Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 1384 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASL 4.018 reboots by itself - compromised?

agebhard
Hi guys,

I'm having a little problem here: ASL box 4.018 has rebooted once three days ago, twice again today. I get informed via email, but the client - who houses the box - says they did not touch it nor did they have power failures.

So, I am not very sure if maybe someone compromised the firewall. What's the best place to check? Admin logs show my own WebAdmin access and some user issuing su command but nothing further.

Any way to log any and all activiy?

I used to have SSH access from external NIC enabled but switched it off after the first incident. Still, today it rebooted twice...

Any smart ideas?

cheers,

Andreas  


This thread was automatically locked due to age.
Parents
  • 0
    Andreas,

    please check the kernel log shortly before the box rebooted. Maybe some hardware problem that caused a reboot such as faulty RAM. 
  • 0 in reply to Andy_01
    Andy,

    thanks for the suggestion. I did not see anything unusual. It's only logging dropped packages and then suddenly the startup messages appear. 

    Also, in my inital post I mentioned the Admin Access log. Here it is, maybe someone can shed some light on this?

    Admin Access Log

    2004-Mar  1 19:41:23 (none) sshd[244]: Server listening on 0.0.0.0 port 22.
    2004-Mar  1 19:41:23 (none) sshd[244]: Generating 768 bit RSA key.
    2004-Mar  1 19:41:24 (none) sshd[244]: RSA key generation complete.
    2004-Mar  1 19:41:27 (none) su: (to nobody) root on none
    2004-Mar  1 20:16:22 (none) sshd[244]: Server listening on 0.0.0.0 port 22.
    2004-Mar  1 20:16:22 (none) sshd[244]: Generating 768 bit RSA key.
    2004-Mar  1 20:16:22 (none) sshd[244]: RSA key generation complete.
    2004-Mar  1 20:16:26 (none) su: (to nobody) root on none
    2004-Mar  1 22:53:07 (none) webadmin[12985]: successful login as "admin" from xxx.xxx.xxx.xxx

    what's up with this ssh instance? I disabled ssh access in the WebAdmin field...
    then again, it seems like these logs appear *during* the startup process and not before...

    Help?

    Andreas
       
Reply
  • 0 in reply to Andy_01
    Andy,

    thanks for the suggestion. I did not see anything unusual. It's only logging dropped packages and then suddenly the startup messages appear. 

    Also, in my inital post I mentioned the Admin Access log. Here it is, maybe someone can shed some light on this?

    Admin Access Log

    2004-Mar  1 19:41:23 (none) sshd[244]: Server listening on 0.0.0.0 port 22.
    2004-Mar  1 19:41:23 (none) sshd[244]: Generating 768 bit RSA key.
    2004-Mar  1 19:41:24 (none) sshd[244]: RSA key generation complete.
    2004-Mar  1 19:41:27 (none) su: (to nobody) root on none
    2004-Mar  1 20:16:22 (none) sshd[244]: Server listening on 0.0.0.0 port 22.
    2004-Mar  1 20:16:22 (none) sshd[244]: Generating 768 bit RSA key.
    2004-Mar  1 20:16:22 (none) sshd[244]: RSA key generation complete.
    2004-Mar  1 20:16:26 (none) su: (to nobody) root on none
    2004-Mar  1 22:53:07 (none) webadmin[12985]: successful login as "admin" from xxx.xxx.xxx.xxx

    what's up with this ssh instance? I disabled ssh access in the WebAdmin field...
    then again, it seems like these logs appear *during* the startup process and not before...

    Help?

    Andreas
       
Children
  • 0 in reply to agebhard
    There are many time consuming things you could do to sleuth what's going on, but the quickest and relatively easiest thing to do that would rule out compromise is to backup, reinstall, restore, and change all passwords.

    Is the IP address that the SSH is coming from on the LAN?

    Sure you're not administering from a box with a keystroke logger?

    More commonly, unexpected reboots occur because of extreme resource exhaustion or, as Andy said, hardware conflicts...
         
  • 0 in reply to SecApp
    If possible, see if someone can physically open up the computer and make sure the CPU fan on the heatsink hasn't failed.  I've experienced many random reboots due to cooling/overheating issues which arrise when case fans, PSU fans, and other cooling items fail.  In addition, see if the failures occured during heavy CPU usage.  If so, this increase the probability of a heat issue.  In addition, I would change all user passwords as recommended above, just to be on the safe side.  
  • 0 in reply to SecApp
    SecApp,

    thanks for the suggestions! The box sits in a remote location where I will be again at the end of next week - I'll do a fresh reinstall then! Seems like the best solution.

    I could not confirm any incoming ssh connection - that's what threw me off...

    Hardware wasn't changed recently, so I do not expect *conflicts*. Failure of something is a possibility which I'll look into when I'm at the site.

    I have turned off an IPSec tunnel which I had established between my and the remote location - so far, no reboots have occured.

    Very strange.

    Thanks for the input!  
  • 0 in reply to Jhaislet
    jhaislet,

    thanks for the suggestions! I will check hardware when I'm at the site next week. Log files as well as graphs show no sign of unusually high CPU usage.

    I'll keep you posted if I find something...

    Regards,

    Andreas