云服务器系统盘满了,但是其他正常,是否可能是被攻击了

原创 已于 2025-05-29 14:26:10 修改 · 526 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #linux #运维

于 2025-05-28 22:25:45 首次发布

目录

问题背景

今天登录我的云服务器看了眼,发现系统盘满了,但是其他正常
在这里插入图片描述
在这里插入图片描述

分析

1、首先要确认是否是被攻击:

  • top / htop (安装:yum install htop 或 apt install htop):
  •       查看实时运行的进程,按 M 按内存排序,按 P 按CPU排序。留意消耗极高的、名称奇怪的进程,比如 minerd、xmr 等挖矿程序。注:ydservice是腾讯的进程(我是腾讯的云服务器)
  • netstat -tunlp 或ss -tunlp查看所有监听端口和建立连接的进程
  •       主要查看有没有不熟悉的端口
  • iftop (安装:yum install iftop 或 apt install iftop)

  •       查看实时网络流量,观察是否有异常的大量入站/出站流量。

  • 检查异常用户和登录记录
  • last / lastb:查看成功登录和失败登录的记录。注意从未知IP地址或非常用时间的登录,尤其是root用户。

    cat /var/log/auth.log (Debian/Ubuntu) 或 /var/log/secure (CentOS/RHEL):详细认证日志,仔细查看可疑登录尝试。

    cat /etc/passwd:查看系统用户列表,注意是否有新增的陌生用户。

    sudo -l:列出当前用户能执行的sudo命令。

    我在执行last命令后出现2个异常且频繁登录的ip,于是我:

    step1:

    # 1. 立即封禁可疑IP
sudo iptables -A INPUT -s 119.36.x.x -j DROP
sudo iptables -A INPUT -s 59.172.x.x -j DROP

# 2. 踢出所有活跃会话
sudo pkill -9 -t pts/3
sudo pkill -9 -t pts/4

# 3. 禁用密码登录(强制密钥认证)
sudo sed -i 's/^#PasswordAuthentication yes/PasswordAuthentication no/' /etc/ssh/sshd_config
sudo systemctl restart sshd

    step 2:

    # 1. 检查恶意授权密钥
grep -R "119.36.xx.xx" /root/.ssh/ /home/*/.ssh/

# 2. 查找隐藏后门文件
find / -name authorized_keys -mtime -365 | xargs grep -L "your-public-key"

# 3. 检查sudoers篡改
sudo grep -r "NOPASSWD" /etc/sudoers.d/

    step3:账号安全加固:

    # 1. 重置root密码(即使使用密钥)
sudo passwd root

# 2. 创建新管理员账号
sudo useradd -m -s /bin/bash admin
sudo passwd admin
sudo usermod -aG sudo admin

# 3. 禁用root远程登录
sudo sed -i 's/^PermitRootLogin yes/PermitRootLogin no/' /etc/ssh/sshd_config

    解决系统盘满的问题

    紧急解决步骤(必须按顺序操作)
    1、立即清理磁盘空间 
    # 1. 删除内核缓存(快速释放空间)
sudo sync; sudo echo 3 > /proc/sys/vm/drop_caches

# 2. 清理日志文件(安全操作)
sudo journalctl --vacuum-size=50M  # 立即释放日志空间
sudo truncate -s 0 /var/log/*.log  # 清空所有日志文件(不影响服务)

# 3. 强制删除临时文件
sudo rm -rf /tmp/* /var/tmp/*

# 4. 检查释放效果
df -h /  # 查看根分区剩余空间,需>5%

    2:修复密码文件权限

    # 1. 解除文件锁定
sudo chattr -i /etc/passwd /etc/shadow

# 2. 修复文件权限(关键!)
sudo chmod 644 /etc/passwd
sudo chmod 600 /etc/shadow

    3、重置密码

    # 1. 尝试再次重置密码
sudo passwd root

# 2. 若仍报错,手动编辑密码文件
sudo nano /etc/passwd
# 将root行改为:root:x:0:0:root:/root:/bin/bash

    4、写入定时清理任务防止磁盘再次满了

    echo "0 * * * * root find /var/log -name '*.log-*' -mtime +7 -delete" | sudo tee /etc/cron.d/logclean

    解决结果

    在这里插入图片描述
    虽然还不是很完美解决,如果有其他小妙招还请各位网友点评指教,共同进步!

Linux挖矿病毒清理流程
ouxx2009的专栏
03-14 1万+
Linux挖矿病毒清理流程 1.前言: 根据阿里云快讯病毒公布: Redis RCE导致h2Miner蠕虫病毒,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。在以往常见的攻击者或蠕虫中,其大多都沿用登陆redis后写入定时任务或写ssh key的方式进行入侵,这种方式受权限与系统类型影响并不一定能够成功。而此次使用redis加载module的攻击方式,可以直接执行任意指令或拿到shell交互环境,危害
Linux——kdevtmpfsi(挖矿)进程解决方法与解决过程
Hern(宋兆恒)
03-23 1万+
问题 CPU堵塞(100%)。我这里的主进程YDService,你的可能和我的不一致。 原因 服务器密码被别人知道 防火墙设置问题 …… 解决方法 1、查看进程,记录下占用CPU的进程PID(包括挖矿主进程PID)命令: top 或 ps aux | less 2、查看异常链接(有助于发现问题缘由),命令: netstat -natp 或 netstat -n...
腾讯云YDService服务占用资源过多的解决办法
gdali的专栏
02-12 9967
在主机安全-资产中心-主机列表,找到自己的机器,点击卸载即可。YDService是腾讯云的主机安全防护服务。
腾讯云主机安全防护(云镜)/usr/local/qcloud/YunJing/YDEyes/YDService 卸载
石宗昊的博客
10-18 1万+
官方教程 我top查看内存占用与CPU占用,发现一个叫YDService进程占用过大,我的云机没有什么重要业务,为有大内存,我卸载掉腾讯云默认给我装的防护 借鉴 :https://blog.csdn.net/zhangpeterx/article/details/89704532 注意:如果卸载了云镜,记得安装自己想要的Linux监控软件,不推荐让Linux裸奔在公网上 有2种卸载方法 1.在主机安全(云镜)-资产管理-主机列表里找到自己的机器,点击卸载即可。 如果你是Windows的机器,那么推荐通
Linux查看进程所在目录
C or CPP
07-02 974
是 “YDService进程的实际进程 ID。这条命令会显示进程的当前工作目录的符号链接。命令来查找 “YDService进程的 PID。假设你已经找到了这个进程的 PID。通过以上步骤,你可以查找并显示 “YDService进程的当前工作目录路径。这条命令将输出 “YDService进程当前的工作目录的实际路径。命令界面中找到 “YDService进程,并记录其 PID。最后,如果需要查看工作目录的实际路径,可以使用。一旦有了进程的 PID,可以通过。文件系统来查看该进程的工作目录。
腾讯云CentOS Linux release 7.6.1810 (Core) 服务器攻击,内存占用太高
qq_35456400的博客
06-09 3047
没接到登录告警,腾讯云服务器又卡了,基本登录不上,然后就改了密码,又重启了几次。还要接着清病毒啊! 这个病毒不一定是在第一,看PID数较大的。NI 看下进程优先级,优先级取值范围为(-20,19),越小优先级越高, 默认优先级是0 命令1:nice 指定程序的运行优先级 格式:nice n command 命令2:renice 改变程序的运行优先级 格式:renice -n pid top -p PID能查看这个PID的优先级,就是NI的值 这里是0 查看下这个进程,用进程名 [r
云计算ACP云服务器ECS实例题库(一)
s1429583654的博客
02-13 6117
云计算ACP中ECS实例相关题库50道
云计算ACP云服务器ECS实例题库(二)
s1429583654的博客
02-15 6889
50道ECS实例ACP云计算题库
EMQ MQTT云服务器搭建 - 阿里云轻量应用服务器
Mark_md的博客
06-02 6584
购买服务器,与其最近主推的ECS服务器,明显轻量应用服务器更香。网速带宽提高了5倍,SSD系统盘,CPU独享,带公网IP。限时特价,90/年特价可以嫖三年。最近618又有优惠了,不过只能买一年的份,体验一下是够了。yyds 详情界面:云服务器控制台 我的购买后装了 ubuntu20。 熟悉界面及基本控制操作 运行的控制台,可以看到公网/内网IP 快速设置的话,可以按照下面方框里的步骤来。 远程登录有三种方式。 网页登录,(就是个网页的终端,不如直接用终端软件远程连接) 用SSH终端软件通过公网IP连接
云服务器搭建异星工厂服务器
weixin_39255905的博客
11-28 1396
云服务器搭建异星工厂服务器
搭建无线监控云存储服务器,搭建无线监控云存储服务器
weixin_35767180的博客
08-06 1779
搭建无线监控云存储服务器 内容精选换一换华为云帮助中心,为用户提供产品简介、价格说明、购买指南、用户指南、API参考、最佳实践、常见问题、视频帮助等技术文档,帮助您快速上手使用华为云服务。华为云帮助中心,为用户提供产品简介、价格说明、购买指南、用户指南、API参考、最佳实践、常见问题、视频帮助等技术文档,帮助您快速上手使用华为云服务。搭建无线监控云存储服务器 相关内容云硬盘挂载至云服务器时,无法挂...
Linux运维实战之『进程管理』
李维山的博客
02-06 876
所谓Linux进程,就是正在执行中的程序。当一个程序或命令执行时,执行用户的权限、属性及程序的代码都会被载入内存当中,并且分配到一个PID,即进程ID。 查看进程和杀死进程,是运维人员常用的判断服务器健康状态的手段。比如查看一个进程CPU占用率、内存占用率过高时,就要做出判断这个进程是否正常进程,如果是正常应用的进程,那么说明服务器已不能足该应用的需要,需要升级服务...
Linux 进程管理
m0_74282605的博客
10-28 313
系统启动之后,init 进程会启动很多 daemon 进程,为启动运行提供服务,比如 httpd、ssh 等等,然后就是 agetty,让用户登录,登录后运行 shell(bash),用户启动的进程都是通过shell 运行的。命令会发现 PID 1 的进程就是我们的 init 进程 systemd ,PID 2 的进程是内核现场 kthreadd ,这两个在内核启动的时候都见过,其中用户态的不带中括号,内核态的带中括号。克隆出的进程能够把它正在运行的那个程序替换成另一个不同的程序。
linux主要系统服务介绍
04-28 1214
linux主要系统服务介绍--------------------------------------------------------------------------------apmd--apmd用来监视系统用电状态,并将相关信息通过syslogd写入日志。也可以用来在电源不足时关机arpwatch--用来维护以太网物理地址和ip地址的对应关系atd--运行用户用at命令调度的任务。也在
腾讯云主机安全防护(云镜卸载)--/usr/local/qcloud/YunJing/YDEyes/YDService
热门推荐
个人博客
04-30 2万+
官方文档:主机安全 快速入门 - 文档中心 - 腾讯云 原先我一直是在用腾讯云默认的云镜安全防护,但是最近不知道为什么这个应用占了我100多M的内存,本来就是1G小内存的机器,少了100M后就更缺内存了,于是我决定把云镜防护给卸载了。 有2种卸载方法。 一种是通过控制台卸载,在主机安全(云镜)-资产管理-主机列表里找到自己的机器,点击卸载即可。 另一种方法是运行命令卸载: bash /usr/lo...
Win服务器宝塔IIS/php环境进程应用名称及说明(发文备查)
易查薪
12-18 1723
如果此服务已禁用,任何与内核资源管理器交互的 MSDTC 事务将失败,并且任何显式依赖它的服务将无法启动。如果停止此服务,则对新交互服务对话框的通知将无法正常运行,而且可能无法访问这些交互服务对话框。如果此服务被禁用,任何依赖它的服务将无法启动。如果此服务已禁用或停止,则 Microsoft 软件将无法保持最新状态,这意味着无法修复可能产生的安全漏洞,并且功能也可能无法使用。如果此服务已禁用或停止,则 Microsoft 软件将无法保持最新状态,这意味着无法修复可能产生的安全漏洞,并且功能也可能无法使用。
腾讯云镜主机安全——安装脚本分析
weixin_40159853的博客
02-17 4588
#!/bin/bash if [ `id -u` -ne 0 ];then echo "Yunjing software must run as root. Please check your account" exit 0 fi system_info=`uname -a` Is64BitSystem=` echo $system_info | grep -c "x86_64" ` if [ $Is64BitSystem -le 0 ]; then echo "Your s.
Linux学习-61-Linux系统服务管理
时光
11-30 898
Linux学习-61-Linux系统服务管理
腾讯云默认操作系统被安装的软件
ak47mig的网志(自家用,谢绝无聊斗鸡)
11-22 1万+
1.云镜软件/usr/local/qcloud/YunJing/YDEyes/ /usr/local/qcloud/YunJing/YDEyes/YDService /usr/local/qcloud/YunJing/YDEyes/YDLive https://cloud.tencent.com/document/product/296/99272.云监控/usr/local/qcloud/m
释放阿里云服务器内存
最新发布
02-26
### 如何释放阿里云ECS服务器内存 #### 诊断高内存占用原因 对于阿里云 ECS 实例,如果遇到内存持续升高的情况,首先应当排查是否存在异常进程。通过 `top` 或者 `htop` 命令能够实时监控 CPU 和内存的使用状况[^2]。 ```bash top ``` 此命令会展示当前系统中最消耗资源的进程列表,包括 PID、USER、PR(优先级)、NI(nice value)、VIRT(虚拟内存用量)、RES(常驻集大小)、SHR(共享内存大小)、S(状态)、%CPU、%MEM 及 COMMAND 等信息。观察是否有不正常的程序正在运行并占据大量内存。 #### 终止不必要的服务和应用程序 一旦确认某些特定的服务或应用造成了过多的内存负担,则应考虑停止这些非必要的组件来缓解压力。可以通过如下方式结束某个具体的进程: ```bash kill -9 <PID> ``` 这里的 `<PID>` 是指代目标进程ID,在前面提到过的 `top` 输出里可以看到每一行开头即为此值。不过需要注意的是强制终止可能会造成数据丢失或其他不良后果,因此建议先尝试优雅关闭再采取强硬措施。 另外,还可以利用 systemd 来管理系统服务的状态: ```bash systemctl stop <service_name>.service ``` 这有助于确保按照预期的方式停运指定后台作业而不影响其他依赖项。 #### 清理缓存文件和其他临时对象 有时操作系统本身也会为了提高性能而预留一部分物理 RAM 作为缓冲区/高速缓存空间。虽然这部分不会真正妨碍到新请求分配所需的实际工作负载所需的存储位置,但在必要时仍然可以手动触发清理动作以腾出更多可用容量给更重要的任务调用。 执行同步写入所有未完成的数据至磁盘并将脏页刷新出去的操作: ```bash sync; echo 3 > /proc/sys/vm/drop_caches ``` 上述指令序列中的第二条语句告诉 Linux 内核丢弃所有的页面缓存(cache),回收那些被用来做读取加速用途却暂时闲置下来的区块;参数 "3" 表示清除全部三种类型的缓存——PageCache (0), dentries/inodes(1) 和 Directory entries(2)[^1]。 #### 配置合理的SWAP分区 当实际使用的内存量接近甚至超过硬件配置所能提供的极限时,适当设置 SWAP 分区可以帮助防止因过度超载而导致整个机器变得极其缓慢乃至崩溃的情况发生。编辑 `/etc/fstab` 文件添加 swap 设备映射关系或者直接创建一个新的交换文件也可以实现相同的效果。 创建一个名为 `swapfile` 的大尺寸二进制流,并将其格式化成 Swap 类型后激活它: ```bash fallocate -l 4G /mnt/swapfile # 创建4GB大小的Swap文件 chmod 600 /mnt/swapfile # 设置权限只允许root访问 mkswap /mnt/swapfile # 初始化为Swap区域 swapon /mnt/swapfile # 启动新的Swap支持 echo '/mnt/swapfile none swap sw 0 0' | sudo tee -a /etc/fstab # 添加到启动加载表单以便下次开机自动生效 ``` 最后记得调整 vm.swappiness 参数控制内核倾向于何时开始使用该辅助性的虚拟内存机制,默认情况下其数值范围是从0到100之间变化,越低意味着更少地依赖于硬盘模拟RAM功能。 #### 定期维护与安全防护 鉴于之前遭遇过恶意软件感染的经历,定期进行全面的安全审查至关重要。安装防病毒工具以及启用防火墙都是不错的预防手段之一。同时保持系统的更新频率也很重要,及时修补已知漏洞可有效减少遭受攻击的风险概率。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

haibianyoushark

如有所帮助,请留下碎银,多谢!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值