บรรจวบ เข้าสู่ระบบ
Score:0
avatar Server

กิจกรรม USB ที่น่าสงสัยบนเซิร์ฟเวอร์

ธง de
jlecour

ฉันทำงานในทีมดูแลระบบ เราจัดการเซิร์ฟเวอร์หลายเครื่อง ทั้งหมดกำลังเรียกใช้ Debian (รุ่นต่างๆ) พวกเขาอยู่ในตู้ล็อคในศูนย์ข้อมูล

เมื่อเร็ว ๆ นี้ ฉันได้เพิ่มการตรวจสอบล็อกในเซิร์ฟเวอร์ของเรา และเริ่มปรับรายการรูปแบบที่ไม่รวมให้มีเฉพาะกิจกรรมที่เกี่ยวข้องในกล่องจดหมายของฉัน

เมื่อวันก่อน ฉันได้รับบรรทัดบันทึกประเภทนี้จากเซิร์ฟเวอร์สองสามเครื่อง :

19 ตุลาคม 17:22:55 เคอร์เนลชื่อโฮสต์: [22489246.934130] usb 1-3: การตัดการเชื่อมต่อ USB, หมายเลขอุปกรณ์ 2
19 ตุลาคม 17:23:10 เคอร์เนลชื่อโฮสต์: [22489261.782146] usb 1-3: อุปกรณ์ USB ความเร็วสูงใหม่หมายเลข 3 โดยใช้ xhci_hcd
19 ตุลาคม 17:23:10 เคอร์เนลชื่อโฮสต์: [22489261.930822] usb 1-3: พบอุปกรณ์ USB ใหม่ idVendor=413c, idProduct=a001, bcdDevice= 0.00
19 ต.ค. 17:23:10 เคอร์เนลชื่อโฮสต์: [22489261.931839] usb 1-3: สตริงอุปกรณ์ USB ใหม่: Mfr=1, Product=2, SerialNumber=3
19 ตุลาคม 17:23:10 เคอร์เนลชื่อโฮสต์: [22489261.932839] usb 1-3: สินค้า: Gadget USB HUB
19 ตุลาคม 17:23:10 เคอร์เนลชื่อโฮสต์: [22489261.933818] usb 1-3: ผู้ผลิต: ไม่มีผู้ผลิต
19 ตุลาคม 17:23:10 เคอร์เนลชื่อโฮสต์: [22489261.934791] usb 1-3: SerialNumber: 0123456789
19 ตุลาคม 17:23:10 เคอร์เนลชื่อโฮสต์: [22489261.936236] ฮับ 1-3:1.0: พบฮับ USB
19 ตุลาคม 17:23:10 เคอร์เนลชื่อโฮสต์: [22489261.937270] ฮับ 1-3:1.0: ตรวจพบ 6 พอร์ต
19 ตุลาคม 17:23:40 เคอร์เนลชื่อโฮสต์: [22489292.138234] usb 1-3.1: อุปกรณ์ USB ความเร็วสูงใหม่หมายเลข 4 โดยใช้ xhci_hcd
19 ต.ค. 17:23:40 เคอร์เนลชื่อโฮสต์: [22489292.282886] usb 1-3.1: พบอุปกรณ์ USB ใหม่ idVendor=0624, idProduct=0249, bcdDevice= 0.00
19 ต.ค. 17:23:40 เคอร์เนลชื่อโฮสต์: [22489292.283682] usb 1-3.1: สตริงอุปกรณ์ USB ใหม่: Mfr=4, Product=5, SerialNumber=6
19 ต.ค. 17:23:40 เคอร์เนลชื่อโฮสต์: [22489292.284475] usb 1-3.1: สินค้า: ฟังก์ชั่นคีย์บอร์ด / เมาส์
19 ตุลาคม 17:23:40 เคอร์เนลชื่อโฮสต์: [22489292.285256] usb 1-3.1: ผู้ผลิต: Avocent
19 ตุลาคม 17:23:40 เคอร์เนลชื่อโฮสต์: [22489292.286093] usb 1-3.1: SerialNumber: 20121018
19 ต.ค. 17:23:40 เคอร์เนลชื่อโฮสต์: [22489292.605240] hidraw: raw ไดรเวอร์เหตุการณ์ HID (C) Jiri Kosina
19 ตุลาคม 17:23:40 เคอร์เนลชื่อโฮสต์: [22489292.632594] usbhid: ไดรเวอร์หลัก USB HID
19 ต.ค. 17:23:40 เคอร์เนลชื่อโฮสต์: [22489292.699438] อินพุต: ฟังก์ชัน Avocent Keyboard/Mouse เป็น /devices/pci0000:00/0000:00:14.0/usb1/1-3/1-3.1/1-3.1:1.0/ 0003:0624:0249.0001/input/input3
19 ต.ค. 17:23:40 เคอร์เนลชื่อโฮสต์: [22489292.758415] hid-generic 0003:0624:0249.0001: input,hidraw0: USB HID v1.00 Keyboard [Avocent Keyboard/Mouse Function] on usb-0000:00:14.0-3.1/ อินพุต0
19 ต.ค. 17:23:40 เคอร์เนลชื่อโฮสต์: [22489292.760141] อินพุต: ฟังก์ชัน Avocent Keyboard/Mouse เป็น /devices/pci0000:00/0000:00:14.0/usb1/1-3/1-3.1/1-3.1:1.1/ 0003:0624:0249.0002/input/input4
19 ต.ค. 17:23:40 เคอร์เนลชื่อโฮสต์: [22489292.761879] hid-generic 0003:0624:0249.0002: input,hidraw1: USB HID v1.00 Mouse [Avocent Keyboard/Mouse Function] บน usb-0000:00:14.0-3.1/ อินพุต1
19 ต.ค. 17:23:40 เคอร์เนลชื่อโฮสต์: [22489292.763970] อินพุต: ฟังก์ชัน Avocent Keyboard/Mouse เป็น /devices/pci0000:00/0000:00:14.0/usb1/1-3/1-3.1/1-3.1:1.2/ 0003:0624:0249.0003/input/input5
19 ต.ค. 17:23:40 เคอร์เนลชื่อโฮสต์: [22489292.765991] hid-generic 0003:0624:0249.0003: input,hidraw2: USB HID v1.00 Mouse [Avocent Keyboard/Mouse Function] on usb-0000:00:14.0-3.1/ อินพุต2
19 ต.ค. 17:23:41 ชื่อโฮสต์ systemd-logind[505]: การดูปุ่มระบบบน /dev/input/event3 (ฟังก์ชัน Avocent Keyboard/Mouse)
19 ตุลาคม 17:23:41 เคอร์เนลชื่อโฮสต์: [22489292.910229] usb 1-3.3: อุปกรณ์ USB ความเร็วสูงใหม่หมายเลข 5 โดยใช้ xhci_hcd
19 ต.ค. 17:23:41 เคอร์เนลชื่อโฮสต์: [22489293.052536] usb 1-3.3: พบอุปกรณ์ USB ใหม่ idVendor=413c, idProduct=a102, bcdDevice= 3.29
19 ต.ค. 17:23:41 เคอร์เนลชื่อโฮสต์: [22489293.053347] usb 1-3.3: สตริงอุปกรณ์ USB ใหม่: Mfr=1, Product=2, SerialNumber=0
19 ต.ค. 17:23:41 เคอร์เนลชื่อโฮสต์: [22489293.054137] usb 1-3.3: สินค้า: iDRAC Virtual NIC อุปกรณ์ USB
19 ตุลาคม 17:23:41 เคอร์เนลชื่อโฮสต์: [22489293.054919] usb 1-3.3: ผู้ผลิต: Dell(TM)
19 ต.ค. 17:23:41 ชื่อโฮสต์ systemd-udevd[13345]: การใช้รูปแบบการตั้งชื่ออินเทอร์เฟซเริ่มต้น 'v240'
19 ตุลาคม 17:23:41 เคอร์เนลชื่อโฮสต์: [22489293.162373] cdc_ether 1-3.3:1.0 usb0: ลงทะเบียน 'cdc_ether' ที่ usb-0000:00:14.0-3.3, อุปกรณ์ CDC Ethernet, be:11:91:5e:b3: ข1
19 ต.ค. 17:23:41 ชื่อโฮสต์ systemd-udevd[13345]: link_config: autonegotiation ไม่ได้ตั้งค่าหรือเปิดใช้งาน ไม่สามารถเขียนความเร็วและดูเพล็กซ์ได้
19 ตุลาคม 17:23:41 เคอร์เนลชื่อโฮสต์: [22489293.295645] cdc_ether 1-3.3:1.0 idrac: เปลี่ยนชื่อจาก usb0
19 ต.ค. 17:23:42 ชื่อโฮสต์ systemd-udevd[13348]: การใช้รูปแบบการตั้งชื่ออินเทอร์เฟซเริ่มต้น 'v240'
19 ตุลาคม 17:23:44 เคอร์เนลชื่อโฮสต์: [22489296.471088] usb 1-3.3: การตัดการเชื่อมต่อ USB หมายเลขอุปกรณ์ 5
19 ตุลาคม 17:23:44 เคอร์เนลชื่อโฮสต์: [22489296.471826] cdc_ether 1-3.3:1.0 idrac: unregister 'cdc_ether' usb-0000:00:14.0-3.3, อุปกรณ์ CDC Ethernet
19 ต.ค. 17:24:01 เคอร์เนลชื่อโฮสต์: [22489313.623135] usb 1-3.1: การตัดการเชื่อมต่อ USB หมายเลขอุปกรณ์ 4
19 ต.ค. 17:24:01 ชื่อโฮสต์ acpid: อุปกรณ์อินพุตถูกตัดการเชื่อมต่อ, fd 8

ฉันค้นหา "Avocent" และพบอุปกรณ์คีย์บอร์ด/วิดีโอ/เมาส์บางตัว

นี่คือผลลัพธ์ของ lspci บนเซิร์ฟเวอร์:

00:00.0 โฮสต์บริดจ์: Intel Corporation Skylake โฮสต์บริดจ์/DRAM Registers (rev 07)
00:01.0 บริดจ์ PCI: Intel Corporation Skylake PCIe Controller (x16) (rev 07)
00:01.1 บริดจ์ PCI: Intel Corporation Skylake PCIe Controller (x8) (rev 07)
00:01.2 บริดจ์ PCI: Intel Corporation Skylake PCIe Controller (x4) (rev 07)
00:14.0 คอนโทรลเลอร์ USB: Intel Corporation Sunrise Point-H USB 3.0 xHCI Controller (rev 31)
00:14.2 ตัวควบคุมการประมวลผลสัญญาณ: Intel Corporation Sunrise Point-H ระบบย่อยความร้อน (rev 31)
00:16.0 ตัวควบคุมการสื่อสาร: Intel Corporation Sunrise Point-H CSME HECI #1 (rev 31)
00:16.1 ตัวควบคุมการสื่อสาร: Intel Corporation Sunrise Point-H CSME HECI #2 (rev 31)
00:17.0 คอนโทรลเลอร์ SATA: Intel Corporation Sunrise Point-H คอนโทรลเลอร์ SATA [โหมด AHCI] (rev 31)
00:1d.0 บริดจ์ PCI: Intel Corporation Sunrise Point-H PCI Express Root Port #9 (rev f1)
00:1d.2 บริดจ์ PCI: Intel Corporation Sunrise Point-H PCI Express Root Port #11 (rev f1)
00:1f.0 สะพาน ISA: Intel Corporation Sunrise Point-H LPC Controller (rev 31)
00:1f.2 ตัวควบคุมหน่วยความจำ: Intel Corporation Sunrise Point-H PMC (rev 31)
00:1f.4 SMBus: Intel Corporation Sunrise Point-H SMBus (rev 31)
03:00.0 ตัวควบคุมบัส RAID: LSI Logic / Symbios Logic MegaRAID SAS-3 3108 [Invader] (rev 02)
04:00.0 ตัวควบคุมอีเทอร์เน็ต: Broadcom Limited NetXtreme BCM5720 Gigabit Ethernet PCIe
04:00.1 ตัวควบคุมอีเทอร์เน็ต: Broadcom Limited NetXtreme BCM5720 Gigabit Ethernet PCIe
05:00.0 บริดจ์ PCI: Renesas Technology Corp. SH7758 PCIe Switch [PS]
06:00.0 บริดจ์ PCI: Renesas Technology Corp. SH7758 PCIe Switch [PS]
07:00.0 บริดจ์ PCI: Renesas Technology Corp. SH7758 PCIe-PCI Bridge [PPB]
08:00.0 คอนโทรลเลอร์ที่เข้ากันได้กับ VGA: Matrox Electronics Systems Ltd. G200eR2 (rev 01)

และ แย่แล้ว :

อุปกรณ์บัส 002 001: ID 1d6b:0003 รูตฮับ Linux Foundation 3.0
บัส 001 อุปกรณ์ 003: ID 413c:a001 Dell Computer Corp. Hub
อุปกรณ์บัส 001 001: ID 1d6b:0002 รูทฮับ Linux Foundation 2.0

ไม่น่าเป็นไปได้อย่างยิ่งที่จะมีใครสามารถเสียบอุปกรณ์บางอย่างเข้ากับเซิร์ฟเวอร์ได้ แต่ก็ยังเป็นไปได้ ฉันถามที่นี่เพราะฉันอาจตอบสนองมากเกินไปหากนี่เป็นเหตุการณ์เบนไนน์บนเซิร์ฟเวอร์

มีความคิดว่าเรื่องนี้เกี่ยวกับอะไร?

ขอบคุณ

120
0 + 0
djdomi avatar
za flag
djdomi
ตรวจสอบบันทึกประตูของคุณในกรณีที่คุณมีล็อคประตูไฟฟ้า ;)
0
ตอบกลับ
in flag
Robert
ตรวจสอบบันทึก iDRAC สมมติว่า iDRAC ใช้ USB เพื่อควบคุมเซิร์ฟเวอร์ อาจเป็นไปได้ว่า iDRAC รีบูต (หรือขัดข้อง?) และระบบของคุณพบอุปกรณ์ USB อีกครั้ง
0
ตอบกลับ
de flag
jlecour
เราไม่แน่ใจ 100% ว่าไม่มีใครอยู่ในตู้ iDRAC อาจเป็นสาเหตุที่เป็นไปได้มากที่สุด
0
ตอบกลับ
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา