我有一个 HTTP 服务放在腾讯云香港轻量应用服务器上跑了很多年
我写了个脚本,用 crontab 每天早上 9 点会给我发一个服务器运行状态通知,上面会有一些服务的运行数据。
但今天早上收到了两个通知,一个是正常的。
另外一个是来自 IP: 114.231.149.25 ,两者发送端 UA 完全一致,curl 版本也一致。除了运营数据,这个 IP 发的运营数据信息大概是 3 月 17 号的(也和 3 月 17 号整天数据不一致,例如 PV 数大概只有一半不到)
这个脚本需要我的服务正常运行才能跑成功,我第一反应是服务器被人整体拷贝走了,于是先排查了登录日志( ssh 日志和腾讯云自己的安全防护上的登录日志),都是正常的。
继续排查了最近 7 天硬盘读写监控日志,如果拷数据应该有大量的读取,但都是 kb 级别流量不足以拷贝掉我的数据。
进程也扫了一遍,因为的服务器总体稳定所以没怎么动过,进程我都眼熟没有新增的,所以也没问题。
腾讯云防护也没有任何告警
所以我看着不像服务器被黑,但自动脚本竟然在另外一台机器上运行了确是事实,有谁能给个排查方向么?
我写了个脚本,用 crontab 每天早上 9 点会给我发一个服务器运行状态通知,上面会有一些服务的运行数据。
但今天早上收到了两个通知,一个是正常的。
另外一个是来自 IP: 114.231.149.25 ,两者发送端 UA 完全一致,curl 版本也一致。除了运营数据,这个 IP 发的运营数据信息大概是 3 月 17 号的(也和 3 月 17 号整天数据不一致,例如 PV 数大概只有一半不到)
这个脚本需要我的服务正常运行才能跑成功,我第一反应是服务器被人整体拷贝走了,于是先排查了登录日志( ssh 日志和腾讯云自己的安全防护上的登录日志),都是正常的。
继续排查了最近 7 天硬盘读写监控日志,如果拷数据应该有大量的读取,但都是 kb 级别流量不足以拷贝掉我的数据。
进程也扫了一遍,因为的服务器总体稳定所以没怎么动过,进程我都眼熟没有新增的,所以也没问题。
腾讯云防护也没有任何告警
所以我看着不像服务器被黑,但自动脚本竟然在另外一台机器上运行了确是事实,有谁能给个排查方向么?
Select Language