У меня в спальне работает сервер Ubuntu. Он подключен к Интернету. Прошлой ночью, в 5 часов утра, он производил интенсивный ввод-вывод с жестким диском (я слышал это) около 20 минут. У меня нет запланированных заданий cron, и он не делал этого раньше. Могли ли его взломать? Или я параноик ... Файловая система ext4 обновляла журналы? Что бы вы сделали, чтобы собрать больше информации, когда это может случиться в следующий раз. Возможно IDS или ...? Он был за брандмауэром.
Если вы намеренно не удалили cron тогда у вас есть запланированные задания cron. Некоторые из них устанавливаются различными пакетами как часть их нормальной работы. Вы можете найти их в / etc / crontab, /etc/cron.d/, /etc/cron.daily/, /etc/cron.weekly/, и /etc/cron.monthly/.
Для меня это звучит как updatedb бегал. updatedb находит каждый файл на вашем сервере и индексирует их для locate использовать для быстрого поиска файлов. Обход всей файловой системы может занять некоторое время, в зависимости от того, что у вас есть, и это будет держать диск занятым все это время.
Многие дистрибутивы Linux запускают ежедневные задания cron рано утром. Индексирование жесткого диска для slocate и ротации журналов приведет к интенсивной дисковой активности в течение нескольких минут в зависимости от размера вашего жесткого диска.
Я не уверен, настроен ли Ubuntu таким же образом, но в дистрибутивах на основе Redhat обычно есть файл или каталог /etc/cron.daily. Прочтите cron и то, как он работает, и посмотрите файлы в этом каталоге.
По моему опыту, большинство взломанных систем используются для подключения к сети, поэтому интенсивная дисковая активность не является отличным индикатором вредоносной активности.