А вот так выполняется :
Может в run-parts что то не то?run-parts /opt/etc/cron.1min
To OlegaVB:
Сделал. Но сообщений в файл /tmp/crontest.txt не было.
Хотя при запуске вручную файла /opt/etc/cron.1min/test.sh сообщение в этом crontest записывалось.
Сообщения об отработке cron в логе присутствуют...
To Smi:
заменил строку на новую. То же самое: Сообщения об отработке cron в логе присутствуют, а о connections - нет.
При ручном запуске /opt/etc/cron.1min/test.sh - все нормально...
Когда государство начинает убивать, оно всегда называет себя Родиной.
Юхан Стриндберг, шведский писатель
А вот так выполняется :
Может в run-parts что то не то?run-parts /opt/etc/cron.1min
To Smi:
Донастроить cron - дело важное.
однако, скейчас там стоит только отслеживание connections
и их значение пока ни разу не преывысило 1000.
Вряд ли стоит тут ждать особо интересных новостей.
А вот что я заметил в логе - это наличие попыток взлома dropbear (точнее, подбора пароля).
и таких записей там - до 20 в минуту. При этом dropbear вполне конкретно грузит процессор.Code:Aug 5 05:23:11 dropbear[531]: login attempt for nonexistent user from ::ffff:66.147.164.211:34051 Aug 5 05:23:12 dropbear[531]: exit before auth: Disconnect received Aug 5 05:23:15 dropbear[532]: login attempt for nonexistent user from ::ffff:66.147.164.211:35910 Aug 5 05:23:16 dropbear[532]: exit before auth: Disconnect received Aug 5 05:23:18 dropbear[533]: login attempt for nonexistent user from ::ffff:66.147.164.211:37273 Aug 5 05:23:18 dropbear[533]: exit before auth: Disconnect received Aug 5 05:23:21 dropbear[534]: login attempt for nonexistent user from ::ffff:66.147.164.211:38346 Aug 5 05:23:22 dropbear[534]: exit before auth: Disconnect received
Вот тут вполне возможны проблемы - можно ли сделать так, чтобы доступ к dropbear был только из lan?
Когда государство начинает убивать, оно всегда называет себя Родиной.
Юхан Стриндберг, шведский писатель
To OlegaVB:
Попробовал. Получил вот такое сообщение
/bin/sh: Can't open
Открыл файл, перенабрал вручную 1-ю строку, РАЗАБОТАЛО!
Ура! и спасибо.Code:Aug 5 17:45:01 /opt/sbin/cron[1918]: (admin) CMD (run-parts /opt/etc/cron.1min) Aug 5 17:45:02 admin: connections=907 Aug 5 17:46:01 /opt/sbin/cron[1932]: (admin) CMD (run-parts /opt/etc/cron.1min) Aug 5 17:46:01 admin: connections=857
Осталось понять почему же падает рутер... Ибо значения connections там не вдохновляют на то, что именно по этой причине происходят падения. Они там ниже уровня 1000, а в настройках стоит 16384 соединения...
Когда государство начинает убивать, оно всегда называет себя Родиной.
Юхан Стриндберг, шведский писатель
Ну убрать никогда не поздно, за то можно будет отмести одну из версий
Может вас периодически просто DoSят? Кроме dropbear еще наружу ч.л. открыто?
Я просто поднял dropbear на другом порту (> 1024) и с тех пор, в логе только мои соединения
случилось очередное зависание.
Ничего выдающегося на предмет большщого кол-ва connections не случилось...
В логе тоже ничего интересного - перед падением только сообщения о кол-ве соединенийCode:Aug 5 18:35:02 admin: connections=918 Aug 5 18:36:01 admin: connections=926 Aug 5 18:37:02 admin: connections=854 Aug 5 18:42:30 admin: connections=409 Aug 5 18:43:02 admin: connections=395
Т.е. за последние 20 минут перед падением никаких атак на тот же dropbear не было...Code:Aug 5 18:30:02 /opt/sbin/cron[2603]: (admin) CMD (run-parts /opt/etc/cron.1min) Aug 5 18:30:02 admin: connections=1089 Aug 5 18:31:01 /opt/sbin/cron[2617]: (admin) CMD (run-parts /opt/etc/cron.1min) Aug 5 18:31:02 admin: connections=1019 Aug 5 18:32:01 /opt/sbin/cron[2628]: (admin) CMD (run-parts /opt/etc/cron.1min) Aug 5 18:32:02 admin: connections=928 Aug 5 18:33:01 /opt/sbin/cron[2639]: (admin) CMD (run-parts /opt/etc/cron.1min) Aug 5 18:33:01 admin: connections=960 Aug 5 18:34:01 /opt/sbin/cron[2650]: (admin) CMD (run-parts /opt/etc/cron.1min) Aug 5 18:34:02 admin: connections=979 Aug 5 18:35:01 /opt/sbin/cron[2662]: (admin) CMD (run-parts /opt/etc/cron.5mins) Aug 5 18:35:01 /opt/sbin/cron[2663]: (admin) CMD (run-parts /opt/etc/cron.1min) Aug 5 18:35:02 admin: connections=918 Aug 5 18:36:01 /opt/sbin/cron[2677]: (admin) CMD (run-parts /opt/etc/cron.1min) Aug 5 18:36:01 admin: connections=926 Aug 5 18:37:01 /opt/sbin/cron[2688]: (admin) CMD (run-parts /opt/etc/cron.1min) Aug 5 18:37:02 admin: connections=854 Jan 1 03:00:05 syslogd started: BusyBox v1.1.3 Jan 1 03:00:05 kernel: klogd started: BusyBox v1.1.3 (2009.02.22-14:37+0000) Jan 1 03:00:05 kernel: CPU revision is: 00029006
Когда государство начинает убивать, оно всегда называет себя Родиной.
Юхан Стриндберг, шведский писатель
Так судя по логу, к нему и образаются по портам >10'000
а на каком порту обычно работает dropbear и как его перенастроить на более высокий?
И, собственно, как узнать что выставлено наружу.
Знаю про:
utorrent с компа и ноута
rtorrent, lighthttpd, ftp с рутера
samba, как я понимаю, наружу не торчит
Last edited by iDiver; 05-08-2009 at 15:59. Reason: доп. вопросы про то, что торчит наружу
Когда государство начинает убивать, оно всегда называет себя Родиной.
Юхан Стриндберг, шведский писатель
Нет, это не к нему по портам, а к нему с портов, это порты открытые на удаленной машине
Стандартный порт ssh = 22, туда обычно и ломятся т.ч. советую сменить. Кроме того, советую запретить, если сейчас разрешено, отвечать на пинги для WAN!
И вообще на закладке http://192.168.0.1/Advanced_BasicFirewall_Content.asp:
Enable Firewall? Yes
Enable DoS protection? No
Enable Web Access from WAN? No
Respond LPR Request from WAN? No
Respond Ping Request from WAN? No
Ну это уже совсем не прилично, поиском не воспользоваться? Вы какие темы прочитали? Как роутер вообще настраивали, copy/paste не думая?!
top |head -n 10 | tail -n 3
Получаются 1е 3 процесса из top... но:
Code:[admin@WL500w root]$ top |head -n 10 | tail -n 3 12004 admin 15 0 596 596 460 R 6.9 2.0 0:00.13 top 304 admin 12 0 8672 6792 5768 S 3.5 22.5 33:41.29 rtorrent 12006 admin 12 0 336 336 276 S 1.7 1.1 0:00.01 tail