На одном из наших серверов CentOS6 / var был переименован в /var.1 сегодня вечером (около 3.24 утра), и была создана новая пустая папка / var. Неудивительно, что вскоре после этого он разбился.
Обстоятельства:
Я все еще изучаю журналы. Из-за первого пункта очевидным подозрением может быть вредоносное ПО. Кроме что переименование / var - довольно вредное для себя действие для некоторых актеров, которые хотят взять на себя управление машиной, скрывая себя. Итак, я думаю, что какая-то задача обслуживания пошла наперекосяк (например, заполнение диска во время очистки / var). Однако я не могу придумать ничего, что могло бы проделать подобные махинации.
Кто-нибудь может пролить свет?
TIA
Итак, после некоторого прочтения журнала выясняется, что никакой нечестной игры не было. Кто-то сделал ошибку редактирования в конфигурационном файле logrotate около 15 дней назад для ежемесячной ротации (var log / stuff вместо / var / log / stuff). Как повезло, он сработал во время DDOS, затуманив картину - хотя на самом деле вещь var **. 1 ** должна была заставить меня задуматься гораздо раньше. Спасибо всем, кто позаботился.