У меня есть небольшой сервер (CentoOS 7, работающий на Linode), который обычно работает очень тихо. Но пока я спал прошлой ночью, он сходил с ума около 6,5 часов подряд. что-нибудь. К тому времени, когда я получил возможность исследовать его, он вернулся к норме. Вот что показывают графики аналитики Linode за последние 24 часа:
ЦП — это то, что вызвало тревогу и предупредило меня, но обратите внимание также на сетевой IPv4 — было заметное увеличение общего количества входов в течение всего периода, а затем резкое увеличение общего количества исходящих сообщений, начиная примерно с 1 часа 45 минут после начала эпизода.
Что касается ввода-вывода, неудивительно, что он был выше в тот же период времени, но обратите внимание на разницу между вводом-выводом до 17:00 и сейчас — что он делал раньше, чего не делает сейчас? Уровень до инцидента (около 15-35 блоков в секунду) в основном сохраняется в прошлом, за исключением аномалии в январе, когда он упал до незначительного уровня, а затем медленно снова поднялся в течение нескольких дней. Но теперь он действительно тихий, хотя кажется, что все основные службы, которыми я пользуюсь, работают.
Если бы я побежал вершина
пока это происходило, я мог бы выяснить источник, но что я могу сделать постфактум? Если есть журналы, которые я могу посмотреть, пожалуйста, внесите предложения. Я обеспокоен тем, что мой сервер был взломан и каким-то образом используется, но я довольно новичок в администрировании серверов - я больше разработчик.Если я смогу выяснить, что использовало весь этот ЦП и сеть, возможно, я также смогу выяснить, была ли брешь и как ее исправить, прежде чем тот же человек решит использовать ее снова. У меня есть пара веб-приложений с неаккуратным старым кодом, но я думаю, что худшее, что может произойти из-за них, — это возиться с базой данных. Я думал, что сам сервер довольно сильно застегнут - например. для входа разрешен только закрытый ключ.
Вот последние 30 дней, а не только 24 часа - есть еженедельный всплеск использования сети - возможно, это просто связано с резервными копиями (я подписан на службу резервного копирования Linode, хотя даты резервных копий не совпадают с пиками). ), но это могло быть и более гнусно...
Наконец, вот график ввода-вывода за январь с аномалией, о которой я упоминал ранее, если это уместно (остальные графики за январь выглядели вполне нормально):