我的卧室里有一台 ubuntu 服务器。它连接到互联网。昨晚凌晨 5 点,它对硬盘进行了一些密集的 I/O 操作(我听说了),持续了大约 20 分钟。我没有安排任何 cron 作业,它以前也没有这样做过。它可能被黑客入侵了吗?还是我有点偏执……ext4 文件系统正在进行一些日志更新?下次发生这种情况时,你会做什么来收集更多信息。也许是 IDS 或……?它在防火墙后面。
答案1
许多 Linux 发行版会在清晨运行一些日常 cron 任务。索引硬盘以进行 slocate 和日志轮换都将产生几分钟的密集磁盘活动,具体取决于硬盘的大小。
我不确定 Ubuntu 是否以相同的方式配置,但基于 Redhat 的发行版通常有一个 /etc/cron.daily 文件或目录。阅读 cron 及其工作原理并查看该目录中的文件。
根据我的经验,大多数被黑客入侵的系统都是由于网络连接而被利用的,因此密集的磁盘活动并不是恶意活动的良好指标。
答案2
除非你有意删除cron,否则你确实有计划的 cron 作业。各种软件包都会设置几个 cron 作业,作为其正常运行的一部分。你可以在/etc/crontab,/etc/cron.d/,/etc/cron.daily/,/etc/cron.weekly/, 和/etc/cron.monthly/。
在我看来,这就像updatedb正在运行。 updatedb查找服务器上的每个文件并对其进行索引locate,以便快速定位文件。爬取整个文件系统可能需要一段时间,具体取决于您在那里的内容,并且它将在整个时间内使磁盘保持忙碌状态。