Странное выключение машины. Взлом?

gentoo hardened

поломал машину и отправил в даун аж дважды

nuff said

Мож электричество вырубали? UPS есть?

Я бы о железе подумал.

Упс есть и демон nut настроен. Логи его проверял, там пусто.

Материнка?

Не было бы этих ^@^@^@^@^@^@^@^@ я бы тоже списал на железо скорее, чем на действия извне, а так есть сомнения. Не сталкивался с такой абракадаброй в логе?

Лог побился после чека фс, например.

Нет, впервые вижу. Я бы отключил от сети, пусть какое-то время так поработает, если вырубится, то точно не взлом.

Упс есть и демон nut настроен. Логи его проверял, там пусто.

Баратею проверь - выдерни упс из розетки

Присоединяюсь к тем, кто сразу подумал о железе. Вполне может быть проблема в питании.

проверь напряжение в сети и поставь хороший стабилизатор напруги.

ещё, возможны всяческие замыкания в цепях. у самого недавно так сервак выключался, пока проблема не стала очевидной - задымилась сетевуха. после смены сетевухи, уже год всё работает нормально.

ещё серв выключался при повышенной напруге в сети (250 вольт), стабилизитор это решает.

Упс есть

факт ли, что он работает как положено?

хорошо бы на такой случай иметь приборчик со светодиодным индикатором, подключенный к UPS/розетке, который покажет, было ли отключение питания или всё время не было отрубаний. может есть готовые решения, или как-то самому спаять? вот только в радиоэлектронике не шарю, если только с готовой схемы спаять...

встречал в сислоге такое после успешного кернел-паника
строчки 2-3 собак было

Спасибо, попробую этот совет.

Батарею проверил - она в порядке. Да и в логах было упоминание именно о нажатии кнопки power (так acpid настроен), а не просто единомоментное и пропадание питания.

Есть упс, он стабилизирует как-то. Насколько хорошо не знаю, ибо бюджетный IPPON, но до сих пор проблем с ним и питанием не было. Узнать был ли скачок напряжения сейчас уже невозможно.

Эти ^@^@^@^@^@^@^@^@ всего навсего строчка из нулей. Проверяй железо.

Он, по крайней мере, при выключениях света всегда приличное время держался, а потом корректно останавливал машину. На проблемы со скачками напряжения не могу тоже пожаловаться, работало все всегда без проблем практически 24/7 в течение полутора-двух лет.

О, спасибо за полезную инфу. Значит эта гадость может быть и следствием простой неполадки. Это радует сильно, не надо переставлять ничего.

Понял, спасибо. По поводу железа: многие выше высказались о проблемах с питанием, могут ли они спровоцировать эффект нажатия кнопки power или же это, возможно, глюк материнки (или чего-то еще)?

Только что подключил монитор и включил комп и обнаружил следующую проблему: в процессе загрузки обычно подгружаются модули drm и i915 и экран гаснет и переходит в свое нормальное разрешение, короче вступает в дело KMS. Теперь же экран просто гаснет и остается черным. Похоже дело и правда в железе.

Ан нет, это не следствие глюка железки, просто в 3.8.3 чтото сломали для интеловских интеграшек. После отката на 3.7.5 все работает.

messages присутствует такая строка «^@^@^@^@^@^@^@^@»

Битый файл после проверки файловой системы.

да кнопка повер там уперта в стену: просто так не нажмешь.

мышь/крыса/беглый хомячок пробежало между кнопкой и стеной? Кто-то пнул системник и он кнопкой вписался в стену?

Мышек и прочей живности у меня не водится. Лунатизмом тоже никто не страдает. Машинка сейчас работает уже как дня 3 и пока никаких отклонений не вижу, если повторится отпишу сюда.

В сислоге есть две записи о нажатии кнопки Power.

Две? Т.е. кнопку нажали и удерживали? Мне кажется, что проблема либо контактом, либо домашние врут.

Сам я спал, домашние не трогали и им не верить смысла нет

но допрос на полиграфе или под гипнозом лишним не будет :)

Т.е. зафиксирован факт нажатия кнопки повер: сообщение, как при нажатии, плюс последующий переход в init0 (04:38:26). Ну, или имитация такого нажатия ибо посмотреть, что лежит в /etc/acpi/default.sh, несложно. После этого машина поднялась(!) и повторилось то же самое (04:50:44). После этого следующая запись датируется уже утром, когда я обнаружил, что сервак в дауне, и включил.

Все произошло с разницей в 10 минут при учете, что среднее время ребута 2-3 минуты для этой машины.

Я абсолютно доверяю родителям, да и у них нет никаких причин вообще связываться с этим компом, тем более в 5 утра. Так что версия саботажа несостоятельна.

А вот это весьма странно (машина сама поднялась). У нее в биосе настроенно, что при пропадании электроэнергии с последующим ее появлением нужно включать питание автоматически? Весьма странный у Вас инцедент получается. Особенно учитывая HG, где стандартные уязвимости (связанные с памятью) не действуют. пакс стоит и включен? Какие еще сервисы доступны из вне? Сделайте внешнее сканирование портов.

Нет, все «wake on ...» в биосе отключены, ибо не люблю я такое поведение. Про пропадание питания и UPS все написано выше.

PaX стоит и включен. По сути, из hardened опций не включены только grsec RBAC, Trusted Path и пара вещей типа отдельных групп для сокетов. Если нужно, могу выложить конфиг ядра. PaX softmode отключен в ядре, sysctl опции grsec блокируются на изменение при пуске.

Сервисы: vsftpd, git-daemon, redmine через связку nginx+unicorn, owncloud через свзяку nginx+php-fpm, локальный сервер SAGE и пара sshd, один для меня, один для гита. Тот, который для меня, спрятан за port-knock'ом, второй на стандартном 22ом порту, чуть больше подроностей про это в ОП.

Сейчас прогоню nmap.

nmap'у осталось еще 10% проверить, но не думаю, что это чтото изменит. Нашлись порты сервисов, указанных выше и ничего больше.

кот есть?

vsftpd, git-daemon, redmine через связку nginx+unicorn, owncloud через свзяку nginx+php-fpm

?? Это всё во внешку? vsftpd и особенно php весьма уязвимы.

Уже спрашивали про живность: в квартире обитают только люди.

Ну тогда это нечисть какая-то, необходимо провести обряд изгнания бесов из квартиры.

Да, это все во внешку: vsftpd под анонимусом только в read-only с чрутом в директорию без ценных данных. Либо через ftp+ssl с шифрованием для control и data соединений. Просто иногда по работе надо расшарить файлы размером порядка гигабайта для левых адресов, отсюда ftp. С php право не знаю, что делать. Отказаться не получится, ибо оно нужно для owncloud. Есть какие-то техники здесь, кроме чрута и иже с ним?

В свое время не озаботился чрутованием сервисов. Сейчас все равно буду переставлять систему, загоню побольше всего в lxc. Что-нибудь из личного опыта можете про lxc сказать? Гайдов в сети полно вроде как, мне интересны отзывы пробовавших гентушников.

Либо хардварь бунтует, как сказали выше. Это наиболее вероятный вариант, как мне кажется.

Странное выключение машины. Взлом?

Мощное космическое излучение быстрых частиц переключило несколько битов в RAM! 111!

Attack of the Cosmic Rays!

https://blogs.oracle.com/ksplice/entry/attack_of_the_cosmic_rays1

в lxc.

http://demotivators.to/media/posters/4094/803635_narkoman-shtole.jpg
Даже с ограничивающими chroot настройками grsecurity lxc совсем не торт (даже сами разработчики писали, что это средство для тестирования (как chroot) и ограничения пожирания ресурсов. И к реальной безопасности не имеет пока отношения (от рута в контейнере вообще можно вырваться из контейнера)). Только openvz. Но вообще лучше kvm/xen (пропадает возможность использовать эксплойты основного ядра). Если проц не поддерживает HVM, то xen pv (проще всего поставить систему через подмонтированный (nfs) образ на компе с HVM). Ей богу, как маленький: один сервис - одна виртуалка (один сервер — одно приложение). На хостовой машине вообще ничего не должно быть. Виртуалки разворачивайте из эталонного шаблона.

В свое время не озаботился чрутованием сервисов. Сейчас все равно буду переставлять систему, загоню побольше всего в lxc. Что-нибудь из личного опыта можете про lxc сказать? Гайдов в сети полно вроде как, мне интересны отзывы пробовавших гентушников.

Чрут не является средством обеспечения реальной безопасности, сколько об этом можно говорить?

С php право не знаю, что делать.

Логировать, с mod_security бегать.
http://i30.tinypic.com/2jahn5k.jpg

Про то, что пока lxc не готов полностью заменить тот же openvz я читал, как и по то, что есть проблемы связанные с секурностью, которые правда лечатся теми или иными подпорками (не все). Привлекла нативность и отсутствие заморочек с ископаемыми версиями ядер как в openvz. Что ж, раз пока не торт буду знать, спасибо. Кстати, скоро релиз lxc-0.9, мб ситуация и изменится к лучшему.

один сервис - одна виртуалка (один сервер — одно приложение). На хостовой машине вообще ничего не должно быть. Виртуалки разворачивайте из эталонного шаблона.

То, что это есть наиболее грамотный подход, я понимаю. Смущают доп. затраты на ресурсы и на освоение того же kvm. Давно хотел попробовать перевести, для начала часть, сервисов в виртуалки, теперь будет отличный повод наконец-то сделать это.

Чрут не является средством обеспечения реальной безопасности, сколько об этом можно говорить?

Я понимаю, под словом «чрутование» подразумевалось раскидывание по контейнерам, либо виртуалкам. Правильнее было бы сказать изоляция.

Логировать, с mod_security бегать. http://i30.tinypic.com/2jahn5k.jpg

Мда весело. Спасибо за наводку, буду смотреть в эту сторону.

Перегреться железо не могло? Системой ведется контроль температур и указаны ли события?

Показания температуры хардов снимаются, процессора нет. Я иногда пускаю на нем числодробилку часов на 18, температура выше 75-80 градусов на процессоре не поднимается. Всяко бывает, конечно, но это очень маловероятно. Записей в логе о перегреве нет.

Материнка?

А что за модель материнской платы?

Intel DG45FC

http://www.intel.com/p/en_US/support/highlights/dsktpboards/dg45fc

Да, доп затраты на ресурсы есть. Что касается kvm, то можно использовать virt-manager и libvirt на сервере. Тогда никаких затрат на обучение :)

Я абсолютно доверяю родителям, да и у них нет никаких причин вообще связываться с этим компом, тем более в 5 утра. Так что версия саботажа несостоятельна.

Значит, возможно, в дом незаметно проник злоумышленник, и воспользовавшись физическим доступом к компьютеру, сделал с ним что-то нехорошее и так же незаметно ушёл :)

Как то вы подозрительно много про это знаете. А где вы были в ночь с 18 на 19ое?