ตั่งแต่ลง freebsd 5.4 แล้ว uptime ได้แค่ 2 วันบ้าง 4 วันบ้างเหมื่อนมีคนไปกด restart เครื่อง Server ผมก่อนหน้านี้ผมใช้ 5.3 เปิดเครื่องทิ้งไว้เป็นเดือนๆ ไม่มีปัญหาอะไรเลย ตั่งแต่ลง 5.4 เสร็จแล้วก็ลง Plesk ไว้เฉยๆเครื่องก็ทิ้งไว้เฉยยังไม่ได้ลงอะไรเพื่มเพราะยังทำเวปไม่เสร็จเลยยังไม่ได้อัพโหลดไป Server มีอยู่วันหนึ่งผมทำเวปเสร็จแล้ว แล้วผมก็ ssh เข้า Server ตัวเองไม่ได้ผมก็รอซักแป็บก็เข้าได้ผมก็เลยลองเช็ค uptime ดูสรุปเครื่องผมมัน reboot แล้วคราวนี้ผมก็เช็ค uptime ดูทุกวัน บางวัน 3 วันเครื่องผมมัน reboot ครั่งบางครั่ง 4-5 วันครั่งขนาดลงทุนเปลี่ยนเครื่องใหม่ก็ยังเป็นงงเลยผมขนาดป้องกัน ssh เปลี่ยน port ssh แล้วไม่เคยใช้ root login วันนี้ผมเช็ค uptime เจอสดๆเลย
3:36PM up 10:12, 4 user, load averages: 0.04, 0.01, 0.00
ผมเข้าอยู่คนเดียวแต่ทำไมมันมีตั่ง 4user ปกติผมจะเห็นแค่ 1user คือผมคนเดียว
มีวิธีไหนที่สามารถดูได้อีกนอกจาก auth.log userlog มีวิธีอื่นอีกไหมครับที่สามารถดูว่ามีใครมา reboot เครื่องเราเวลาไหน
อีกอย่างใน auth.log userlog อยู่ดีๆมันไม่เคยอัพเดทอีกเลยเป็นวันเดิมๆตลอดเลยครับผมช่วยทีครับผมขอบคุณครับ
ลองดู /var/log/messages นะครับ
ลอง ps ดูครับว่ามี application แปลกๆ หรือปล่าว
หรือลองดูใน /tmp ดูนะครับว่ามี file แปลกๆ อยู่หรือปล่าว พวก .txt หรือ .pl
w <<< ดูว่าใคร login อยู่บ้าง ถ้าเป็นชื่อเราทั้งหมด ip เดียวกัน บางทีมันอาจจะค้าง ตอนเน็ตคุณตัด หรือ ฯลฯน
cat /var/log/auth.log
lastlogin
ถ้าคิดว่าเข้าได้คนเดียวก็ลองเชคดูครับ
/var/log/secure ดีกว่าครับ
ดูว่าใคร login บ้าง
ยังไม่เจออะครับเดี๋ยวผมต้องเช็คให้ระเอียดอีกทีนึง ขอบคุณเพื่อนๆมากครับที่ให้ความช่วยเหลือ
ถ้ายังไม่ได้เดี๋ยวมี… :smash:
เป็นไปได้ไหมที่ผมโดนยิงจน Server ดับ
ลองนั่งไล่ log ดูเลยครับ ว่ามี access มาจาก ip ที่ไม่ใช่เราหรือเปล่า
หรือลอง w ดูว่าตอนที่ user มันขึ้นมาหลายๆ user ว่าเป็นตัวเราเองหรือเปล่า หรือมันค้างจากของเก่า
ลองเช็คปลั๊กไฟด้วยก็ดี อาจจะไม่แน่น อาจเกิดขึ้นได้ เหมือนคอมบ้าน ที่ติดๆ ดับ (อย่ามองข้าม)
[quote author=ModRooM link=topic=3647.msg28280#msg28280 date=1153480087]
เป็นไปได้ไหมที่ผมโดนยิงจน Server ดับ
- ใช้คำสั่ง last
ขอบคุณเพื่อนๆมากๆครับได้ความรู้เพื่มมากมาย
1.เครื่องคุณวางที่ไหนครับ
2.เวลาที่มัน reboot แล้ว service ของคุณทุกตัว มัน start ครบไหม
3.คุณเคยเดินไปที่ที่วางเครื่องหรือปล่าวลองเปิดดูอุปกรณ์ข้างในว่ามันวางสายดีหรือปล่าว
4.ลองตรวบสอบแฟ้ม passwd กะ shadow ดูดิครับว่าัมันเปลี่ยนแปลงล่าสุดวันไหน
5.ถ้าเครื่อง reboot เองมันไม่น่าจะมี user ค้างนะครับ แต่คุณบอกว่ามีค้างอยู่ 4 ก็สงสัยไว้ก่อนเลยว่าโดนไม่ดีแล้ว (หรือใครจะเถียงว่าโดนดีแล้ว ดียังไงเครื่องตัวเองโดนแฮก)
6.ลองตรวบสอบ service ของคุณดูว่าคุณไม่ได้ใช้ตัวไหนแต่ตัวนั้นมันเปิดอยู่ (เผื่อคนแฮกคุณไปเปิด port หรือตั้งชื่อ ประดู เหมือนกับ service ของเครื่อง)
7.ลองใช้ netstat -a กะ nmap เครื่องคุณดูบ้าง
8.ลองแก้ สิทธิของ /tmp เป็น 1777 (ถ้าแก้ปัญหาได้ทุกอย่างแล้ว หรือ
#cd /tmp
#rm -rf * .*
#chmod 1777 tmp
ลบให้มันหมดไปเลย
)
9.ลองเปิด config ของทุกโปรแกรมดูว่ามันมีการสร้าง file ไว้ที่ไหนบ้าง เช่น php.ini (เผื่อคุณทำแปลก ไม่ไว้ที่ /tmp ก็ทำแบบเดียวกับข้อ 8.)
10.ตรวจสอบ file ใน web คุณทุก file ว่ามีอะไรแปลกๆ
11.ลองตรวจสอบแฟ้ม sudo ดู ของ fedora กะ redhat อยู่ที่ /etc/sudoers ตัวอื่นไม่รู้
12.หิวข้าว…
สงสัยต้องเดินไปดูเครื่องเองซะแล้ว ขอบคุณมากครับ