一次linux服務器被***

時間 2020-05-31

標籤一次 linux 服務器欄目 Linux 简体版

原文原文鏈接

一次服務器被***

今天早上一來就收到nagios一堆報警郵件,並且都是critical,某臺機器的磁盤空間不足,細細查看發現

早4點-12點(服務器在美國,因此是美國時間),72G的根分區使用率由40%忽然增長到100%.到滿了之後就中止了.

首先將nagios對這個服務的郵件提醒暫時停掉,而後登錄到服務器查看.

這麼快這麼大數據量的增加,懷疑是產生了很巨大的文件.先是按大小查大於1g的文件

find / -size +1000000000c

查出來就一個文件,上次修改依舊是好久之前了,大小也就2G而已,顯然不對

繼續查找一天以內被修改的文件 find / -mtime -1 >log (因爲查找結果實在太多,因此將輸出重定向到log文件裏面)

將這個log下載下來查看,下面的內容引發了個人注意

/home/xxx/.ssh/.io

/home/xxx/.ssh/.io/Hostel.Part.II.2007.NTSC.DVDR-CuriousJotos

/home/xxx/.ssh/.io/Hostel.Part.II.2007.NTSC.DVDR-CuriousJotos/cj-hostel2-dvdr.sfv

/home/xxx/.ssh/.io/Hostel.Part.II.2007.NTSC.DVDR-CuriousJotos/cj-hostel2-dvdr.nfo

/home/xxx/.ssh/.io/Hostel.Part.II.2007.NTSC.DVDR-CuriousJotos/Sample

/home/xxx/.ssh/.io/Hostel.Part.II.2007.NTSC.DVDR-CuriousJotos/Sample/cj-hostel2-dvdr-sample.vob

/home/xxx/.ssh/.io/Hostel.Part.II.2007.NTSC.DVDR-CuriousJotos/cj-hostel2-dvdr.r46

/home/xxx/.ssh/.io/Hostel.Part.II.2007.NTSC.DVDR-CuriousJotos/cj-hostel2-dvdr.r91

/home/xxx/.ssh/.io/Hostel.Part.II.2007.NTSC.DVDR-CuriousJotos/cj-hostel2-dvdr.r59

/home/xxx/.ssh/.io/Hostel.Part.II.2007.NTSC.DVDR-CuriousJotos/cj-hostel2-dvdr.r43

/home/xxx/.ssh/.io/Hostel.Part.II.2007.NTSC.DVDR-CuriousJotos/cj-hostel2-dvdr.r28

/home/xxx/.ssh/.io/Hostel.Part.II.2007.NTSC.DVDR-CuriousJotos/cj-hostel2-dvdr.rar

/home/xxx/.ssh/.io/Hostel.Part.II.2007.NTSC.DVDR-CuriousJotos/cj-hostel2-dvdr.r90

/home/xxx/.ssh/.io/Hostel.Part.II.2007.NTSC.DVDR-CuriousJotos/cj-hostel2-dvdr.r03

/home/xxx/.ssh/.io/Hostel.Part.II.2007.NTSC.DVDR-CuriousJotos/cj-hostel2-dvdr.r02

DVD !!!並且還有好幾部

du –h

好傢伙36G,事發以前,被修改的文件總共也就300M,其他的都是事發當天修改的

並且文件的全部者和組都是xxx,很顯然是xxx帳戶在做怪!

問了一下才知道是好久好久之前離職的一我的,當時沒人刪這個賬號,沒想到如今被利用了

接下來就是刪除這個帳戶了

發生相似的事情特別要注意:可疑用戶,隱藏文件,經過last查看登錄的用戶,固然還有日誌

相關標籤/搜索

每日一句

每一个你不满意的现在，都有一个你没有努力的曾经。