服务器异常磁盘写排查手册 · 已删除文件句柄篇

于 2025-09-04 17:35:20 发布
阅读量382 收藏 5
点赞数 9
CC 4.0 BY-SA版权
分类专栏: 安全问题汇总 文章标签: 服务器 运维 nginx lua 开源
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NSME1/article/details/151190782

适用范围

适用于磁盘写满 ≥ 90 %,但 dudf 差距 ≥ 50 % 的紧急事件。

1. 现象确认

# 1.1 确认已删除文件占用
lsof +L1 2>/dev/null | awk '$7 > 50000000 {print $2, $7/1024/1024 "MB", $9}'
# 输出示例:2817 7832MB /tmp/.x86_64 (deleted)

2. 样本提取与静态分析

PID=2817
cp /proc/$PID/exe /tmp/sample.bin
file /tmp/sample.bin
# ELF 64-bit LSB executable, statically linked, stripped
strings /tmp/sample.bin | grep -E 'stratum|gulf\.moneroocean\.stream'

3. 网络行为取证(无 rootkit 时)

使用 auditd 记录进程外联:

# /etc/audit/rules.d/mine.rules
-a always,exit -F arch=b64 -S connect -F pid=2817 -k mine_out

重载并查看:

sudo systemctl restart auditd
sudo ausearch -k mine_out -i

若出现 saddr=45.142.214.12 则与威胁情报匹配。

4. 止血(不停业务)

# 4.1 临时黑洞矿池网段
ip route add blackhole 45.142.214.0/24

# 4.2 释放已删除文件占用的空间
kill -9 2817
echo 2 > /proc/sys/vm/drop_caches

5. 加固与长期方案

  1. 挂载层加固
    /tmp 改为独立 tmpfs 并加 ro,nosuid,nodev
    mount -t tmpfs -o ro,nosuid,nodev,size=1G tmpfs /tmp
  2. 接入层收敛
    业务域名解析到高防 Anycast IP,源站仅暴露 922 (SSH) 和 443 (HTTPS);边缘节点提供托管 WAF 规则集,自动拦截已知挖矿 User-Agent。
  3. 日志留存
    高防平台以 Parquet 格式投递 7 天原始请求日志至 S3 兼容桶,生命周期 30 天后自动冷存,符合企业内部审计要求。

6. 小结

  • lsof +L1 是定位“已删未关”文件的最快路径
  • 黑洞路由 + drop_caches 可在不重启服务的情况下恢复磁盘空间
  • 将入口流量托管至具备 Anycast + 行为识别能力的边缘网络,比本地堆叠 iptables 规则更具可扩展性
博客
【图文详解】阿里腾讯华为云服务器被攻击后更换服务器IP操作步骤合集
01-31 2792
你是否需要因为更换服务器IP的教程太杂苦恼,本文直接总结三大云的更换IP步骤,需要可收藏,全部附带原文链接
博客
【图文详解】阿里云服务器放行高防IP加入安全组
01-29 1297
如何快速在阿里云云服务器中将配置的高防IP配置放行安全组,看这篇告诉你
博客
【图文详解】腾讯云服务器怎样配置高防IP?看这一篇就行!
01-26 1359
腾讯云如何配置高防IP,小白必看。
博客
高并发场景下的“命令执行”注入绕道记
09-08 206
环境:CentOS 8 + OpenResty 1.21 + PHP-FPM 8.0背景:营销团队上线了一个“图片裁剪”接口,参数直接拼进shell_exec,结果被打成“矿机”。
博客
从日志到防火墙——一次“SQL注入”排查笔记
09-08 117
环境:Debian 11 + Nginx + MariaDB 10.6目标:在不改动业务代码的前提下,把夜里突然飙高的 400% CPU 打回正常水位,并堵住后续“' OR 1=1--”式的扫描。
博客
服务器异常负载排查手册 · 隐蔽进程篇
09-04 358
适用于 Linux 3.10+ 生产环境,发现 load 高但用户态 CPU 接近 0 % 的场景。使用 eBPF 无需抓完整 PCAP,仅统计外联端口与字节数。目标:在 rootkit 干预前保存易失数据。若出现大量流量涌向已知矿池网段,证据链完整。若命中关键字,可定性为挖矿木马。若有输出,则继续 2.2。打包后拉走离线分析。
博客
用 eBPF 在本地做“实时 DNS 体检”
08-29 224
eBPF 把 DNS 排障从“抓包→下载→Wireshark”三步压缩成“运行脚本→看面板”两步。脚本不到 100 行,拷贝即用;Prometheus 里多一条指标,却能在双十一把 P99 延迟从 800 ms 压到 80 ms。代码和思路都在上面,拿去改两行就能上线。
博客
从 shell 抓包到可视化——三步定位 DNS 异常
08-29 407
线上服务突然大面积超时,第一反应往往是“是不是 DNS 又挂了”。可真正动手排障时,很多人还是一把梭,结果云里雾里。下面这套流程我用了三年,基本能在十分钟内确认是不是 DNS 的问题,顺带把锅甩给网络还是业务也一并分清。
博客
一次“灰盒”演练:从代码审计到红队打穿优惠券系统
08-28 402
背景公司今年把优惠券系统纳入灰盒测试范围,给了只读 GitLab 权限 + 预发环境账号,要求两周内出报告。我习惯先读代码再找链,最后补一脚红队思路,这次把整个链路写下来,供同行拍砖。
博客
用开源工具给自家业务做“体检”——一次渗透测试实操记录
08-28 413
全部开源,装一遍就能用。关键点:信息收集 > 自动化验证 > 手工确认,别指望一键出结果。防护建议:除了修漏洞,把源站隐藏好、接入带 AI 清洗的高防 IP,至少让脚本小子扫不到真实入口。时间成本:整个流程 1 个人 1 天搞定,比走招标流程请外部团队快多了。彩蛋修完漏洞后,我把测试脚本改成定时任务,每周日凌晨跑一次,报告直接飞书群里。领导一看,省了外包钱,还顺便给绩效加了分。
博客
Bot 流量“假阳性”调优笔记
08-19 1563
这次实验最大的收获是:与其在规则里“猜”爬虫长什么样,不如把判断逻辑外置到一个能持续学习的边缘节点。群联的清洗中心提供了实时封禁 API,让我们可以把模型结果直接落地,而不用改一行业务代码——这比传统“先打日志、再人工加黑名单”的节奏快了整整一个量级。
博客
从一次 DDoS 的“死亡回放”看现代攻击链的进化
08-19 306
本文记录的是作者上周在测试环境真实踩到的坑。为了让读者能复现并亲手体验防御思路,文末给出了一份最小可运行的 Go 脚本,支持本地压测 + 日志回放,方便对比加防护前后的差异。
博客
用 Python 在 30 分钟内搭一个「可回放的实时日志」——把攻击流量变成可视化剧情
08-18 444
业务背景我们运营一款 FPS 端游,外挂作者常把 DDoS 伪装成「玩家掉线」来骗客服。以前排查要捞 CDN 日志、对时间戳、人工比对,平均 2 小时才能定位。现在用一条 30 行的 Python 脚本把边缘节点日志实时打到 Kafka,再回放到 Grafana,5 分钟就能复现「谁在什么时间被哪段流量打挂」。
博客
用 Rust 写的「隐形网关」——把全球 200+ 游戏节点变成一条命令
08-18 429
业务背景我们团队维护一款 MOBA 手游,高峰期 180 w 并发。DDoS 打进来时,传统 CDN 只能把流量往外层丢,延迟飙到 180 ms;玩家投诉「卡技能」。于是我们把入口网关拆成两层:一层是极轻量的「隐形网关」,只负责把流量按玩家 ID 哈希到最近的「真·游戏节点」;第二层才是带业务逻辑的网关。这样即使被打,也只是一两个边缘节点挂掉,整体延迟稳在 45 ms 左右。下面给出可落地的核心代码,单文件就能跑,依赖就一个tokioclap,Linux / macOS / Windows 都能编译。
博客
当蜜罐遇到“0day”:一次云服务器入侵演练复盘
08-12 393
为了验证新上线的日志系统,我故意在 VPC 里开了一台CentOS 7低配机,开了 22/80/3306 全端口,密码还是123456。本以为最多被扫几天,结果 6 小时就被拿下了。
博客
一台云主机“被黑”后的 24 小时排查手记
08-12 297
这台机器被黑,并不是云厂商“故意”,而是镜像仓库的 GPG 签名验证被绕过。高防 IP + AI 云防护的组合,相当于给业务多穿了一层“软猬甲”,把攻击流量挡在机房外,源站再也不用半夜爬起来杀进程了。测试机,在凌晨 3 点 CPU 飙到 100%,流量在 4 分钟内从 2 Mbps 冲到 1.7 Gbps。第一反应是“被挖矿”了,可是这台机器明明只跑了一个内部接口,连公网端口都没开多少。显然,靠“人肉”杀毒太累了,而且业务需要保留 443 端口。这台机子 3 天前刚做过镜像克隆,怀疑是旧镜像留了后门。
博客
用 eBPF 把“肉鸡”流量提前踢出去
08-11 295
背景:公司内部的灰度网关跑着 Kubernetes,去年 12 月突然涌入大量“低频慢速”请求,源 IP 分散在国内 200+ IDC。传统高防 IP 只能看四层,七层特征又太弱,于是干脆在内核里插了一段 eBPF 程序,把异常会话在 SYN-RECV 阶段就 drop 掉,再结合群联的 AI 高防做兜底,两天内把攻击面压回了正常区间。
博客
当 WAF 遇上黑客——一次混合式攻击的应急复盘
08-11 357
背景:上周,我负责维护的一个中型电商站点在凌晨遭遇了异常流量,特征是典型的“慢速层七 + UDP 洪水”混合打法。复盘时发现,单纯堆高防 IP 并不能完全解决问题,只有把流量在边缘节点就“按特征切片”,再交给后端动态清洗,才能把业务抖动压到最低。下文把当时落地的三段代码贴出来,均已脱敏,可直接套用到 Nginx/OpenResty 1.25+ 环境。
博客
用 Go 写个极简反向代理,把 CC 攻击挡在业务容器之外
08-08 459
最近容器化改造,所有业务都跑在 K8s 里。某天 3 点 15 分,Prometheus 疯狂告警:某个业务 Pod CPU 飙到 200%,原因是接口被刷。传统的 WAF 在集群外,流量已经压到 Ingress 上了,再往上加规则来不及。于是干脆在业务前面再插一层 Go 写的「微型网关」,在流量进容器之前就把它丢掉。
博客
Nginx + Lua 实现秒级 IP 封禁与自动解封
08-08 442
上周客户公司一台边缘节点被暴力撞库,日志里全是的 404,CPU 被一堆扫描脚本拉满。运维同学临时写了个脚本人肉拉黑,结果脚本跑着跑着把自己 SSH 会话也踢了出去。痛定思痛,干脆把封禁逻辑下沉到 Nginx,利用 lua-resty-lock 做轻量级限流,既能防暴力破解,又不会影响正常用户。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值