syb*_*ind 0 security intrusion-detection ids
我的卧室里有一个 ubuntu 服务器。它已连接到互联网。昨晚,凌晨 5 点,它在硬盘上进行了一些密集的 I/O(我听说过)大约 20 分钟。我没有安排任何 cron 作业,它以前也没有这样做过。它可能被黑客入侵了吗?或者我是偏执狂... ext4 文件系统是否进行了一些日志更新?下次可能发生时,您将如何收集更多信息。也许是 IDS 或...?它位于防火墙后面。
许多 Linux 发行版在清晨运行一些日常的 cron 作业。索引硬盘驱动器以进行 slocate 和日志轮换都会产生几分钟的密集磁盘活动,具体取决于硬盘的大小。
我不确定 Ubuntu 是否以相同的方式配置,但基于 Redhat 的发行版通常有一个 /etc/cron.daily 文件或目录。阅读 cron 及其工作原理,并查看该目录中的文件。
根据我的经验,大多数被黑的系统都用于其网络连接,因此密集的磁盘活动并不是恶意活动的重要指标。
除非您有意删除,cron否则您确实安排了 cron 作业。有几个是由各种包设置的,作为其正常操作的一部分。您可以在/etc/crontab、/etc/cron.d/、/etc/cron.daily/、/etc/cron.weekly/和/etc/cron.monthly/ 中找到它们。
在我看来,这听起来像是updatedb在跑步。 updatedb查找服务器上的每个文件并将它们编locate入索引,以便快速定位文件。遍历整个文件系统可能需要一段时间,具体取决于您在那里拥有的内容,并且这将使磁盘在整个时间内都处于忙碌状态。