Прошлой ночью мой сервер делал что-то интенсивное с жестким диском
У меня в спальне работает сервер Ubuntu. Это связано с интернетом. Прошлой ночью, в 5 утра, он занимался интенсивным вводом-выводом с жесткого диска (я слышал это) около 20 минут. У меня нет запланированных заданий cron, а раньше этого не было. Это могло быть взломано? Или я параноик... Была ли файловая система ext4 обновлением журнала? Что бы вы сделали, чтобы в следующий раз собрать больше информации? Возможно, IDS или...? Это было за брандмауэром.
2 ответа
Многие дистрибутивы Linux запускают некоторые ежедневные задания cron рано утром. Индексирование жесткого диска для slocate и ротация журналов приведут к интенсивной работе с диском в течение нескольких минут в зависимости от размера вашего жесткого диска.
Я не уверен, что Ubuntu настроен таким же образом, но в дистрибутивах Redhat обычно есть файл или каталог /etc/cron.daily. Читайте о cron и о том, как он работает, и посмотрите на файлы в этом каталоге.
По моему опыту, большинство взломанных систем используются для сетевого подключения, поэтому интенсивная работа с дисками не является хорошим показателем вредоносной активности.
Если вы не намеренно удалены cron тогда у вас есть запланированные задания cron. Некоторые из них устанавливаются различными пакетами как часть их нормальной работы. Вы можете найти их в / etc / crontab, /etc/cron.d/, /etc/cron.daily/, /etc/cron.weekly/ и /etc/cron.monthly/.
Это звучит для меня как updatedb бегал. updatedb находит все файлы на вашем сервере и индексирует их для locate использовать, ну, чтобы быстро найти файлы. Обход всей файловой системы может занять некоторое время, в зависимости от того, что у вас там есть, и это будет занимать диск все это время.