Sto cercando di rintracciare una causa in un Errore interno del server per un server Apache. L'indirizzo IP è cambiato di recente, quindi ho pensato che il crash potrebbe essere correlato. Una rapida ricerca del vecchio IP:
$ sudo grep -IR --exclude-dir="/var/run" '45.78.157.165' /var | egrep -v '(audit|access)'
/var/log/secure:Jun 21 14:08:34 cryptopp sshd[19729]: error: Received disconnect from 199.91.135.157: 3: com.jcraft.jsch.JSchException: reject HostKey: 45.78.157.165 [preauth]
/var/log/secure-20160626:Jun 21 14:08:34 cryptopp sshd[19729]: error: Received disconnect from 199.91.135.157: 3: com.jcraft.jsch.JSchException: reject HostKey: 45.78.157.165 [preauth]
/var/log/secure-20160626:Jun 21 14:08:34 cryptopp sshd[19729]: error: Received disconnect from 199.91.135.157: 3: com.jcraft.jsch.JSchException: reject HostKey: 45.78.157.165 [preauth]
com.jcraft.jsch.JSchException: reject HostKey è inusuale, quindi volevo raccogliere più informazioni. Una rapida ricerca ha rivelato com.jcraft è una sorta di Java Secure Channel . Poi:
$ whois 199.91.135.157
...
NetRange: 199.91.132.0 - 199.91.135.255
CIDR: 199.91.132.0/22
NetName: BCS-HQ-USA
NetHandle: NET-199-91-132-0-1
Parent: NET199 (NET-199-0-0-0-0)
NetType: Direct Assignment
OriginAS:
Organization: Bluecoat Systems, Inc. (BLUEC-8)
RegDate: 2011-02-04
Updated: 2012-03-02
Ref: https://whois.arin.net/rest/net/NET-199-91-132-0-1
OrgName: Bluecoat Systems, Inc.
OrgId: BLUEC-8
Address: 420 N Mary Ave.
City: Sunnyvale
StateProv: CA
PostalCode: 94085
Country: US
RegDate: 2007-01-23
Updated: 2013-01-28
Ref: https://whois.arin.net/rest/org/BLUEC-8
OrgAbuseHandle: LAMAS1-ARIN
OrgAbuseName: Lama, Soni
OrgAbusePhone: +1-408-220-2200
OrgAbuseEmail: [email protected]
OrgAbuseRef: https://whois.arin.net/rest/poc/LAMAS1-ARIN
OrgTechHandle: LAMAS1-ARIN
OrgTechName: Lama, Soni
OrgTechPhone: +1-408-220-2200
OrgTechEmail: [email protected]
OrgTechRef: https://whois.arin.net/rest/poc/LAMAS1-ARIN
Conosco cosa è Bluecoat e so cosa fanno . Penso che il comportamento sia molto insolito, ma voglio astenermi dal fare salti.
Per fornire un po 'più di contesto, questo è in modo anomalo un server LAMP Linux, senza software aggiuntivo. La VM fornita da VirtWire e il sistema è virtualizzato CentOS 7.2. Gestisce un server SSH e Apache, MediaWiki e MySQL. Solo gli amministratori hanno accesso SSH per l'amministrazione. L'applico regolarmente, e di solito dura da 3 a 7 giorni, ma non di molto.
La mia domanda è, perché il server sta tentando di richiamare Bluecoat (o perché riceve connessioni da loro)? Ci sono dei casi d'uso legittimi che potrei aver perso?
Azzeramento dell'eccezione e del blocco IP:
$ sudo egrep -IR --exclude-dir="run" --exclude-dir="spool" '(com.jcraft|199.91.135)' /var
/var/log/secure:Jun 21 14:08:34 cryptopp sshd[19729]: error: Received disconnect from 199.91.135.157: 3: com.jcraft.jsch.JSchException: reject HostKey: 45.78.157.165 [preauth]
/var/log/secure:Jul 1 20:58:28 cryptopp sshd[1235]: error: Received disconnect from 1.55.196.144: 3: com.jcraft.jsch.JSchException: Auth fail [preauth]
/var/log/secure-20160620:Jun 13 13:18:01 cryptopp sshd[23246]: error: Received disconnect from 103.207.36.185: 3: com.jcraft.jsch.JSchException: Auth fail [preauth]
/var/log/secure-20160620:Jun 13 21:03:09 cryptopp sshd[28964]: error: Received disconnect from 116.99.253.189: 3: com.jcraft.jsch.JSchException: Auth fail [preauth]
/var/log/secure-20160620:Jun 13 21:04:20 cryptopp sshd[28971]: error: Received disconnect from 116.99.253.189: 3: com.jcraft.jsch.JSchException: Auth fail [preauth]
/var/log/secure-20160612:Jun 8 21:09:59 cryptopp sshd[3712]: error: Received disconnect from 46.35.253.161: 3: com.jcraft.jsch.JSchException: Auth fail [preauth]
/var/log/secure-20160626:Jun 21 14:08:34 cryptopp sshd[19729]: error: Received disconnect from 199.91.135.157: 3: com.jcraft.jsch.JSchException: reject HostKey: 45.78.157.165 [preauth]
/var/log/secure-20160626:Jun 21 14:08:34 cryptopp sshd[19729]: error: Received disconnect from 199.91.135.157: 3: com.jcraft.jsch.JSchException: reject HostKey: 45.78.157.165 [preauth]
Credo che questa sia una domanda correlata: Qual è lo scopo? Strange tentativi di accesso "sshd [ *] Disconnessione ricevuta da **. . . : 11: Bye Bye [preauth]" .