Server se kazdy tyden "zasekne"

[symmetry]

Dobry den,

chtel bych se zeptat, jak zjistit, co zpusobuje kazdy tyden o vikendy zasknuti celeho serveru? Nejde k nemu pristupovat pre SSH protokol, FTP, 80, proste nic, pomuze jen restart.
Chtel bych zjistit, kde se da neco podobneho dohledat abych mohl problem nejak vyresit, ci zda se nekomu stalo neco podobneho?

Diky za kazdou radu.

[ulo]

Pokud to dělá pravidelně v určitou dobu, tak bych se podíval na cron. Jinak bych prošel logy (např. /var/log/syslog).

[symmetry]

Nějaké úlohu spouštím ale nevím ,podle čeho poznat, jaká to mohla způsobit, nepříjdu na to totiž nikdy hned ale až po několika hodinách a to pak v syslogu zřejmě nedohledám ne?

[Tomáš Břinčil]

Nějaké úlohu spouštím ale nevím ,podle čeho poznat, jaká to mohla způsobit, nepříjdu na to totiž nikdy hned ale až po několika hodinách a to pak v syslogu zřejmě nedohledám ne?

Pokud to nebylo něco z venku, tak by to mohlo být v logách.

[symmetry]

To ano, ale jak poznam, ze to v logu je chyba? Jak poznam chyno od normalniho oznameni abych alepson vyselektoval ty moznosti co by to mohli byt?
A pokud by to bylo neco zvenku, tak jakou mam moznost zjistit, co to bylo a branit se proti tomu?

[Armus69]

Jde s ním pracovat přímo na konsoli nebo úplně umře? Pokud je to ve stejném intervalu, tak bych se přikláněl k chybné aplikací (scriptu) která zátuh spůsobí, pokud je to náhodné skusil bych vyměnit zdroj a spustit pár HW testů (memtest, cpustress atd). Je před serverem UPS ? Je taky  možný problém s nestabilitou napájení z 220V sítě. Třeba jestli nespouští soused cirkulárku každou neděli v 10 ráno

[symmetry]

Jedná se o VPS, takze problem bych videl v nejakem scriptu, nebo v necem, co projde z venku a ochromi to provoz. Nejde se pak dostat pres SSH na cmd line.

[ulo]

... nebo v necem, co projde z venku a ochromi to provoz ...

Máš tam nainstalovaného Snorta (http://www.snort.org/)?
Je to IDS/IPS a mohl by pomoci odhalit nepravosti. Jen nevím, jestli na virtuálu by fungoval jako na samostatném železe, ale asi by mu v tom nemělo nic bránit. Jinak je myslím i v repo.

[hama4tux]

Máte na serveru zaplí nějaký firewall? Aby Vás prostě jen někdo nezabomardoval.
Filtrovat zahazovat filtrovat.

není nic jednodušího než se podívat do logu
priklad nano /var/log/syslog
pak ctrl+w a dejte vyhledat cas kdy se to asi stalo nic jednodušího mě nenapadá.
neopomente ani kern.log deamon.log, dmesg

A jestli nemáte firewall - tak alespon nějaký základní natovací na netu jich je spoustu.

Defaultní politiky input drop forward accept output accept.
pak povolte na konkrétní interface daný port který chcete na serveru otevřít
například takle
for i in 22 25 21 20
do
/sbin/iptables -A INPUT -i eth0 -p tcp --dport $i -j accept
done
důležité je mít povolené 22 jinak si zavřete sshcko

Ideální je i pakety logovat, aby jste věděl kdo kdy kam na jaký port co skoušel

Nemluvě o tom, že jestli máte ssh na portu 22 tak by nebylo od věci si ho změnit

nano /etc/ssh/sshd_config

Tak asi nejak tak

[On]

Taky můžete zjistit, jestli souvislosti se vzdáleným attakem..služba denyhosts (je v repo) je excelentní hlídač SSH portu. Jakmile se na něj někdo pokouší připojit dle nastaveného počtu (např 5x.. a ještě se to dělí, jestli se daný člověk hlásí na existující účet nebo na neexistující - např roboti), tak pokud proběhne např těch 5 neúspěšných pokusů, tak to tohle IP zařadí mezi nedůvěryhodné a má na server zákaz..pak si každý týden můžeš prohlídnout seznam IP, které to zakázalo - resp tím zjistíš, jestli se někdo pokoušel dobýt na ssh.

Možnosti pokusů lze filtrovat i na úrovni firewallu..možností je povíc.  Já si nechávám posílat maily i s názvama účtů, na které probíhal neúspěšný login..