Ein Rechner am Netzwerk-Switch scheint das Netzwerk für andere zu töten - Hacked?

402
Roaders

Ich habe versucht, einen neuen Ubuntu-Server ohne Headsets einzurichten, und ich hatte alle möglichen Probleme mit Abstürzen und Server, die nicht mehr verfügbar sind. Ich dachte zunächst, dass es sich um Hardwareprobleme handelte und der Server abstürzte - da der Computer kopflos ist, wenn er nicht auf ssh oder ping reagiert, können Sie nicht viel tun.

Ich glaube jetzt, dass dies ein Netzwerkproblem ist.

Zusammenfassung

Ich habe 3 Ubuntu-Server, die alle an einen Switch angeschlossen sind, der an einen Google-WLAN-Punkt angeschlossen ist. Es sind alles Bergbaugeräte, aber ich denke nicht, dass dies relevant ist.

In zufälligen Intervallen (30 Minuten nach dem Start oder 9 Stunden) reagieren alle drei Maschinen nicht mehr gleichzeitig auf Pings oder SSH-Anforderungen.

Der Rest meines Netzwerks (auf 2 anderen Google Wifi-Knoten) ist in Ordnung und scheint überhaupt nicht betroffen zu sein.

Auf dem Switch, der die drei Maschinen verbindet, herrscht ein starker Verkehr (nur durch Beobachtung der Lichter am Switch erraten).

Wenn ich eine der Maschinen vom Switch trenne, reagieren die anderen 2 sofort auf Pings und SSH, wenn ich die Maschine nach etwa 30 Sekunden wieder anbringe, sterben sie alle wieder.

Untersuchungen

Während ich versuche zu debuggen, was hier vor sich geht, habe ich verschiedene Dinge ausprobiert.

Wenn sich das Netzwerk in diesem Status befindet, kann ich eine Adresse von meinem Laptop, die sich im WLAN befindet, anpingen, wenn ich diesen Laptop an den betroffenen Netzwerk-Switch anschließe, kann er nichts pingen - die 3 Ubuntu-Maschinen oder alles andere das Netzwerk.

Die einzige Exposition, die diese Maschinen dem öffentlichen Internet ausgesetzt waren, besteht darin, einen nicht standardmäßigen Port (im 3000er-Bereich) an Port 22 für ssh weiterzuleiten.

Der Kennwortzugriff für ssh ist deaktiviert, und der Zugriff wird nur über den öffentlichen / privaten Schlüssel gewährt.

Alle Maschinen wurden in der letzten Woche neu erstellt und sind Ubuntu Server 16. Ich habe überhaupt nicht viel auf ihnen installiert:

  • Nano
  • NVIDIA-Fahrer
  • Bergbausoftware (Claymore Etherium)
  • SSH-Server
  • locken
  • tmux
  • Knoten

Ich denke das ist es

Was jetzt?

Ich weiß wirklich nicht, wohin ich damit gehen soll. Ich fange an zu vermuten, dass etwas Bösartiges in eine der Maschinen geraten ist und an einem DDOS-Angriff oder etwas beteiligt ist - durch meine Internetgeschwindigkeit schien es nicht betroffen zu sein.

Kann jemand vorschlagen, was hier los ist oder wie ich über weiteres Debuggen oder Lösen dieses Problems vorgehen kann?

Danke vielmals

0
Verbinden Sie sich mit einer Serverkonsole und überprüfen Sie den Netzwerkverkehr mit `tcpdump`. grawity vor 6 Jahren 0
Ja ... Aber ich kann mich nicht an die Konsole anschließen ... Roaders vor 6 Jahren 0
Warum nicht? Welcher Server hat weder einen Videoausgang noch einen BMC? Wie haben Sie den Server _install_ gesetzt, ohne einen Monitor und eine Tastatur anschließen zu können? grawity vor 6 Jahren 0
Bezieht sich "Wenn ich eine der Maschinen trenne" jedes Mal auf dieselbe Maschine, oder spielt es keine Rolle, welche Maschine Sie trennen? Andrew Morton vor 6 Jahren 0
@ grawity - Der Server hat alle Monitorausgänge deaktiviert, da alle GPUs für das Mining verwendet werden. Um das Übertakten der Karte zu ermöglichen, müssen Sie den nvidia-Treiber davon überzeugen, dass an jede Karte ein Monitor angeschlossen ist, so dass Sie gefälschte Monitore generieren. Ein echter Monitor hat also überhaupt keinen Ausgang. Roaders vor 6 Jahren 0
@AndrewMorton - Ich denke, dass es jedes Mal eine bestimmte Maschine sein muss, wenn es passiert, aber verschiedene Maschinen hatten das Problem, sodass die Maschine, die ich trennen muss, variiert. Alle Maschinen sind im Wesentlichen identisch, so dass es sinnvoll ist, dass jeder von ihnen in den Kopf geht. Roaders vor 6 Jahren 0
Richten Sie dann eine serielle Konsole ein. Viele Server verfügen über einen seriellen Anschluss, und ein Seriell-zu-USB-Adapter ist sehr günstig. grawity vor 6 Jahren 1
@Roaders Können Sie einen anderen Ethernet-Switch und / oder andere Kabel ausprobieren? Ist es ein verwalteter Switch, mit dem Sie den Portverkehr auf einen Computer spiegeln können, auf dem [Wireshark] (https://www.wireshark.org/) ausgeführt wird, wenn Sie den Netzwerkverkehr sehen möchten, um herauszufinden, ob etwas auffällt? Andrew Morton vor 6 Jahren 0
@AndrewMorton - Es ist ein ziemlich einfacher Netgear-Switch. Nichts Besonderes. Ich bin mir ziemlich sicher, dass dies passiert ist, wenn ich zwei Computer direkt mit dem Google Wifi verbunden hatte, anstatt mit einem Switch verbunden zu sein. Ich kann verschiedene Kabel ausprobieren und versuchen, den Switch zu entfernen. Roaders vor 6 Jahren 0
@Roaders Mit der Ausrüstung, die Sie zur Verfügung haben, scheint es, als ob der Vorschlag von grawity, eine serielle Konsole einzurichten, der einfachste Weg ist, auf die Ubuntu-Maschinen zuzugreifen und herauszufinden, was los ist. Andrew Morton vor 6 Jahren 0

0 Antworten auf die Frage

Verwandte Probleme