云服务器系统盘满了,但是其他正常,是否可能是被攻击了
目录
- 问题背景
- 分析
- 排查解决
问题背景
今天登录我的云服务器看了眼,发现系统盘满了,但是其他正常
分析
1、首先要确认是否是被攻击:
- top / htop (安装:yum install htop 或 apt install htop):
- 查看实时运行的进程,按 M 按内存排序,按 P 按CPU排序。留意消耗极高的、名称奇怪的进程,比如 minerd、xmr 等挖矿程序。注:ydservice是腾讯的进程(我是腾讯的云服务器)
- netstat -tunlp 或ss -tunlp查看所有监听端口和建立连接的进程
- 主要查看有没有不熟悉的端口
- iftop (安装:yum install iftop 或 apt install iftop)
查看实时网络流量,观察是否有异常的大量入站/出站流量。
- 检查异常用户和登录记录
- last / lastb:查看成功登录和失败登录的记录。注意从未知IP地址或非常用时间的登录,尤其是root用户。
cat /var/log/auth.log (Debian/Ubuntu) 或 /var/log/secure (CentOS/RHEL):详细认证日志,仔细查看可疑登录尝试。
cat /etc/passwd:查看系统用户列表,注意是否有新增的陌生用户。
sudo -l:列出当前用户能执行的sudo命令。
我在执行last命令后出现2个异常且频繁登录的ip,于是我:
step1:
# 1. 立即封禁可疑IP sudo iptables -A INPUT -s 119.36.x.x -j DROP sudo iptables -A INPUT -s 59.172.x.x -j DROP# 2. 踢出所有活跃会话 sudo pkill -9 -t pts/3 sudo pkill -9 -t pts/4# 3. 禁用密码登录(强制密钥认证) sudo sed -i 's/^#PasswordAuthentication yes/PasswordAuthentication no/' /etc/ssh/sshd_config sudo systemctl restart sshdstep 2:
# 1. 检查恶意授权密钥 grep -R "119.36.xx.xx" /root/.ssh/ /home/*/.ssh/# 2. 查找隐藏后门文件 find / -name authorized_keys -mtime -365 | xargs grep -L "your-public-key"# 3. 检查sudoers篡改 sudo grep -r "NOPASSWD" /etc/sudoers.d/step3:账号安全加固:
# 1. 重置root密码(即使使用密钥) sudo passwd root# 2. 创建新管理员账号 sudo useradd -m -s /bin/bash admin sudo passwd admin sudo usermod -aG sudo admin# 3. 禁用root远程登录 sudo sed -i 's/^PermitRootLogin yes/PermitRootLogin no/' /etc/ssh/sshd_config排查解决
待更新……