LINUX.ORG.RU
ФорумAdmin

Fail2Ban автоперезагрузка или взлом?

 ,


0

5

Доброго времени суток! Около месяца назад поставил к себе на сервер замечательную програмулину Fail2Ban, я думаю все с ней знакомы и настроил уведомления на почту. Ежедневно получаю порядка 20-30 писем о банах IP, сегодня с утра захожу и вижу, что сервис был перезагружен(там порядка 10 служб работают.

[Fail2Ban] FTP: stopped on host         07:23
[Fail2Ban] POSTFIX: started on host     07:26

Я с этим сталкиваюсь первый раз, сервер арендованный у хостера в России. Это нормально считается или можно искать что пропало, кто-нибудь сталкивался с такой проблемой?



Последнее исправление: AnonimS (всего исправлений: 1)

Напиши в поддержку хостера ― не они ли ребутнули (через ACPI).

Для взлома действия не очень характерные.

Deleted
()

Может, обновления пришли.

legolegs ★★★★★
()
Ответ на: комментарий от Deleted

Да, наверно проблема в хостере, сейчас им напишу.. Если не они тогда не знаю, ребутнуть службу можно только от рута или sudo, я может что-то не знаю?

AnonimS
() автор топика
Ответ на: комментарий от AnonimS

ребутнуть службу можно только от рута или sudo, я может что-то не знаю?

Еще есть отдельная каста хакеров, электрики называется.
uptime посмотреть не судьба?

anc ★★★★★
()
Ответ на: комментарий от anc

По uptime сервер перезагружался в 7:23..Электрики сказали, что это не мы))

AnonimS
() автор топика
Ответ на: комментарий от anc

В логе /var/log/auth.log есть такие строчки, по крону что-то происходило? В кроне посмотрел перезагрузки нет)

Jan  8 06:55:01 host CRON[28860]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan  8 06:55:01 host CRON[28860]: pam_unix(cron:session): session closed for user root
Jan  8 07:09:01 host CRON[28898]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan  8 07:09:01 host CRON[28898]: pam_unix(cron:session): session closed for user root

Потом следующая строчка уже в 26

Jan  8 07:26:24 vps10739 systemd-logind[252]: New seat seat0.
Jan  8 07:26:24 vps10739 sshd[279]: Server listening on 0.0.0.0 port 22.
Jan  8 07:26:24 vps10739 sshd[279]: Server listening on :: port 22.
Jan  8 07:26:25 vps10739 saslauthd[380]: detach_tty      : master pid is: 380
Jan  8 07:26:25 vps10739 saslauthd[380]: ipc_init        : listening on socket: /var/spool/postfix/var/run/saslauthd/mux
Jan  8 07:26:44 vps10739 sshd[2114]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=62.232.173.13  user=root
Jan  8 07:26:46 vps10739 sshd[2114]: Failed password for root from 62.232.173.13 port 37846 ssh2
Jan  8 07:26:48 vps10739 sshd[2114]: Failed password for root from 62.232.173.13 port 37846 ssh2
Jan  8 07:26:48 vps10739 sshd[2114]: Connection closed by 62.232.173.13 [preauth]
Jan  8 07:26:48 vps10739 sshd[2114]: PAM 1 more authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=62.232.173.13  user=root
Jan  8 07:27:46 vps10739 sshd[2172]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=62.232.173.13  user=root
Jan  8 07:27:48 vps10739 sshd[2172]: Failed password for root from 62.232.173.13 port 53975 ssh2
AnonimS
() автор топика
Ответ на: комментарий от anc

Это я уже понял, просто хочу понять в чем причина, если это программно и в порядке вещей, то конечно нет проблем, а если взлом, то надо пароли менять.. Нашел интересные вещи в логах текущих и предыдущих подключений «reboot2.6.32-042stab112.15» судя по всему это причина..

-------------------------------------------------
root@vps10739:/etc/php5# cat /var/run/utmp                                                                                                                             ▒
~~~reboot2.6.32-042stab112.15m▒qX▒
pts/0ts/0root__MYIP__▒   rXb~    ▒▒▒▒
--------------------------------------------------
root@vps10739:/etc/php5# cat /var/log/wtmp
▒▒▒▒▒pts/6ts/6root__MYIP__▒jX▒*
▒▒▒▒▒pts/7ts/7root__MYIP__jX+/▒▒▒▒▒pts/8ts/8root__MYIP__80jX▒▒
▒▒▒▒^pts/00XjX▒__MYIP__▒VjXO▒
$_pts/0ts/0root__MYIP__▒XjX▒▒▒▒▒"_pts/0▒XjX▒▒    ._pts/0ts/0root__MYIP__▒XjXO*
6_pts/0ts/0root__MYIP__▒XjX▒]
▒▒▒▒pts/7▒ajXJ▒
▒pts/8djX▒+dpts/1ts/1root__MYIP__'djXD▒▒▒)dpts/1▒djX▒v▒dpts/1ts/1root__MYIP__▒ijX▒▒▒▒▒ykpts/2ts/2root__MYIP__tjXٺ▒▒▒Rkpts/2▒vjX!▒dpts/1▒xjX*      4_pts/0▒xjX
opts/0ts/0root__MYIP__܄jX
▒▒▒▒jopts/0҈jX▒!pppts/0ts/0root__MYIP__▒▒jXwl
▒▒▒nppts/0▒jX▒$#7pts/0ts/0root__MYIP__k▒oX▒▒▒▒!7pts/0ppX▒*Upts/0ts/0root__MYIP__▒▒pX▒▒▒%Upts/0(OqX~~~shutdown2.6.32-042stab112.15e▒qXw8~~~reboot2.6.32-04▒stab112.15m▒qX▒
pts/0ts/0root__MYIP__▒   rXb~    ▒▒▒▒root@vps10739:/etc/php5# PuTTYPuTTY
----------------------------------------------------------

AnonimS
() автор топика
Ответ на: комментарий от anc

Век живи, век учись, теперь буду знать. Строчка есть а что она означает?

root@vps10739:/etc/php5# last
root     pts/0        ip  Sun Jan  8 12:44   still logged in
reboot   system boot  2.6.32-042stab11 Sun Jan  8 07:26 - 21:27  (14:01)
root     pts/0        ip  Sat Jan  7 12:53 - 23:27  (10:33)
root     pts/0        ip  Fri Jan  6 22:47 - 00:43  (01:55)
root     pts/0        ip  Mon Jan  2 20:11 - 20:17  (00:05)
root     pts/0        ip  Mon Jan  2 19:50 - 20:07  (00:16)
root     pts/2        ip  Mon Jan  2 18:39 - 18:51  (00:12)
root     pts/1        ip  Mon Jan  2 17:54 - 18:58  (01:03)
root     pts/1        ip  Mon Jan  2 17:31 - 17:32  (00:01)
root     pts/0        ip  Mon Jan  2 16:43 - 18:58  (02:14)
root     pts/0        ip  Mon Jan  2 16:42 - 16:42  (00:00)
root     pts/0        ip  Mon Jan  2 16:41 - 16:41  (00:00)
root     pts/0        ip  Mon Jan  2 16:34 - 16:40  (00:05)
root     pts/8        ip  Mon Jan  2 13:49 - 17:30  (03:41)
root     pts/7        ip  Mon Jan  2 11:53 - 17:20  (05:26)
root     pts/6        ip  Mon Jan  2 11:49 - 16:00  (04:11)
root     pts/0        ip  Mon Jan  2 11:25 - 15:48  (04:23)

wtmp begins Mon Jan  2 11:25:40 2017

AnonimS
() автор топика
Ответ на: комментарий от anc

Вобщем не вижу причин для паники, если только других косвенных признаков влома нет. Ну ребутнул хостер, ничего страшного. Взломщику-то зачем такое делать?

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc

Ладно, спасибо за ответы, я главное понял, что это что-то программное, поэтому можно не паниковать.

AnonimS
() автор топика
Ответ на: комментарий от AnonimS

Программно ( в том числе ACPI) или вообще хардверно можно понять по логам, если сервисы стопорились то программно, если нет то жестко.

anc ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.