আমি কি আক্রমন করছি নাকি বোকা?

আমি বেশ কয়েকটি ওপেনজেড কনটেইনার দিয়ে ডিবিয়ান স্কিজ ব্যবহার করে একটি সার্ভার চালিত। পাত্রে বেশিরভাগ স্কুইজ চালানো হয়, কিছু লেনি এবং কিছু ইতিমধ্যে হুইজে আপডেট হয়েছে। হোস্টটি iptables এবং DHCP এর বাইরে তেমন কিছু করে না। ফাইল সার্ভার, প্রক্সি, মেল সার্ভার, কার্বেরোস, এলডিএপি, ... সবই পাত্রে রাখে। সিস্টেমটি বেশ কয়েক বছর ধরে স্থিতিশীল ছিল এবং এক বছরেরও বেশি সময় ধরে কিছু ফায়ারওয়াল বিধি ছাড়া কোনও বড় পরিবর্তন হয়নি।

2 দিন আগে হঠাৎ করে সিস্টেম ক্র্যাশ হয়ে যায়। এটি আবার আনতে আমার অনেক সমস্যা হয়েছিল। প্রথমে এটি আমাকে ssh এর মাধ্যমে লগ ইন করতে দেয় না। রুট লগইন দ্বারা অস্বীকার করা হয়েছিল 'আপনি উপস্থিত নেই। চলে যাও!' লোকাল লগইন ঠিক ছিল। কিছু সময় পরে ssh আবার কাজ। কাকতালীয়ভাবে আমি বাশ ইতিহাসের লাইনটি পুনরায় ব্যবহার করি নি, তবে একটি নতুন কমান্ড টাইপ করেছি, যা ত্রিপুরাভাবে পরীক্ষা করা হয়েছে লাইনের অনুরূপ, যা আগে কাজ করে না, ক্রাশের আগে কাজ করেছিল।

এরপরে সিস্টেমটি চলল, তবে এসওয়াইএন এসকে অনুসরণ করে বেশিরভাগ প্রোটোকলগুলিতে নেটওয়ার্ক ট্র্যাফিক অবরোধ করা হয়েছিল। ডিএনএস, টেলনেট, এবং এসএসএইচ ঠিকঠাক ছিল, তবে বাকীটি ছিল গোলযোগ। কয়েক ঘন্টা অন্ধকারে মাছ ধরা এবং ফায়ারওয়ালটি কয়েকবার পুনরায় লোড করার পরে হঠাৎ সমস্ত কিছু আবার ঠিক হয়ে গেল। লগগুলিতে সন্দেহজনক কিছু খুঁজে পেলাম না - তবে আমি ফরেনসিক বিশেষজ্ঞ নই।

কনটেইনার কোটার কারণে এলডিএপ যোগাযোগ করতে আজ ফাইল সার্ভারের এনএসসিডি সকেটের বাইরে চলে গেছে। এমন কিছু যা আগে কখনও হয়নি। আমি এসএমবিডি দ্বারা দাবি করা প্রচুর সকেট (> 30) দেখেছি।

/ var / লগ / বার্তাগুলি সিসলগের মতো দেখতে বেশ একই রকম ছিল । /var/log/kern.log ক্র্যাশ কারণে অতিরিক্ত তথ্য ছিল:

/var/log/kern.log:2950:Sep 19 10:46:57 asgard kernel: [6529441.320086] INFO: task sendmail:32181 blocked for more than 120 seconds.
/var/log/kern.log:2982:Sep 19 10:48:57 asgard kernel: [6529561.324525] INFO: task kdmflush:1932 blocked for more than 120 seconds.
/var/log/kern.log:3005:Sep 19 10:48:57 asgard kernel: [6529561.324694] INFO: task xfssyncd:10162 blocked for more than 120 seconds.
/var/log/kern.log:3027:Sep 19 10:48:57 asgard kernel: [6529561.324934] INFO: task postgres:16827 blocked for more than 120 seconds.
/var/log/kern.log:3060:Sep 19 10:49:51 asgard kernel: [6529561.325129] INFO: task imapd:31749 blocked for more than 120 seconds.
/var/log/kern.log:3084:Sep 19 10:49:51 asgard kernel: [6529561.325248] INFO: task cleanup:32194 blocked for more than 120 seconds.
/var/log/kern.log:3106:Sep 19 10:50:57 asgard kernel: [6529681.324028] INFO: task flush-253:3:3216 blocked for more than 120 seconds.
/var/log/kern.log:3142:Sep 19 10:50:57 asgard kernel: [6529681.324224] INFO: task kjournald:6859 blocked for more than 120 seconds.
/var/log/kern.log:3166:Sep 19 10:50:57 asgard kernel: [6529681.324366] INFO: task syslogd:11720 blocked for more than 120 seconds.
/var/log/kern.log:3198:Sep 19 10:50:57 asgard kernel: [6529681.324574] INFO: task postgres:16827 blocked for more than 120 seconds.
/var/log/kern.log:7152:Sep 19 19:29:41 asgard kernel: [ 1440.617090] INFO: task sendmail:11892 blocked for more than 120 seconds.

চূড়ান্ত 'সেন্ডমেল' ক্র্যাশটি মেশিনটি রিবুট করার পরে হয়েছিল। তার পর থেকে এরকম আর কোনও ঘটনা ঘটেনি। 'ইমপ্যাড' এবং 'পোস্টগ্রিস' অবশ্যই বিভিন্ন পাত্রে চালিত হয়।

ঠিক আছে, আমি ধূমপানের কোনও বন্দুক দেখতে পাচ্ছি না তবে আমি সম্ভবত অন্ধ। পরিচিত / ধারণাযুক্ত ভাল ব্যাকআপগুলি থেকে সিস্টেম সেট আপ করা খুব ভাল কারণ ছাড়াই এটি চেষ্টা করতে আমার খুব কষ্ট পাবে।

আমি পরবর্তী কোন চেক করা উচিত কোন পরামর্শ প্রশংসা করব।

আপনার সাহায্যের জন্য ধন্যবাদ.

আপডেট : ক্র্যাশটির কিছু পূর্ব কার্সার সন্ধানে আরও প্রচেষ্টা করা আমি সিসলোগে নিম্নলিখিতটি পেয়েছি:

Sep 19 10:09:56 asgard ntop[7965]:   **WARNING** packet truncated (8754->8232)
Sep 19 10:09:56 asgard ntop[7965]:   **WARNING** packet truncated (8754->8232)
Sep 19 10:09:56 asgard ntop[7965]:   **WARNING** packet truncated (10490->8232)
Sep 19 10:09:56 asgard ntop[7965]:   **WARNING** packet truncated (8754->8232)
Sep 19 10:09:56 asgard ntop[7965]:   **WARNING** packet truncated (8754->8232)
Sep 19 10:09:56 asgard ntop[7965]:   **WARNING** packet truncated (17442->8232)
Sep 19 10:11:02 asgard ntop[7965]:   **WARNING** packet truncated (11650->8232)
Sep 19 10:11:02 asgard ntop[7965]:   **WARNING** packet truncated (10202->8232)
Sep 19 10:11:29 asgard ntop[7965]:   **WARNING** packet truncated (8754->8232)
Sep 19 10:13:27 asgard ntop[7965]:   **WARNING** packet truncated (8754->8232)
Sep 19 10:20:33 asgard ntop[7965]:   **WARNING** packet truncated (8754->8232)

আমি জানি এটিকে অবৈধ মনে করা হলেও এটি একটি বিরল ঘটনা বলে মনে হচ্ছে। প্যাকেট কাটা কেবল দ্বিতীয় ক্র্যাশের দিনেই বিদ্যমান। সমস্ত উপলব্ধ লগ ফাইল আর কোথাও নেই।

এটি ডস-এর মতো দেখায়, সম্ভবতঃ নিউইয়র্ক থেকে বা কোনও আপসযুক্ত ধারকটির অভ্যন্তর থেকে উদ্ভূত।

আমি ভিএমস্ট্যাট সন্ধান করব, প্রতি 5 সেকেন্ডে এটি ক্রমাগত চালিত করতাম: ভিএমস্ট্যাট 5 এবং যেখানে নীতিগুলি ব্যয় করা হয় তা একটি নোট নিন। আপনি স্ক্রিন ব্যবহার করতে পারেন এবং পৃথক উইন্ডোতে ভিএমস্ট্যাট 60 (প্রতি মিনিটে) চালাতে পারেন - এইভাবে স্পাইকগুলি যখন তারা দীর্ঘ সময়ের মধ্যে ঘটে তখন লক্ষ্য করতে পারেন।

এই পরিস্থিতিতে উচ্চ / স্পাইকিং সিস্টেম সিপিইউ (সিআই), উচ্চ প্রসঙ্গের স্যুইচ রেট (সিএস) এবং উচ্চ আইও (এটি নেটওয়ার্ক এবং ডিস্ক উভয়ই দেখায়) DoS নির্দেশ করবে:

$ vmstat 5
procs -----------memory---------- ---swap-- -----io---- --system-- -----cpu-----
 r  b   swpd   free   buff  cache   si   so    bi    bo   in   cs us sy id wa st
 0  0   9584   6820 132432  23256    1    1   136    12    1    1 83  1 15  0  0
 0  0   9584   6696 132432  23256    0    0     0     0   20   32  0  0 99  0  1

একই সাথে হোস্টে নেটওয়ার্ক ট্র্যাফিক নিরীক্ষণ করুন, আমি এনটপ সুপারিশ করি, অর্থাত:

$ nload -t 10000 -u H eth0

এটি ডিস্ক আই / ও ত্রুটির মতো দেখায়। Fsck চালান এবং ত্রুটিগুলি পরীক্ষা করুন।

হতে পারে আপনার কোনও ফাইল সিস্টেমের ত্রুটি নেই, তবে আমি নিশ্চিত যে আপনার লগটিতে এই সতর্কতাটি আপনি দেখতে পেয়েছেন, কারণ আপনার ডি অবস্থায় অনেকগুলি প্রক্রিয়া রয়েছে (আই / ও এর জন্য অপেক্ষা করছেন) এবং কার্নেল আপনাকে দীর্ঘ অপেক্ষার কথা জানিয়ে দিচ্ছে।

ত্রুটিটি নির্দেশ করে যে আপনার প্রক্রিয়াগুলি ডিস্কগুলিতে অ্যাক্সেস পেতে খুব দীর্ঘ (120 সিসি) অপেক্ষা করছে; এটি অত্যন্ত ভিড়যুক্ত সার্ভারগুলিতে ঘটে যেখানে ডিস্কগুলি প্রক্রিয়াগুলিতে সাড়া দিতে খুব ব্যস্ত থাকে।

আপনি vmstat এর অধীনে "অপেক্ষা" পরীক্ষা করে নিশ্চিত করতে পারেন।