Вопрос Почему мой сервер неоднократно запрашивал файл package.bz2 из зеркала в течение 24 часов?


Один из наших серверов вчера использовал около 20 ГБ данных, потому что он неоднократно запрашивал файл packages.bz2 из зеркала.

Запросы начались около 22:00 в воскресенье вечером и остановились около 21:00 в понедельник.

Нет ничего в истории apt, автоматических обновлений или системного журнала, чтобы указать, почему.

Все, что я вижу, это куча заблокированного трафика в журнале UFW с IP-адреса зеркала - нет никаких правил для блокировки этого IP-адреса в настройке UFW, связь с зеркалом успешна за пределами этого периода необычной активности, поэтому выглядит (хотя я прошел через конфигурацию UFW и не смог найти это явно).

/var/log/apt/term.log а также /var/log/apt/term.log не имеют записей после 6:45 в прошлую пятницу (за 2 дня до начала мероприятия).

/var/log/aptitude пуст с момента его создания более года назад.

auth.log показывает нормальную активность cron для сервера Ubuntu - и не намного больше, кроме моих логинов и использования sudo при попытке диагностировать проблемы там.

Нет ничего в cron.d, вызывающем apt или aptitude, и cron.daily имеет тот же набор скриптов, что и другие серверы, которые не ошибаются.

Я разговаривал с системным администратором для зеркала - он был очень полезен. Вот как я узнал, что мой сервер неоднократно запрашивал файл packages.bz2. Он говорит, что каждый запрос был выполнен и закрыт правильно.

Итак, что могло случиться, чтобы начать этот процесс? Почему так долго продолжалось, и почему это просто остановилось?


И через неделю это началось снова - в журналах все еще ничего не сказано, чтобы указать, почему.


2
2017-12-17 01:21


происхождения


Вы используете Lucid? Каково содержание /var/log/apt/term.log  /var/log/aptitude - Braiam
@Braiam - я добавил эту информацию к своим вопросам - HorusKol
«Все, что я вижу, - это куча заблокированного трафика в журнале UFW с IP-адреса зеркала». <- Что вы на самом деле видите? Это входящий или исходящий трафик (с точки зрения брандмауэра)? И если он заблокирован, он не должен использовать пропускную способность. - gertvdijk
Пока это происходит, убедитесь, что вы отслеживаете использование сети на вашем компьютере. Используйте такие инструменты, как iftop, netstat, atop, tcpdump чтобы узнать больше об этом. Поскольку ваш вопрос в настоящее время стоит, это игла в стоге сена. Помните, что мы не можем видеть ваш экран, и у нас нет доступа к вашей машине, поэтому мы полагаемся на информацию в вашем вопросе. Я предлагаю ознакомиться с основными проблемами, связанными с инструментами, о которых я упоминал. Боюсь, этот сайт действительно не предназначен для проб и ошибок, обнаруживающих иглу в стоге сена. - gertvdijk
журналы не регистрируют каждый вызов apt-get update, Возможно, auth.log и cron-скрипты могут быть более релевантными. - Braiam


ответы:


apt-get update не регистрируется в журналах APT.

Для меня, похоже, что сервер не получил файл, или он был недействителен. Другая возможность - странный сценарий cron.

Теперь причина немного интереснее. Или

  1. Возможно, cron запускается apt-get update
  2. Кто-то (другой администратор и / или хакер) рассылал спам apt-get update

Почему он будет работать 23 часа ... Может быть, плохой вход cron?

Кроме того, не очень эксперт по UFW / блокированию.

Лично я бы проверял cron и auth.log как предложил @Брайям.


2
2017-12-26 03:01





Для меня это звучит как цикл скриптов.

Установлена ​​ли система для обновления программного обеспечения в воскресенье в 22.00?

У вас есть какой-то скрипт для обновления его без посещения?


0
2017-12-29 10:26



Я считаю, что это МОЖЕТ быть обманутым ответом .... =] - Kaz Wolfe