10.2


proffess

Рекомендуемые сообщения

Здравствуйте,

Такой вопрос. Заметил (компьютер всегда находится в работающем состоянии), что по какой-то непонятной причине происходит самопроизовльная перезагрузка компьютера. Случается не так часто (может, раз в неделю), но мне это не очень нравится. Можно ли как-то узнать, в чем причина этого процесса?

Спасибо,

Сергей

Ссылка на комментарий
Поделиться на другие сайты

1. Смотрите, есть ли что-нибудь подозрительное в логах.

2. Перезагрузки происходят с некоторой установленной периодичностью или хаотично?

Ссылка на комментарий
Поделиться на другие сайты

1) В логах (/var/log/messages) много всякой информации типа:

Mar 13 00:25:50 berry syslog-ng[2542]: STATS: dropped 0

Mar 13 00:42:34 berry sshd[4685]: Did not receive identification string from 59.188.9.11

Mar 13 00:48:40 berry sshd[4710]: Invalid user staff from 59.188.9.11

Mar 13 00:48:42 berry sshd[4712]: Invalid user sales from 59.188.9.11

Mar 13 00:48:45 berry sshd[4714]: Invalid user recruit from 59.188.9.11

Mar 13 00:48:47 berry sshd[4716]: Invalid user alias from 59.188.9.11

Mar 13 00:48:50 berry sshd[4718]: Invalid user office from 59.188.9.11

Mar 13 00:48:53 berry sshd[4720]: Invalid user samba from 59.188.9.11

Mar 13 00:48:55 berry sshd[4722]: Invalid user tomcat from 59.188.9.11

Mar 13 00:48:58 berry sshd[4724]: Invalid user webadmin from 59.188.9.11

Mar 13 00:49:00 berry sshd[4726]: Invalid user spam from 59.188.9.11

Mar 13 00:49:02 berry sshd[4728]: Invalid user virus from 59.188.9.11

Mar 13 00:49:05 berry sshd[4730]: Invalid user cyrus from 59.188.9.11

Mar 13 00:49:07 berry sshd[4732]: Invalid user oracle from 59.188.9.11

Mar 13 00:49:14 berry sshd[4734]: Invalid user michael from 59.188.9.11

Mar 13 00:49:21 berry sshd[4738]: Invalid user test from 59.188.9.11

Mar 13 00:49:23 berry sshd[4740]: Invalid user webmaster from 59.188.9.11

Mar 13 00:49:25 berry sshd[4742]: Invalid user postmaster from 59.188.9.11

Mar 13 00:49:30 berry sshd[4746]: Invalid user postgres from 59.188.9.11

Mar 13 00:49:32 berry sshd[4748]: Invalid user paul from 59.188.9.11

Mar 13 00:49:36 berry sshd[4752]: Invalid user guest from 59.188.9.11

Mar 13 00:49:39 berry sshd[4754]: Invalid user admin from 59.188.9.11

Mar 13 00:49:41 berry sshd[4756]: Invalid user linux from 59.188.9.11

Mar 13 00:49:43 berry sshd[4758]: Invalid user user from 59.188.9.11

Mar 13 00:49:45 berry sshd[4760]: Invalid user david from 59.188.9.11

Mar 13 00:49:47 berry sshd[4762]: Invalid user web from 59.188.9.11

Mar 13 00:49:50 berry sshd[4764]: Invalid user apache from 59.188.9.11

Mar 13 00:49:52 berry sshd[4766]: Invalid user pgsql from 59.188.9.11

Mar 13 00:49:54 berry sshd[4768]: Invalid user mysql from 59.188.9.11

Mar 13 00:49:57 berry sshd[4770]: Invalid user info from 59.188.9.11

Mar 13 00:49:59 berry sshd[4772]: Invalid user tony from 59.188.9.11

Mar 13 00:50:01 berry sshd[4774]: Invalid user core from 59.188.9.11

Mar 13 00:52:17 berry sshd[4886]: Invalid user www from 59.188.9.11

Mar 13 00:52:21 berry sshd[4890]: Invalid user adam from 59.188.9.11

Mar 13 00:52:23 berry sshd[4892]: Invalid user stephen from 59.188.9.11

Mar 13 00:52:26 berry sshd[4894]: Invalid user richard from 59.188.9.11

Mar 13 00:52:28 berry sshd[4896]: Invalid user george from 59.188.9.11

Mar 13 00:52:34 berry sshd[4898]: Invalid user john from 59.188.9.11

Mar 13 00:52:39 berry sshd[4902]: Invalid user angel from 59.188.9.11

Mar 13 00:52:44 berry sshd[4906]: Invalid user pgsql from 59.188.9.11

Mar 13 00:52:48 berry sshd[4910]: Invalid user adm from 59.188.9.11

Mar 13 00:52:51 berry sshd[4912]: Invalid user ident from 59.188.9.11

Это что, хакеры атакуют?

2) перезагрузка происходит хаотично.

Ссылка на комментарий
Поделиться на другие сайты

Да, это хакеры атакуют, судя по всему, успешно Smile

Если вам сильно не нужен ssh - отключите. Проверьте, какие команды выполнялись от рута и от обычных пользователей. Отключите вход для всех ненужных пользователей. Поставьте все обновления - в первую очередь на SSHD.

Ссылка на комментарий
Поделиться на другие сайты

А еще стоит запустить какой-нибудь rootkit-hunter Smile

А заодно настоятельно рекомендую почитать на opennet.ru или соответствующих сайтах по беопасноти статьи по обнаружению руткитов и вообще вторжения в систему Smile

Ссылка на комментарий
Поделиться на другие сайты

Спасибо за совет. Хотя я очень часто использую ssh, я отключил доступ к компьютеру извне.

Также проверка rkhunter показала, что ничего не завелось на компьютере.

Я по своей наивности предполагал, что компьютеры под Линуксом мало кому интересны. Можно ли из этих сообщений (логов, приведенных выше) сказать, что им удалось "зайти" на машину? Хотелось бы знать масштаб "успешности" атак , как написал Aceler.

Спасибо.

Ссылка на комментарий
Поделиться на другие сайты

Цитата:

Я по своей наивности предполагал, что компьютеры под Линуксом мало кому интересны.

и зря. полно скрипткидсов, которые начитавшись самого хаксорского журнала полагают, что все никс машины - это сервера цру и фсб и пытаются порутать тачки, используя сплоиты, взятые из того же журнала. при этом чаще всего их собственные машины являются ботами Smile

в вашем случае, как я понимаю, они пытались получить доступ с ограниченными правами, а потом запустили бы сплоит, расчитанный на сервис с некоторой уязвимостью и порутали бы вас. один из методов борьбы - не давать сервисам представляться своим именем (это не позволит подобрать сплоит)

Ссылка на комментарий
Поделиться на другие сайты

и ещё: каким-то образом можно предотвращать сканирование (не помню точно, кажется используя netfilter), nmap врага ничего ему не покажет.

Ссылка на комментарий
Поделиться на другие сайты

AccessD писал(а) Wed, 14 March 2007 16:43

и ещё: каким-то образом можно предотвращать сканирование (не помню точно, кажется используя netfilter), nmap врага ничего ему не покажет.

запретить входящие ICMP ?

Ссылка на комментарий
Поделиться на другие сайты

нашёл - блокирует стелс сканирование.

iptables-A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -j LOG --log-prefix "Stealth scan"

iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP

а запрет на пинги, ИМХО - обязательно

Ссылка на комментарий
Поделиться на другие сайты

AccessD писал(а) Wed, 14 March 2007 18:10

а запрет на пинги, ИМХО - обязательно

А имхо - бессмысленно и вредно. Какой прок запрещать пинг? Если человек заинтересован Вашей машиной, то он и без icmp справится, а если нет - так и разумные настройки сервисов его отпугнут. Вовсе не обязательно брать пример с microsoft.com, можно с kernel.org Wink

Ссылка на комментарий
Поделиться на другие сайты

EvilShadow писал(а) Wed, 14 March 2007 19:59

Вовсе не обязательно брать пример с microsoft.com, можно с kernel.org Wink

Абсолютно согласен. Должен быть простой способ узнать, жив ли пациент Smile

С другой стороны, ping -f нелишним было бы запретить Smile

Ссылка на комментарий
Поделиться на другие сайты

ну, потенциальных оппонентов у кернел.орг, я думаю, будет поменьше, чем у микрософта Smile Отсюда и политика безопасности. и мораль

Ссылка на комментарий
Поделиться на другие сайты

Cпасибо за советы. Однако это не решило моей главной проблемы - компьютер сегодня опять перезагрузился, хотя над безопасностью я поработал (да и логи чистые). Идеи?

Ссылка на комментарий
Поделиться на другие сайты

Нет, с электроснабжением все в порядке, в комнате полно других компьютеров, плюс UPC стоит.

На этом компе раньше стояла 10.1 версия, таких проблем замечено не было. Сейчас устновлена (путем upgrade) 10.2 (64-битная версия).

Ссылка на комментарий
Поделиться на другие сайты

Спасибо.

Такой вопрос - можно ли каким-нибудь образом защитить систему от этих сканеров? Вчера опять подключил ssh и утром увидел миллион сканов с хакерских адресов. Как отключить доступ к машине от пользователей, отличных от меня?

Ссылка на комментарий
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Загрузка...
×
×
  • Создать...