今晚(大约凌晨 3:24),我们的一台 CentOS6 服务器将 /var 重命名为 /var.1,并创建了一个新的空 /var 文件夹。不出所料,服务器很快就崩溃了。
情况:
- 在过去的两天里,我们遭受了僵尸网络活动的 DDOS 攻击,对当地一家大型企业进行了明显的反射攻击(真是令人头痛,谢谢)
- 此 (mail,name) 服务器公开 imap(s) pop3(s) smtp(s)、http(s) 和 587 端口 - 所有这些端口均受 fortigate 和 fail2ban 保护。所有这些端口均经历了与上一点相关的异常活动。
- 事故发生的时间与标准维护活动时间大致相同
我仍在仔细检查日志。由于第一点,恶意软件显然是嫌疑犯除了对于某些想要在隐藏自身的情况下接管机器的行为者来说,重命名 /var 是一种相当自残的行为。因此,我认为某些维护任务出了问题(例如在清理 /var 期间磁盘已满)。但是,我想不出任何类似恶作剧的事情。
有人可以解释一下吗?
短暂性脑缺血发作
答案1
因此,在仔细查看了一些日志后,发现并没有涉及任何恶意行为。大约 15 天前,有人在 logrotate 配置文件中编辑了一个错误,用于每月轮换(var log /stuff 而不是 /var/log/stuff)。幸运的是,它在 DDOS 期间启动,使情况变得模糊 - 虽然事实上 var**.1** 的事情应该让我早点停下来。感谢所有关心的人。