kaktak Posted March 22, 2018 Posted March 22, 2018 Заметил в логах на нескольких серверах (все Debian 7-9, расположены в разных местах и даже в разных сетях ) примерно в одно и тоже время: [2389047.666379] Bluetooth: Core ver 2.19 [2389047.666390] Bluetooth: HCI device and connection manager initialized [2389047.666395] Bluetooth: HCI socket layer initialized [2389047.666397] Bluetooth: L2CAP socket layer initialized [2389047.666402] Bluetooth: SCO socket layer initialized никаких блютус устройств в сервера естественно не устанавливали. Что это может быть? Атака какая-то? Вставить ник Quote
murano Posted March 22, 2018 Posted March 22, 2018 Просто модуль ядра включен из коробки. Вставить ник Quote
kaktak Posted March 22, 2018 Author Posted March 22, 2018 так я понимаю если бы это было при загрузке. а там аптайма от месяца до года. причем модуль в одно время примерно загрузился на разных серверах Вставить ник Quote
alexwin Posted March 22, 2018 Posted March 22, 2018 47 минут назад, kaktak сказал: причем модуль в одно время примерно загрузился на разных серверах Апгрейд? Посмотрите,что в lsmod | grep -i bluetooth Вставить ник Quote
kaktak Posted March 22, 2018 Author Posted March 22, 2018 в кроне ничего похожего не вижу # lsmod | grep -i bluetooth bluetooth 119450 0 rfkill 19005 1 bluetooth crc16 12343 2 ext4,bluetooth # lsmod | grep -i bluetooth bluetooth 374429 0 6lowpan_iphc 16588 1 bluetooth rfkill 18867 2 bluetooth,asus_wmi crc16 12343 2 ext4,bluetooth Вставить ник Quote
alexwin Posted March 22, 2018 Posted March 22, 2018 2 минуты назад, kaktak сказал: в кроне ничего похожего не вижу # lsmod | grep -i bluetooth bluetooth 119450 0 rfkill 19005 1 bluetooth crc16 12343 2 ext4,bluetooth # lsmod | grep -i bluetooth bluetooth 374429 0 6lowpan_iphc 16588 1 bluetooth rfkill 18867 2 bluetooth,asus_wmi crc16 12343 2 ext4,bluetooth Добавьте его тупо в blacklist,если он вам не нужен. Вставить ник Quote
kaktak Posted March 22, 2018 Author Posted March 22, 2018 ну это как решение. просто интересно понять с чего он вдруг решил запуститься. Вставить ник Quote
alexwin Posted March 22, 2018 Posted March 22, 2018 2 минуты назад, kaktak сказал: ну это как решение. просто интересно понять с чего он вдруг решил запуститься. Это лучше спросить у дебиановских красноглазиков. P.S. Мож он из initramfs грузиться на случай беспроводной клавиатуры (нет дебиана под рукой проверить) Вставить ник Quote
rm_ Posted March 22, 2018 Posted March 22, 2018 Было такое, уже не помню чем вызвано, но объяснение было безобидным. Вы случайно файрволл не перезапускали сразу на всех, или ядро (или другой софт) не обновляли? Вставить ник Quote
kaktak Posted March 22, 2018 Author Posted March 22, 2018 Нет, ни руками, ни своими скриптами в этот момент сервера вообще не трогал. В логах (в том числе логах крона) ничего похожего на причину рядом с загрузкой модуля блютус нет. Вставить ник Quote
alexwin Posted March 22, 2018 Posted March 22, 2018 (edited) 15 минут назад, kaktak сказал: Нет, ни руками, ни своими скриптами в этот момент сервера вообще не трогал. В логах (в том числе логах крона) ничего похожего на причину рядом с загрузкой модуля блютус нет. А в /boot сколько версий ядер и initramfs? UPDATE https://www.linux.org.ru/forum/general/13382606 Кажись оно? Edited March 22, 2018 by alexwin Вставить ник Quote
kaktak Posted March 22, 2018 Author Posted March 22, 2018 Не, сервиса bluetooth в автозагрузке нет (использую sysvinit) Вставить ник Quote
DDR Posted March 22, 2018 Posted March 22, 2018 https://access.redhat.com/solutions/1131343 Цитата Bluetooth modules are automatically loaded when collecting tcpdump Resolution Bluetooth modules are harmless on the system. If it should not be loaded explicitly, register bluetooth modules as blacklist in /etc/modprobe.d/blacklist.conf blacklist bluetooth rfkill ... Root Cause tcpdump will try to find interfaces and load modules including lo, ethX, bluetooth as followed: 1.eth0 2.usbmon1 (USB bus number 1) 3.any (Pseudo-device that captures on all interfaces) 4.lo Вставить ник Quote
alexwin Posted March 22, 2018 Posted March 22, 2018 2 часа назад, DDR сказал: https://access.redhat.com/solutions/1131343 Во-общем,не запускайте tcpdump на машине,подключеной к ядерному реактору - хрен знает какие он там еще модули подгрузит. Вставить ник Quote
kaktak Posted March 22, 2018 Author Posted March 22, 2018 В том и дело, что в момент старта модуля ничего не запускал ) И даже в промиск интерфейсы не переводил ) Вставить ник Quote
nuclearcat Posted March 23, 2018 Posted March 23, 2018 Значит запускал майор Джон который теперь хозяйствует на сервере. Стоит внимательно прошерстить логи на промежуток этого timestamp аптайма. Вставить ник Quote
alexwin Posted March 23, 2018 Posted March 23, 2018 2 минуты назад, nuclearcat сказал: Стоит внимательно прошерстить логи на промежуток этого timestamp аптайма. А майор Джон не додумался логи за собой подтереть? Вставить ник Quote
st_re Posted March 23, 2018 Posted March 23, 2018 может подтер как раз, а что там какието левые модули при запуске еще загрузились просто забыл ? 8-0 Вставить ник Quote
kaktak Posted March 23, 2018 Author Posted March 23, 2018 Проанализировал логи внимательнее и вспомнил.. Это я на них powertop запускал. Такие дела. Майор Джон - это я. Вставить ник Quote
alexwin Posted March 24, 2018 Posted March 24, 2018 10 часов назад, kaktak сказал: Проанализировал логи внимательнее и вспомнил.. Это я на них powertop запускал. Такие дела. Майор Джон - это я. Батарейки хотели сэкономить? ) Вставить ник Quote
kaktak Posted March 24, 2018 Author Posted March 24, 2018 Да нее. В соседней ветке начитался про интеловские процы и их cstate. Вставить ник Quote
alexwin Posted March 24, 2018 Posted March 24, 2018 На следующие разы ставьте auditd,чтобы не гадать был ли майор Джон. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.