nagios系统问题

Question

@石头(cloved) 你好，想跟你请教个问题：我有一个系统严重错误的问题想请教你一下，我有一台服务器安装了nagios，已经有一个多月，但前天防火墙报出很多错误日志，我用命令查了一下，ps-ef|grep nagios

列出了很多这样的进程，麻烦请教一下，不知道怎么回事，急死我了~~~

nagios   19023  0.0  0.0    964   564 ?        S    16:33   0:00 ./ssh 200
nagios   19024  0.0  0.0    964   564 ?        S    16:33   0:00 ./ssh 200
nagios   19038  0.0  0.0    964   564 ?        S    16:33   0:00 ./ssh 200
nagios   19043  0.0  0.0    964   564 ?        S    16:33   0:00 ./ssh 200
nagios   19044  0.0  0.0    964   564 ?        S    16:33   0:00 ./ssh 200
nagios   19045  0.0  0.0    964   564 ?        S    16:33   0:00 ./ssh 200
nagios   19046  0.0  0.0    964   564 ?        S    16:33   0:00 ./ssh 200
nagios   19048  0.0  0.0    964   564 ?        S    16:33   0:00 ./ssh 200
nagios   19049  0.0  0.0    964   564 ?        S    16:33   0:00 ./ssh 200
nagios   19069  0.1  0.0    964   520 ?        S    16:33   0:00 ./ssh 200
nagios   19089  0.0  0.0    964   564 ?        S    16:34   0:00 ./ssh 200
nagios   19093  0.0  0.0    964   564 ?        S    16:34   0:00 ./ssh 200
nagios   19094  0.0  0.0    964   564 ?        S    16:34   0:00 ./ssh 200
nagios   19097  0.0  0.0    964   564 ?        S    16:34   0:00 ./ssh 200
nagios   19098  0.0  0.0    964   564 ?        S    16:34   0:00 ./ssh 200
nagios   19100  0.0  0.0    964   564 ?        S    16:34   0:00 ./ssh 200
nagios   19101  0.0  0.0    964   564 ?        S    16:34   0:00 ./ssh 200
nagios   19102  0.0  0.0    964   564 ?        S    16:34   0:00 ./ssh 200
nagios   19105  0.0  0.0    964   564 ?        S    16:34   0:00 ./ssh 200
nagios   19108  0.0  0.0    964   564 ?        S    16:34   0:00 ./ssh 200
nagios   19112  0.0  0.0    964   564 ?        S    16:34   0:00 ./ssh 200
nagios   19113  0.0  0.0    964   564 ?        S    16:34   0:00 ./ssh 200
nagios   19114  0.0  0.0    964   564 ?        S    16:34   0:00 ./ssh 200
nagios   19115  0.0  0.0    964   564 ?        S    16:34   0:00 ./ssh 200
nagios   19119  0.1  0.0    972   512 ?        S    16:35   0:00 ./ssh 200
nagios   19120  0.0  0.0    964   564 ?        S    16:35   0:00 ./ssh 200
nagios   19127  0.0  0.0    964   564 ?        S    16:35   0:00 ./ssh 200
nagios   19128  0.0  0.0    960   560 ?        S    16:35   0:00 ./ssh 200
nagios   19137  0.0  0.0    960   560 ?        S    16:35   0:00 ./ssh 200
nagios   19146  0.0  0.0    964   564 ?        S    16:35   0:00 ./ssh 200
nagios   19155  0.1  0.0    964   520 ?        S    16:35   0:00 ./ssh 200
nagios   19178  0.0  0.0    964   564 ?        S    16:35   0:00 ./ssh 200
nagios   19179  0.0  0.0    964   564 ?        S    16:35   0:00 ./ssh 200
nagios   19351  0.0  0.0    964   564 ?        S    16:35   0:00 ./ssh 200
nagios   19368  0.0  0.0    964   564 ?        S    16:35   0:00 ./ssh 200
nagios   19377  0.0  0.0    964   564 ?        S    16:35   0:00 ./ssh 200
nagios   19385  0.0  0.0    964   564 ?        S    16:35   0:00 ./ssh 200
nagios   19387  0.1  0.0    972   512 ?        S    16:35   0:00 ./ssh 200
nagios   19388  0.0  0.0    964   564 ?        S    16:35   0:00 ./ssh 200
nagios   19394  0.0  0.0    964   564 ?        S    16:35   0:00 ./ssh 200
nagios   19407  0.0  0.0    964   564 ?        S    16:35   0:00 ./ssh 200

Answer 1

unkown有可能是没有取到数据造成的。 问题可以Email我 cloved@gmail.com

Answer 2

非常感谢石头大哥，正如你所说，中了后门，目前处理方法是杀死了nagios进程，加强防火墙，非常感谢你介绍的工具，我会下载来玩玩。

Answer 3

石头大哥你好，我现在又有一个问题，为什么监控一台IRONPORT的机器，通过snmp来监控IRONPORT的内存，线程，风扇，大多时候不会出现警告，但有时会为UNKNOWN状态，具体是什么原因引起的UNKNOWN状态呢？你有没有QQ，方便联系一下的？

Answer 4

确认一下nagios用户的密码强度，大部分系统被入侵的原因，都是不恰当的帐号/密码设置，比如弱口令。

Answer 5

另外，有些安全工具可以帮你确认及解决问题。 我常用的： chkrootkit, rkhunter，用作内部扫描； Nessus，openVAS，用作外部扫描；

Answer 6

这么好的贴没人遇过吗？？我认为nagios漏洞，然后受到了sky flood攻击了？求解决方法。

Answer 7

没有人遇到过这问题吗？今天防火墙又收到了很多邮件，关于sky flood 的邮件

Answer 8

在nagios下，存在一个用空格命名的目录 ls -al应该可以看得到。

Answer 9

自己顶下啊，没人遇过这样的问题吗？

Answer 10

而且我停止nagios后系统日志就不停的报错

Aug  7 21:35:48 ninecity-cn kernel: ssh[5615]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff8be610 error 4
Aug  7 21:36:09 ninecity-cn kernel: ssh[5665]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff8be610 error 4
Aug  7 21:36:15 ninecity-cn kernel: ssh[5666]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff8be610 error 4
Aug  7 21:36:27 ninecity-cn kernel: ssh[5673]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff8be610 error 4
Aug  7 21:36:34 ninecity-cn kernel: ssh[5677]: segfault at 00000000643307fc rip 00000000080a3377 rsp 00000000ff8be5e0 error 4
Aug  7 21:36:48 ninecity-cn kernel: ssh[5686]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff8be610 error 4
Aug  7 21:36:49 ninecity-cn kernel: ssh[5687]: segfault at 00000000642d686f rip 00000000080a3377 rsp 00000000ff8be5e0 error 4
Aug  7 21:36:52 ninecity-cn kernel: ssh[5685]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff8be610 error 4
Aug  7 21:37:19 ninecity-cn kernel: ssh[5714]: segfault at 00000000643307fc rip 00000000080a3377 rsp 00000000ff8be5e0 error 4
Aug  7 21:37:19 ninecity-cn kernel: ssh[5713]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff8be610 error 4
Aug  7 21:37:27 ninecity-cn kernel: ssh[5721]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff8be610 error 4
Aug  7 21:37:31 ninecity-cn kernel: ssh[5720]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff8be610 error 4
Aug  7 21:37:36 ninecity-cn kernel: ssh[5726]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff8be610 error 4
Aug  7 21:37:43 ninecity-cn kernel: ssh[5737]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff8be610 error 4
Aug  7 21:37:44 ninecity-cn kernel: ssh[5731]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff8be610 error 4
Aug  7 21:37:49 ninecity-cn kernel: ssh[5738]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff8be610 error 4
Aug  7 21:38:51 ninecity-cn kernel: ssh[5786]: segfault at 00000000643307fc rip 00000000080a3377 rsp 00000000ff8be5e0 error 4
Aug  7 21:38:53 ninecity-cn kernel: ssh[5788]: segfault at 00000000643307fc rip 00000000080a3377 rsp 00000000ff8be5e0 error 4

这是怎么回事呢？麻烦大家给点建议啊，我弄了一天了，没弄好~~

Answer 11

nagios/var/nagios.log日志没有什么异常，就是跟平常的一样，这两天才出现这种问题

系统也日志报出这样的错误

cat /var/log/message

Aug  7 21:16:10 ninecity-cn kernel: ssh[3572]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff9d2fc0 error 4
Aug  7 21:16:11 ninecity-cn kernel: ssh[3330]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff9d2fc0 error 4
Aug  7 21:16:18 ninecity-cn kernel: ssh[3598]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff9d2fc0 error 4
Aug  7 21:16:18 ninecity-cn kernel: ssh[3601]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff9d2fc0 error 4
Aug  7 21:16:19 ninecity-cn kernel: ssh[3602]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff9d2fc0 error 4
Aug  7 21:16:26 ninecity-cn kernel: ssh[3480]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff9d2fc0 error 4
Aug  7 21:16:27 ninecity-cn kernel: ssh[3626]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff9d2fc0 error 4
Aug  7 21:16:35 ninecity-cn kernel: ssh[3637]: segfault at 00000000643307fc rip 00000000080a3377 rsp 00000000ff9d2f90 error 4
Aug  7 21:16:42 ninecity-cn kernel: ssh[3643]: segfault at 00000000643307fc rip 00000000080a3377 rsp 00000000ff9d2f90 error 4
Aug  7 21:16:45 ninecity-cn kernel: ssh[3649]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff9d2fc0 error 4
Aug  7 21:16:46 ninecity-cn kernel: ssh[3650]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff9d2fc0 error 4
Aug  7 21:16:53 ninecity-cn kernel: ssh[3653]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff9d2fc0 error 4
Aug  7 21:16:56 ninecity-cn kernel: ssh[3644]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff9d2fc0 error 4
Aug  7 21:17:24 ninecity-cn kernel: ssh[3681]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff9d2fc0 error 4

Answer 12

不光要检查进程,还要查看日志 在nagios/var下有一个nagios.log, 光凭你贴出来信息无法判断什么问题.