再起動後に奇妙な結果があるかどうかauth.logを調べます。

再起動後に奇妙な結果があるかどうかauth.logを調べます。

私のUbuntu 14.04サーバーはよく知られているクラウドプロバイダでホストされています。

今日私は通常私の心を止めることを発見しました。

user@myserver123:/var/log$ screen -ls
No Sockets found in /var/run/screen/S-user.

金曜日の夜に再起動が発生したことを確認しました(実際に再起動が発生する最も困難な時間)。

まず確認しましたlast

reboot   system boot  3.16.0-31-generi Fri Jul 24 20:08 - 19:50 (3+23:42)   

wtmp begins Fri Jul 24 20:08:04 2015

調査した結果、/var/log/auth.log次の事実が見つかりました。

承認ログ

このすべてが^@ログファイルにあるのはなぜですか?ブロックの上の行は^@一般的なSSH認証の失敗です。

(Power Button)私はそれが。次の最初の行に書かれていることがわかりました^@

これは、データセンターの誰かが私のVPSをホストしているコンピュータの電源ボタンを押したことを意味しますか?

答え1

ログファイルに空のバイトブロックがあります。これは、次の理由による可能性があります。

  • syslogプログラムにエラーがあります。あまりにも可能ではありません。
  • カーネルエラー、特にファイルシステムまたはディスクドライバのエラー。そうは思えません。
  • ディスクにエラーが発生しました。 VPSがあるので、VPSプロバイダに連絡する必要があります。
  • 記憶障害。 VPSがあるので、VPSプロバイダに連絡する必要があります。非ECCハードウェアを実行しているシステムでは、RAMを最初に確認します。
  • 攻撃者たちは、愚かなことに自分の痕跡を隠すことに失敗しました。 0を書くのは隠す奇妙な方法なので、その可能性はほとんどありません。無害なログメッセージをコピーしたり、有罪のあるログメッセージを削除したりするのは正常です。

電源ボタンに関するメッセージは、再起動の理由に関する情報を提供しません。つまり、現在のセッション内で終了ボタンを押すと、systemdはシャットダウンを開始します。

関連情報