Падает сервер Debian 11

Dmitry · Регистрация: 09.09.2009

Студворк — интернет-сервис помощи студентам

Происходит это регулярно, в одно и то же время, 2 раза в час. (в кроне у меня есть задача, которая показывает время, когда была завершена загрузка системы, вот она показывает что это (окончание загрузки) происходит в хх.57 минут и в хх.01 минуту).
сервер - удаленный vpn.
подключался к нему по ssh и запускал htop - обновление данных прекращается в 56 минут (в 00 - не проверял). При этом надеялся, вдруг увижу что-то вылетающее как задание, после чего система (видимо) падает - нет вообще ничего, обычные процессы, которые там крутятся постоянно, а потом - бац, и обновление просто прекращается
в кроне искал хоть что-то про 56 минут - нет там ни одной такой записи
поставил и clamav, и rkhunter, и chkrootkit, выполнил всеми ими поиск какой-то гадости - тишина полная, ничего не найдено.

из того, что крутится на (веб) сервере есть - вордпресс, phpbb форум и мой самописанный сайт (в котором точно нет никаких "кроновских" задач, выполняемых по времени). может знает кто, нет ли в первых двух (вордпресс и phpbb форум) каких-то задач, выполняемых каждый час в 56 минут? может какие-то другие варианты кто знает? потому как на мой взгляд, "беда случается" именно по расписанию...

@_sg2 · 03.09.2025, 13:29

Сомневаюсь что поможет, но я бы порылся в логах sar. Ну и самое главное - падает как выражается?

@Usaga · 03.09.2025, 13:41

Сообщение от Dmitry

сервер - удаленный vpn.

Может VPS?)

Dmitry · 03.09.2025, 14:32 **[ТС]**

Сообщение от Usaga

Может VPS

да

Сообщение от _sg2

я бы порылся в логах sar

я о таком ранее и не слышал. гугл выдал какой-то ман. если речь именно об этом, то я у себя на сервере такого не наблюдаю абсолютно.

Сообщение от _sg2

падает как выражается?

у меня пропадает к нему доступ. согласно сислогу и логу ядра - начинается загрузка системы (как при включении компа с линуксом). возможно, он тупо ложится, а вот поставщик услуги vps автоматом стартует его по-новой (я не помню, есть ли там в панели подобная настройка, и настраивал ли я ее как-то, а доступ в панель поставщика будет лишь вечером (данные все дома)). вебмин ведет в том числе и график аптайма. выглядит он вот так (с поправкой на усреднение):

Dmitry · 03.09.2025, 15:19 **[ТС]**

хз, что это такое я нашел, но...
во первых, я решил, раз все пропадает в хх:56, надо посмотреть, что там происходит в хх:55? в итоге я нашел в логе целую портянку действий, происходящую в хх:55. вот этот список из сислога:

лог самих выполняемых процессов

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
Sep  2 03:55:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 03:55:07 wifi-hotspot systemd[1]: Starting User Runtime Directory /run/user/0...
Sep  2 03:55:07 wifi-hotspot systemd[1]: Finished User Runtime Directory /run/user/0.
Sep  2 03:55:07 wifi-hotspot systemd[1]: Starting User Manager for UID 0...
Sep  2 03:55:07 wifi-hotspot systemd[3984554]: Queued start job for default target Main User Target.
Sep  2 03:55:07 wifi-hotspot systemd[3984554]: Created slice User Application Slice.
Sep  2 03:55:07 wifi-hotspot systemd[3984554]: Reached target Paths.
Sep  2 03:55:07 wifi-hotspot systemd[3984554]: Reached target Timers.
Sep  2 03:55:07 wifi-hotspot systemd[3984554]: Starting D-Bus User Message Bus Socket.
Sep  2 03:55:07 wifi-hotspot systemd[3984554]: Listening on GnuPG network certificate management daemon.
Sep  2 03:55:07 wifi-hotspot systemd[3984554]: Listening on GnuPG cryptographic agent and passphrase cache (access for web browsers).
Sep  2 03:55:07 wifi-hotspot systemd[3984554]: Listening on GnuPG cryptographic agent and passphrase cache (restricted).
Sep  2 03:55:07 wifi-hotspot systemd[3984554]: Listening on GnuPG cryptographic agent (ssh-agent emulation).
Sep  2 03:55:07 wifi-hotspot systemd[3984554]: Listening on GnuPG cryptographic agent and passphrase cache.
Sep  2 03:55:07 wifi-hotspot systemd[3984554]: Listening on D-Bus User Message Bus Socket.
Sep  2 03:55:07 wifi-hotspot systemd[3984554]: Reached target Sockets.
Sep  2 03:55:07 wifi-hotspot systemd[3984554]: Reached target Basic System.
Sep  2 03:55:07 wifi-hotspot systemd[3984554]: Reached target Main User Target.
Sep  2 03:55:07 wifi-hotspot systemd[3984554]: Startup finished in 32ms.
Sep  2 03:55:07 wifi-hotspot systemd[1]: Started User Manager for UID 0.
Sep  2 03:55:07 wifi-hotspot systemd[1]: Started Session 879905 of user root.
Sep  2 03:55:09 wifi-hotspot systemd[1]: session-879905.scope: Succeeded.
Sep  2 03:55:19 wifi-hotspot systemd[1]: Stopping User Manager for UID 0...
Sep  2 03:55:19 wifi-hotspot systemd[3984554]: Stopped target Main User Target.
Sep  2 03:55:19 wifi-hotspot systemd[3984554]: Stopped target Basic System.
Sep  2 03:55:19 wifi-hotspot systemd[3984554]: Stopped target Paths.
Sep  2 03:55:19 wifi-hotspot systemd[3984554]: Stopped target Sockets.
Sep  2 03:55:19 wifi-hotspot systemd[3984554]: Stopped target Timers.
Sep  2 03:55:19 wifi-hotspot systemd[3984554]: dbus.socket: Succeeded.
Sep  2 03:55:19 wifi-hotspot systemd[3984554]: Closed D-Bus User Message Bus Socket.
Sep  2 03:55:19 wifi-hotspot systemd[3984554]: dirmngr.socket: Succeeded.
Sep  2 03:55:19 wifi-hotspot systemd[3984554]: Closed GnuPG network certificate management daemon.
Sep  2 03:55:19 wifi-hotspot systemd[3984554]: gpg-agent-browser.socket: Succeeded.
Sep  2 03:55:19 wifi-hotspot systemd[3984554]: Closed GnuPG cryptographic agent and passphrase cache (access for web browsers).
Sep  2 03:55:19 wifi-hotspot systemd[3984554]: gpg-agent-extra.socket: Succeeded.
Sep  2 03:55:19 wifi-hotspot systemd[3984554]: Closed GnuPG cryptographic agent and passphrase cache (restricted).
Sep  2 03:55:19 wifi-hotspot systemd[3984554]: gpg-agent-ssh.socket: Succeeded.
Sep  2 03:55:19 wifi-hotspot systemd[3984554]: Closed GnuPG cryptographic agent (ssh-agent emulation).
Sep  2 03:55:19 wifi-hotspot systemd[3984554]: gpg-agent.socket: Succeeded.
Sep  2 03:55:19 wifi-hotspot systemd[3984554]: Closed GnuPG cryptographic agent and passphrase cache.
Sep  2 03:55:19 wifi-hotspot systemd[3984554]: Removed slice User Application Slice.
Sep  2 03:55:19 wifi-hotspot systemd[3984554]: Reached target Shutdown.
Sep  2 03:55:19 wifi-hotspot systemd[3984554]: systemd-exit.service: Succeeded.
Sep  2 03:55:19 wifi-hotspot systemd[3984554]: Finished Exit the Session.
Sep  2 03:55:19 wifi-hotspot systemd[3984554]: Reached target Exit the Session.
Sep  2 03:55:19 wifi-hotspot systemd[1]: user@0.service: Succeeded.
Sep  2 03:55:19 wifi-hotspot systemd[1]: Stopped User Manager for UID 0.
Sep  2 03:55:19 wifi-hotspot systemd[1]: Stopping User Runtime Directory /run/user/0...
Sep  2 03:55:19 wifi-hotspot systemd[1]: run-user-0.mount: Succeeded.
Sep  2 03:55:19 wifi-hotspot systemd[1]: user-runtime-dir@0.service: Succeeded.
Sep  2 03:55:19 wifi-hotspot systemd[1]: Stopped User Runtime Directory /run/user/0.
Sep  2 03:55:19 wifi-hotspot systemd[1]: Removed slice User Slice of UID 0.

тогда я решил проверить, когда вообще они происходят эти действия и грепнул сислог по шаблону "Created slice User Slice of UID 0". итог мне показался "обнадеживающим", т.к., указанная строка в нем присутствовала только до определенного момента:

результат грепа

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
Sep  1 22:55:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  1 23:00:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  1 23:05:06 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  1 23:10:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  1 23:15:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  1 23:20:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  1 23:25:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  1 23:30:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  1 23:35:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  1 23:40:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  1 23:45:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  1 23:50:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  1 23:55:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 00:00:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 00:05:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 00:10:06 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 00:15:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 00:20:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 00:25:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 00:30:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 00:35:06 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 00:40:09 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 00:45:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 00:50:06 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 00:55:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 01:00:09 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 01:05:09 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 01:10:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 01:15:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 01:20:06 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 01:25:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 01:30:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 01:35:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 01:40:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 01:45:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 01:50:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 01:55:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 02:00:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 02:05:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 02:10:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 02:15:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 02:20:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 02:25:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 02:30:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 02:35:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 02:40:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 02:45:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 02:50:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 02:55:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 03:00:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 03:05:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 03:10:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 03:15:06 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 03:20:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 03:25:03 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 03:30:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 03:35:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 03:40:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 03:45:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 03:50:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 03:55:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 04:00:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 04:05:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 04:10:06 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 04:15:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 04:20:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 04:25:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 04:30:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.
Sep  2 04:35:07 wifi-hotspot systemd[1]: Created slice User Slice of UID 0.

почему "обнадеживающим"? просто с одной стороны в сислоге нет подобных записей позднее 4:35 2-го сентября, а с другой - постоянный ребут моего сервера тоже начался именно утром 2-го сентября

осталось понять, что это за хрень, и куда она пропала...

@_sg2 · 03.09.2025, 16:05

Сообщение от Dmitry

я о таком ранее и не слышал. гугл выдал какой-то ман. если речь именно об этом, то я у себя на сервере такого не наблюдаю абсолютно.

Да, это. Стандартная и пользительная штука на серверах, но наверно на VPS провайдеры на нём экономят. Откровенно говоря в VPS я профан

В логах таймер мелькнул и я подумал - а мож что в сыстемдышных таймерах что нехорошее завелось?

Bash
1
systemctl list-timers --all --no-pager --full

Dmitry · 03.09.2025, 19:26 **[ТС]**

Сообщение от _sg2

мож что в сыстемдышных таймерах что нехорошее завелось?

ничего крамольного

Code
1
2
3
4
5
6
7
8
9
10
11
12
 systemctl list-timers --all --no-pager --full
NEXT                         LEFT        LAST                         PASSED       UNIT                         ACTIVATES
Wed 2025-09-03 17:39:00 EEST 14min left  Wed 2025-09-03 17:09:05 EEST 15min ago    phpsessionclean.timer        phpsessionclean.service
Thu 2025-09-04 00:00:00 EEST 6h left     Wed 2025-09-03 00:00:00 EEST 17h ago      logrotate.timer              logrotate.service
Thu 2025-09-04 00:00:00 EEST 6h left     Wed 2025-09-03 00:00:00 EEST 17h ago      man-db.timer                 man-db.service
Thu 2025-09-04 02:14:15 EEST 8h left     Tue 2025-09-02 15:21:06 EEST 1 day 2h ago certbot.timer                certbot.service
Thu 2025-09-04 03:16:13 EEST 9h left     Tue 2025-09-02 18:33:31 EEST 22h ago      apt-daily.timer              apt-daily.service
Thu 2025-09-04 06:43:02 EEST 13h left    Wed 2025-09-03 06:19:32 EEST 11h ago      apt-daily-upgrade.timer      apt-daily-upgrade.service
Thu 2025-09-04 17:16:27 EEST 23h left    Wed 2025-09-03 17:16:27 EEST 8min ago     systemd-tmpfiles-clean.timer systemd-tmpfiles-clean.service
Sun 2025-09-07 03:10:48 EEST 3 days left Sun 2025-08-31 03:10:44 EEST 3 days ago   e2scrub_all.timer            e2scrub_all.service
 
8 timers listed.

кстати, только решил, что нашел что-то, как случилось два события. во первых, в логе проскочила (правда, только один раз) та самая задача, из поста 5, но с другой стороны, после нее сервер так же успешно перезагрузился пару раз

так что, нужно начинать искать по новой

Dmitry · 08.09.2025, 15:23 **[ТС]**

Сообщение от _sg2

падает как выражается?

снял записи трех логов "вокруг" того времени, когда происходила перезагрузка.

1-й:

journal

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
сен 08 12:55:01 wifi-hotspot.zp.ua CRON[4381]: pam_unix(cron:session): session opened for user root(uid=0) by root(uid=0)
сен 08 12:55:01 wifi-hotspot.zp.ua CRON[4383]: pam_unix(cron:session): session opened for user root(uid=0) by root(uid=0)
сен 08 12:55:01 wifi-hotspot.zp.ua CRON[4387]: (root) CMD (/usr/bin/perl /usr/lib/cgi-bin/clear_stale.pl)
сен 08 12:55:01 wifi-hotspot.zp.ua CRON[4388]: (root) CMD (/etc/webmin/sysstats/sysstats.pl)
сен 08 12:55:01 wifi-hotspot.zp.ua CRON[4382]: pam_unix(cron:session): session opened for user dmitry(uid=1001) by dmitry(uid=0)
сен 08 12:55:01 wifi-hotspot.zp.ua CRON[4390]: (dmitry) CMD (/home/dmitry/get_mail)
сен 08 12:55:01 wifi-hotspot.zp.ua CRON[4381]: pam_unix(cron:session): session closed for user root
сен 08 12:55:02 wifi-hotspot.zp.ua CRON[4383]: pam_unix(cron:session): session closed for user root
сен 08 12:55:04 wifi-hotspot.zp.ua CRON[4382]: pam_unix(cron:session): session closed for user dmitry
сен 08 12:55:23 wifi-hotspot.zp.ua postfix/smtpd[2150]: connect from unknown[103.68.68.120]
сен 08 12:55:24 wifi-hotspot.zp.ua postfix/smtpd[2150]: disconnect from unknown[103.68.68.120] ehlo=1 auth=0/1 quit=1 commands=2/3
сен 08 12:55:27 wifi-hotspot.zp.ua postfix/smtpd[2150]: connect from cs42299.dogadoserver.de[5.44.104.244]
сен 08 12:55:30 wifi-hotspot.zp.ua postfix/smtpd[2150]: disconnect from cs42299.dogadoserver.de[5.44.104.244] ehlo=1 auth=0/1 quit=1 commands=2/3
сен 08 12:55:40 wifi-hotspot.zp.ua sshd-session[4423]: Received disconnect from 117.220.10.3 port 65011:11: Bye Bye [preauth]
сен 08 12:55:40 wifi-hotspot.zp.ua sshd-session[4423]: Disconnected from authenticating user root 117.220.10.3 port 65011 [preauth]
сен 08 12:55:50 wifi-hotspot.zp.ua postfix/smtpd[2150]: connect from unknown[103.68.68.120]
сен 08 12:55:51 wifi-hotspot.zp.ua postfix/smtpd[2150]: disconnect from unknown[103.68.68.120] ehlo=1 auth=0/1 quit=1 commands=2/3
-- Boot 4ae38e1afb3747ff9c02b1351acb9ad8 --
сен 08 12:57:26 wifi-hotspot.zp.ua kernel: Linux version 6.12.43+deb13-amd64 (debian-kernel@lists.debian.org) (x86_64-linux-gnu-gcc-14 (Debian 14.2.0-19) 14.2.0, GNU ld (GN>
сен 08 12:57:26 wifi-hotspot.zp.ua kernel: Command line: BOOT_IMAGE=/boot/vmlinuz-6.12.43+deb13-amd64 root=UUID=797bccce-3bbd-417b-83e4-1248c692c550 ro net.ifnames=0 pci=no>
сен 08 12:57:26 wifi-hotspot.zp.ua kernel: BIOS-provided physical RAM map:
сен 08 12:57:26 wifi-hotspot.zp.ua kernel: BIOS-e820: [mem 0x0000000000000000-0x000000000009fbff] usable
сен 08 12:57:26 wifi-hotspot.zp.ua kernel: BIOS-e820: [mem 0x000000000009fc00-0x000000000009ffff] reserved
сен 08 12:57:26 wifi-hotspot.zp.ua kernel: BIOS-e820: [mem 0x00000000000f0000-0x00000000000fffff] reserved
сен 08 12:57:26 wifi-hotspot.zp.ua kernel: BIOS-e820: [mem 0x0000000000100000-0x000000003ffdafff] usable
сен 08 12:57:26 wifi-hotspot.zp.ua kernel: BIOS-e820: [mem 0x000000003ffdb000-0x000000003fffffff] reserved
сен 08 12:57:26 wifi-hotspot.zp.ua kernel: BIOS-e820: [mem 0x00000000feffc000-0x00000000feffffff] reserved
сен 08 12:57:26 wifi-hotspot.zp.ua kernel: BIOS-e820: [mem 0x00000000fffc0000-0x00000000ffffffff] reserved
сен 08 12:57:26 wifi-hotspot.zp.ua kernel: NX (Execute Disable) protection: active
сен 08 12:57:26 wifi-hotspot.zp.ua kernel: APIC: Static calls initialized
сен 08 12:57:26 wifi-hotspot.zp.ua kernel: SMBIOS 2.8 present.
сен 08 12:57:26 wifi-hotspot.zp.ua kernel: DMI: Red Hat KVM, BIOS 1.15.0-2.module_el8.6.0+2880+7d9e3703 04/01/2014

в нем даже "отметка водораздела" имеется - строка -- Boot 4ae38e1afb3747ff9c02b1351acb9ad8 --. до нее - процесс "обычной" работы сервера, а после нее - начинается обычный лог новой загрузки линукса

2-й:

kernel.log

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
Sep  8 12:37:41 wifi-hotspot kernel: INPUT:DROP:ALL:IN=eth0 OUT= MAC=00:16:3c:d2:7a:ca:3c:94:d5:90:95:01:08:00 SRC=162.142.125.137 DST=85.209.17.47 LEN=60 TOS=0x08 PREC=0x40 TTL=55 ID=5785 PROTO=TCP SPT=17018 DPT=36220 WINDOW=42340 RES=0x00 SYN URGP=0 
Sep  8 12:38:11 wifi-hotspot kernel: INPUT:DROP:ALL:IN=eth0 OUT= MAC=00:16:3c:d2:7a:ca:3c:94:d5:90:95:01:08:00 SRC=162.142.125.81 DST=85.209.17.47 LEN=60 TOS=0x08 PREC=0x40 TTL=55 ID=57489 PROTO=TCP SPT=13816 DPT=40000 WINDOW=42340 RES=0x00 SYN URGP=0 
Sep  8 12:45:56 wifi-hotspot kernel: INPUT:DROP:ALL:IN=eth0 OUT= MAC=00:16:3c:d2:7a:ca:3c:94:d5:90:95:01:08:00 SRC=162.142.125.87 DST=85.209.17.47 LEN=45 TOS=0x08 PREC=0x40 TTL=41 ID=46887 PROTO=UDP SPT=23557 DPT=47808 LEN=25 
Sep  8 12:53:49 wifi-hotspot kernel: INPUT:DROP:ALL:IN=eth0 OUT= MAC=00:16:3c:d2:7a:ca:3c:94:d5:90:95:01:08:00 SRC=162.142.125.226 DST=85.209.17.47 LEN=60 TOS=0x08 PREC=0x40 TTL=55 ID=1826 PROTO=TCP SPT=5226 DPT=59054 WINDOW=42340 RES=0x00 SYN URGP=0 
Sep  8 12:57:31 wifi-hotspot kernel: Linux version 6.12.43+deb13-amd64 (debian-kernel@lists.debian.org) (x86_64-linux-gnu-gcc-14 (Debian 14.2.0-19) 14.2.0, GNU ld (GNU Binutils for Debian) 2.44) #1 SMP PREEMPT_DYNAMIC Debian 6.12.43-1 (2025-08-27)
Sep  8 12:57:31 wifi-hotspot kernel: Command line: BOOT_IMAGE=/boot/vmlinuz-6.12.43+deb13-amd64 root=UUID=797bccce-3bbd-417b-83e4-1248c692c550 ro net.ifnames=0 pci=nocrs quiet
Sep  8 12:57:31 wifi-hotspot kernel: BIOS-provided physical RAM map:
Sep  8 12:57:31 wifi-hotspot kernel: BIOS-e820: [mem 0x0000000000000000-0x000000000009fbff] usable
Sep  8 12:57:31 wifi-hotspot kernel: BIOS-e820: [mem 0x000000000009fc00-0x000000000009ffff] reserved
Sep  8 12:57:31 wifi-hotspot kernel: BIOS-e820: [mem 0x00000000000f0000-0x00000000000fffff] reserved
Sep  8 12:57:31 wifi-hotspot kernel: BIOS-e820: [mem 0x0000000000100000-0x000000003ffdafff] usable
Sep  8 12:57:31 wifi-hotspot kernel: BIOS-e820: [mem 0x000000003ffdb000-0x000000003fffffff] reserved
Sep  8 12:57:31 wifi-hotspot kernel: BIOS-e820: [mem 0x00000000feffc000-0x00000000feffffff] reserved
Sep  8 12:57:31 wifi-hotspot kernel: BIOS-e820: [mem 0x00000000fffc0000-0x00000000ffffffff] reserved
Sep  8 12:57:31 wifi-hotspot kernel: NX (Execute Disable) protection: active
Sep  8 12:57:31 wifi-hotspot kernel: APIC: Static calls initialized
Sep  8 12:57:31 wifi-hotspot kernel: SMBIOS 2.8 present.

в нем "водораздела" нет, просто записи лога "обычной" работы заканчиваются, после чего (в Sep 8 12:57:31) начинаются строки лога новой загрузки машины.

3-й:

syslog

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
Sep  8 12:54:26 wifi-hotspot postfix/smtpd[2150]: connect from unknown[103.68.68.120]
Sep  8 12:54:27 wifi-hotspot postfix/smtpd[2150]: disconnect from unknown[103.68.68.120] ehlo=1 auth=0/1 quit=1 commands=2/3
Sep  8 12:54:54 wifi-hotspot postfix/smtpd[2150]: connect from unknown[103.68.68.120]
Sep  8 12:54:55 wifi-hotspot postfix/smtpd[2150]: disconnect from unknown[103.68.68.120] ehlo=1 auth=0/1 quit=1 commands=2/3
Sep  8 12:55:01 wifi-hotspot CRON[4387]: (root) CMD (/usr/bin/perl /usr/lib/cgi-bin/clear_stale.pl)
Sep  8 12:55:01 wifi-hotspot CRON[4388]: (root) CMD (/etc/webmin/sysstats/sysstats.pl)
Sep  8 12:55:01 wifi-hotspot CRON[4390]: (dmitry) CMD (/home/dmitry/get_mail)
Sep  8 12:55:23 wifi-hotspot postfix/smtpd[2150]: connect from unknown[103.68.68.120]
Sep  8 12:55:24 wifi-hotspot postfix/smtpd[2150]: disconnect from unknown[103.68.68.120] ehlo=1 auth=0/1 quit=1 commands=2/3
Sep  8 12:55:27 wifi-hotspot postfix/smtpd[2150]: connect from cs42299.dogadoserver.de[5.44.104.244]
Sep  8 12:55:30 wifi-hotspot postfix/smtpd[2150]: disconnect from cs42299.dogadoserver.de[5.44.104.244] ehlo=1 auth=0/1 quit=1 commands=2/3
Sep  8 12:55:50 wifi-hotspot postfix/smtpd[2150]: connect from unknown[103.68.68.120]
Sep  8 12:55:51 wifi-hotspot postfix/smtpd[2150]: disconnect from unknown[103.68.68.120] ehlo=1 auth=0/1 quit=1 commands=2/3
Sep  8 12:56:01 wifi-hotspot CRON[4429]: (root) CMD (/etc/webmin/sysstats/sysstats.pl)
Sep  8 12:56:01 wifi-hotspot CRON[4430]: (root) CMD (/usr/bin/perl /usr/lib/cgi-bin/clear_stale.pl)
Sep  8 12:57:31 wifi-hotspot systemd[1]: Starting systemd-journal-flush.service - Flush Journal to Persistent Storage...
Sep  8 12:57:31 wifi-hotspot systemd[1]: Finished systemd-sysctl.service - Apply Kernel Variables.
Sep  8 12:57:31 wifi-hotspot systemd[1]: Finished systemd-udev-trigger.service - Coldplug All udev Devices.
Sep  8 12:57:31 wifi-hotspot systemd[1]: Starting ifupdown-pre.service - Helper to synchronize boot up for ifupdown...
Sep  8 12:57:31 wifi-hotspot systemd[1]: Finished keyboard-setup.service - Set the console keyboard layout.
Sep  8 12:57:31 wifi-hotspot systemd[1]: Finished systemd-random-seed.service - Load/Save OS Random Seed.
Sep  8 12:57:31 wifi-hotspot systemd[1]: Finished systemd-tmpfiles-setup-dev-early.service - Create Static Device Nodes in /dev gracefully.
Sep  8 12:57:31 wifi-hotspot systemd[1]: systemd-sysusers.service - Create System Users was skipped because no trigger condition checks were met.
Sep  8 12:57:31 wifi-hotspot systemd[1]: Starting systemd-timesyncd.service - Network Time Synchronization...
Sep  8 12:57:31 wifi-hotspot systemd[1]: Starting systemd-tmpfiles-setup-dev.service - Create Static Device Nodes in /dev...
Sep  8 12:57:31 wifi-hotspot systemd[1]: Finished systemd-tmpfiles-setup-dev.service - Create Static Device Nodes in /dev.

в нем тоже "водораздела" нет, первая строка новой загрузки - это 8 12:57:31 wifi-hotspot systemd.... кстати, в сислоге наблюдаются две записи о том, как крон в 12:56 выполняет две команды, а вот в журнал, приведенный выше, они почему-то не попали...

поиск причин продолжается, равно как и падение сервера каждый час в хх:56 и в хх:00. что делать - не знаю.

ставил rkhunter, chkrootkit, clamav, проверял сервер всеми этими сканерами - 0 (НОЛЬ!!!) чего-либо вредоносного.
останавливал ВСЕ службы (которые я туда ставил и запускаю - апач, пхп, радиус, почта, мускул, и т.д. и т.п., а также те, которые и не ставил, типа крона) - бесполезно, приходят все те же хх:56 и в хх:00, и сервер снова перезагружается
обновил веб-приложения, такие как phpbb (вордпрес сам обновляется автоматически) - тоже не помогло
обновил саму ось - сначала с 11-го на 12-й дебиан, а потом - с 12-го на 13-й. ничего не поменялось, сервер продолжает падать каждый час...

мысли кончились

Dmitry · 19.10.2025, 14:29 **[ТС]**

сервер падать перестал
в самом начале борьбы я делал запрос в техподдержку хостера vps-сервера. единственный ответ, который тогда получил на свой запрос - был текст с перечнем "стандартных рекомендаций" от их "робота", (видимо для крутизны подписанный, как "ответ, сгенеренный ИИ")
через месяц сервер падать перестал. видимо, их ТП таки исправила что-то в своем сервере

--------------------------

от всей моей "борьбы" мне "на память" осталась ежесуточная проверка системы программой chkrootkit.
меня смущает ее лог (это вариант, который "log.today.raw"):

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
WARNING: The following suspicious files and directories were found:
/usr/lib/ruby/vendor_ruby/rubygems/ssl_certs/.document [From Debian package: ruby-rubygems]
/usr/lib/ruby/vendor_ruby/rubygems/vendor/optparse/.document [From Debian package: ruby-rubygems]
/usr/lib/ruby/vendor_ruby/rubygems/vendor/net-http/.document [From Debian package: ruby-rubygems]
/usr/lib/ruby/vendor_ruby/rubygems/vendor/securerandom/.document [From Debian package: ruby-rubygems]
/usr/lib/ruby/vendor_ruby/rubygems/vendor/uri/.document [From Debian package: ruby-rubygems]
/usr/lib/ruby/vendor_ruby/rubygems/vendor/molinillo/.document [From Debian package: ruby-rubygems]
/usr/lib/ruby/vendor_ruby/rubygems/vendor/timeout/.document [From Debian package: ruby-rubygems]
/usr/lib/ruby/vendor_ruby/rubygems/vendor/net-protocol/.document [From Debian package: ruby-rubygems]
/usr/lib/ruby/vendor_ruby/rubygems/vendor/resolv/.document [From Debian package: ruby-rubygems]
/usr/lib/ruby/vendor_ruby/rubygems/vendor/tsort/.document [From Debian package: ruby-rubygems]
/usr/lib/ruby/gems/3.1.0/gems/typeprof-0.21.2/vscode/.vscodeignore [From Debian package: libruby3.1:amd64]
/usr/lib/ruby/gems/3.1.0/gems/typeprof-0.21.2/vscode/.vscode [From Debian package: libruby3.1:amd64]
/usr/lib/ruby/gems/3.1.0/gems/typeprof-0.21.2/vscode/.gitignore [From Debian package: libruby3.1:amd64]
/usr/lib/cgi-bin/.htaccess [Not from a Debian package]
 
WARNING: output from chkwtmp:
1 deletion(s) between Sun Sep 28 20:57:55 2025 and Sun Sep 28 21:01:52 2025
 
WARNING: Possible Slapper Worm installed:

не пойму, почему ему не нравятся "скрытые" файлы от разработчиков (речь про те, которые из пакетов ruby-rubygems и libruby3.1:amd64, я проверил их программой debsums - все красиво, содержимое совпадает с исходным). но то ладно, я эти файлы добавил в список /etc/chkrootkit/chkrootkit.ignore.

но вот последующие варнинги мне абсолютно не понятны, особенно второй - ПОСЛЕ ДВОЕТОЧИЯ ТАМ ПУСТО, И ЭТО КОНЕЦ ФАЙЛА ЛОГА (то есть, где этот червь Slapper искать - информация отсутствует напрочь).

да и про "удаления" - тоже не ясно: что это, где это, как исправлять - хз

может кто-то сталкивался с подобным и подскажет решение?

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Реализация движения на Box2D v3 - трение и коллизии с повёрнутыми стенами 8Observer8 20.02.2026 Содержание блога Box2D позволяет легко создать главного героя, который не проходит сквозь стены и перемещается с заданным трением о препятствия, которые можно располагать под углом, как верхнее. . .	Конвертировать закладки radiotray-ng в m3u-плейлист damix 19.02.2026 Это можно сделать скриптом для PowerShell. Использование . \СonvertRadiotrayToM3U. ps1 <path_to_bookmarks. json> Рядом с файлом bookmarks. json появится файл bookmarks. m3u с результатом. # Check if. . .	Семь CDC на одном интерфейсе: 5 U[S]ARTов, 1 CAN и 1 SSI Eddy_Em 18.02.2026 Постепенно допиливаю свою "многоинтерфейсную плату". Выглядит вот так: https:/ / www. cyberforum. ru/ blog_attachment. php?attachmentid=11617&stc=1&d=1771445347 Основана на STM32F303RBT6. На борту пять. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .
И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»	SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .

Dmitry 13440 / 7534 / 830 Регистрация: 09.09.2009 Сообщений: 29,554

	Падает сервер Debian 11 03.09.2025, 12:53. Показов 972. Ответов 8 Метки нет (Все метки) Происходит это регулярно, в одно и то же время, 2 раза в час. (в кроне у меня есть задача, которая показывает время, когда была завершена загрузка системы, вот она показывает что это (окончание загрузки) происходит в хх.57 минут и в хх.01 минуту). сервер - удаленный vpn. подключался к нему по ssh и запускал htop - обновление данных прекращается в 56 минут (в 00 - не проверял). При этом надеялся, вдруг увижу что-то вылетающее как задание, после чего система (видимо) падает - нет вообще ничего, обычные процессы, которые там крутятся постоянно, а потом - бац, и обновление просто прекращается в кроне искал хоть что-то про 56 минут - нет там ни одной такой записи поставил и clamav, и rkhunter, и chkrootkit, выполнил всеми ими поиск какой-то гадости - тишина полная, ничего не найдено. из того, что крутится на (веб) сервере есть - вордпресс, phpbb форум и мой самописанный сайт (в котором точно нет никаких "кроновских" задач, выполняемых по времени). может знает кто, нет ли в первых двух (вордпресс и phpbb форум) каких-то задач, выполняемых каждый час в 56 минут? может какие-то другие варианты кто знает? потому как на мой взгляд, "беда случается" именно по расписанию... 0

@_sg2 1135 / 391 / 86 Регистрация: 30.08.2017 Сообщений: 2,418
	03.09.2025, 13:29
	Сомневаюсь что поможет, но я бы порылся в логах sar. Ну и самое главное - падает как выражается? 0