云服务器系统盘满了，但是其他正常，是否可能是被攻击了

问题背景

今天登录我的云服务器看了眼，发现系统盘满了，但是其他正常

分析

1、首先要确认是否是被攻击：

• top / htop (安装：yum install htop 或 apt install htop)：
•       查看实时运行的进程，按 M 按内存排序，按 P 按CPU排序。留意消耗极高的、名称奇怪的进程，比如 minerd、xmr 等挖矿程序。注：ydservice是腾讯的进程（我是腾讯的云服务器)
• netstat -tunlp 或ss -tunlp查看所有监听端口和建立连接的进程
•       主要查看有没有不熟悉的端口
• iftop (安装：yum install iftop 或 apt install iftop)

•       查看实时网络流量，观察是否有异常的大量入站/出站流量。

• 检查异常用户和登录记录
• last / lastb：查看成功登录和失败登录的记录。注意从未知IP地址或非常用时间的登录，尤其是root用户。

  cat /var/log/auth.log (Debian/Ubuntu) 或 /var/log/secure (CentOS/RHEL)：详细认证日志，仔细查看可疑登录尝试。

  cat /etc/passwd：查看系统用户列表，注意是否有新增的陌生用户。

  sudo -l：列出当前用户能执行的sudo命令。

  我在执行last命令后出现2个异常且频繁登录的ip，于是我：

  step1：

  # 1. 立即封禁可疑IP
  sudo iptables -A INPUT -s 119.36.x.x -j DROP
  sudo iptables -A INPUT -s 59.172.x.x -j DROP# 2. 踢出所有活跃会话
  sudo pkill -9 -t pts/3
  sudo pkill -9 -t pts/4# 3. 禁用密码登录（强制密钥认证）
  sudo sed -i 's/^#PasswordAuthentication yes/PasswordAuthentication no/' /etc/ssh/sshd_config
  sudo systemctl restart sshd
  

  step 2：

  # 1. 检查恶意授权密钥
  grep -R "119.36.xx.xx" /root/.ssh/ /home/*/.ssh/# 2. 查找隐藏后门文件
  find / -name authorized_keys -mtime -365 | xargs grep -L "your-public-key"# 3. 检查sudoers篡改
  sudo grep -r "NOPASSWD" /etc/sudoers.d/
  

  step3：账号安全加固：

  # 1. 重置root密码（即使使用密钥）
  sudo passwd root# 2. 创建新管理员账号
  sudo useradd -m -s /bin/bash admin
  sudo passwd admin
  sudo usermod -aG sudo admin# 3. 禁用root远程登录
  sudo sed -i 's/^PermitRootLogin yes/PermitRootLogin no/' /etc/ssh/sshd_config
  

  排查解决

  待更新……