Zabbix远程命令执行失败

前言

问题 : 手机上收到tomcat server【80】 down信息,服务down掉,往往都是有重启操作。重启失败才会报警。如果重启操作执行了,我们就需要查看为何不能启动?

 Trigger: Tomcat service【80】is down
 Trigger status: PROBLEM
 Trigger severity: Disaster
 Trigger URL:

 Item values:

 1. Tomcat status (192.168.96.200:net.tcp.listen[80]): 0
 2. *UNKNOWN* (*UNKNOWN*:*UNKNOWN*): *UNKNOWN*
 3. *UNKNOWN* (*UNKNOWN*:*UNKNOWN*): *UNKNOWN*

 Original event

主机说明

192.168.96.113: zabbix server
192.168.96.115: zabbix proxy 用于监控主机
192.168.96.200: 被监控的主机

1. 先查看重启动作是否执行。

服务down掉,往往都是有重启操作。重启失败才会报警。如果重启操作执行了,我们就需要查看为何不能启动?首先确保重启操作是否实行成功。登录zabbix web端查看动作的执行,【报表】--> 【动作日志】如下图:

如图,可以看到此命令执行失败,并且提示可能是访问拒绝。我们需要进一步确认出错是否为访问问题。

2. 查看执行命令主机日志

登录192.168.96.200,并查看其zabbix agent端日志。

[[email protected] ~]# tail -5 /var/log/zabbix/zabbix_agentd.log

  2325:20170906:192653.587 active check configuration update from [192.168.96.115:10051] started to fail (cannot connect to [[192.168.96.115]:10051]: [4] Interrupted system call)
  2325:20170906:192753.599 active check configuration update from [192.168.96.115:10051] is working again
  2322:20170906:192754.512 failed to accept an incoming connection: connection from "192.168.96.113" rejected, allowed hosts: "192.168.96.115"
  2324:20170906:155824.924 failed to accept an incoming connection: connection from "192.168.96.113" rejected, allowed hosts: "192.168.96.115"
  2323:20170906:160824.587 failed to accept an incoming connection: connection from "192.168.96.113" rejected, allowed hosts: "192.168.96.115"

从日志中我们可以知道,zabbix server 192.168.96.113 试图与 192.168.96.200建立连接,192.168.96.200拒绝连接,因为他只能允许192.168.96.115。

3. 解决问题

192.168.96.113用代理服务器192.168.96.115采集数据,而远程命令是无法交由proxy执行(zabbix server 和zabbix proxy 支持的文件看附录一)。

grep ^[A-Z] /etc/zabbix/zabbix_agentd.conf

PidFile=/var/run/zabbix/zabbix_agentd.pid
LogFile=/var/log/zabbix/zabbix_agentd.log
LogFileSize=0
EnableRemoteCommands=1
LogRemoteCommands=1
Server=192.168.96.115
ServerActive=192.168.96.115
Hostname=192.168.96.200
Include=/etc/zabbix/zabbix_agentd.d/

可以看到server仅为192.168.96.115,故192.168.96.113无法执行远程命令。我们需要将server=10.60.96.115修改为server=10.60.96.113,10.60.96.115

注意 : zabbix agent 配置文件修改需要重启服务,

centos 6上: ~]# service zabbix-agent start

centos 7 上:~]# systemctl start zabbix-agent

编译安装:请找到安装目录下的sbin目录,并运行zabbix_agentd命令。

附录一:

Function Supported by proxy
Zabbix agent checks Yes
Zabbix agent checks (active) Yes
Simple checks Yes
Trapper items Yes
SNMP checks Yes
SNMP traps Yes
IPMI checks Yes
JMX checks Yes
Log file monitoring Yes
Internal checks Yes
SSH checks Yes
Telnet checks Yes
External checks Yes
Built-in web monitoring Yes
Network discovery Yes
Low-level discovery Yes
Calculating triggers No
Processing events No
Sending alerts No
Remote commands * No

原文地址:http://blog.51cto.com/13589448/2068034

时间: 2024-12-15 09:03:32

Zabbix远程命令执行失败的相关文章

实现zabbix远程命令执行

1.安装依赖包 yum install -y openldap openldap-devel libssh2-devel 2.安装libikseml wget http://iksemel.googlecode.com/files/iksemel-1.4.tar.gz tar -zxvf iksemel-1.4.tar.gz cd iksemel-1.4 ./configure make make install cd /usr/local/lib cp libiksemel.so* /usr/

zabbix远程命令(remote command)配置

1.zabbix远程命令(remote command): 1.1 功能: 重启服务: 通过IPMI接口重启服务器: 任何自定义脚本可以完成的功能:清理磁盘空间,虚拟机实例迁移等等: 1.2 相关属性: Tatget list:远程命令执行的目标主机,可以实当前主机.其他主机或主机组 Type:命令类型 IPMI:IPMI命令: Custom script:自定义脚本,可以选择其是在zabbix server上还是zabbix agent上执行: SSH:通过ssh执行命令,需要提供目标主机上的

struts2远程命令执行漏洞S2-045

Apache Struts 2被曝存在远程命令执行漏洞,漏洞编号S2-045,CVE编号CVE-2017-5638,在使用基于Jakarta插件的文件上传功能时,有可能存在远程命令执行,导致系统被黑客入侵,漏洞评级为:高危. 漏洞详情:恶意用户可在上传文件时通过修改HTTP请求头中的Content-Type值来触发该漏洞,进而执行系统命令. 风险等级:高风险. 漏洞风险:黑客通过利用漏洞可以实现远程命令执行. 影响版本:Struts 2.3.5 - Struts 2.3.31, Struts 2

"Java 反序列化"过程远程命令执行漏洞

一.漏洞描述 国 外 FoxGlove 安全研究团队于2015年11月06日在其博客上公开了一篇关于常见 Java 应用如何利用反序列化操作进行远程命令执行的文章.原博文所提到的 Java 应用都使用了 Apache Commons Collections 这个库,并且都存在一个序列化对象数据交互接口能够被访问到.针对每个应用,博文都提供了相应的分析和验证代码来说明 Java 应用存在远程命令执行的普遍性. 二.漏洞危害 机器上一旦有使用上述应用,即处于“裸奔”状态,黑客可随时利用此漏洞执行任意

回顾HFS 2.3x 远程命令执行,抓鸡黑客的“末日”(CVE2014-6287)

去年HFS 2.3x 远程命令执行让很多人遭殃了,尤其是一部分黑客,因为很多批量养鸡的黑客都爱用它,于是乎,辛辛苦苦抓的肉鸡就与人分享了.我们分析漏洞得知由于正则表达式的问题,导致了远程代码的执行. 下面我们来本地测试一下这个漏洞的威力,为什么过了大半年还提它?因为今天随便搜了一下,用这个版本的国内还有很多,涉及到部分"抓鸡黑客"(现在还在用这个版本的估计是小菜),学校等.有趣的是,用hfs的服务器一般都开启了3389,罪恶啊.如下图. google上可以搜到更多的主机. 随便测试几个

【漏洞复现】ThinkPHP5 5.x 远程命令执行(getshell)

0x00复现环境 ThinkPHP 5.x (v5.0.23及v5.1.31以下版本) 远程命令执行漏洞利用(GetShell) 0x01步骤 点击start to hack 进入环境页面 run the project 然后访问给出的target address1.执行系统命令显示目录下文件 http://aaa.vsplate.me:52763/public/index.php?s=/index/\think\app/invokefunction&function=call_user_fun

WebLogic远程命令执行

靶机说明 目标ip:172.16.53.28(window 2003) 本靶机所针对的序列化漏洞系列以及常见安全问题如下: 弱口令登陆控制台部署war包webshell CVE-2018-2893 CVE-2018-2628 CVE-2017-10271 CVE-2017-3248 CVE-2016-3510 CVE-2015-4852 weblogic ssrf 远程登陆靶机开启weblogic服务,以及方便后续观察远程命令执行的效果 靶机登陆账号/密码:Administrator/secqu

【知道创宇404实验室】Oracle WebLogic远程命令执行漏洞预警

2019年04月17日,国家信息安全漏洞共享平台(CNVD)官方发布安全公告 http://www.cnvd.org.cn/webinfo/show/4989 称Oracle WebLogic wls9-async组件存在反序列化远程命令执行漏洞,***者可利用该漏洞,可在未授权的情况下远程执行命令.随后知道创宇404实验室启动应急流程,通过分析后复现了该漏洞并确定该漏洞影响启用了wls9_async_response.war及wls-wsat.war组件的所有Weblogic版本(包括最新版本

Apache SSI 远程命令执行漏洞

漏洞原理:在测试任意文件上传漏洞的时候,目标服务端可能不允许上传php后缀的文件.如果目标服务器开启了SSI与CGI支持,我们可以上传一个shtml文件,并利用<!--#exec cmd="id" -->语法执行任意命令. 漏洞复现:shtml包含有嵌入式服务器方包含命令的文本,在被传送给浏览器之前,服务器会对SHTML文档进行完全地读取.分析以及修改.正常上传PHP文件是不允许的,我们可以上传一个shell.shtml文件: <!--#exec cmd="