被攻击后最稳妥的做法是先通过控制台隔离网络,备份关键数据,再排查入侵痕迹,最后重置凭证并加固配置。
先说结论:不要直接在系统内操作,优先在甲骨文云控制台限制网络访问,确认安全后再恢复业务。
- 先备份:操作前先在控制台创建实例自定义镜像,防止误操作导致数据丢失。
- 优先做:在控制台安全列表中关闭所有入站端口,仅保留控制台访问权限。
- 再验证:创建新的 sudo 用户测试登录成功后,再禁止 root 登录,并检查系统日志无异常。
命令速用版
如果还能登录系统,先用以下命令快速查看异常连接和登录记录:
# 查看当前网络连接(替代 netstat)
ss -tunlp | grep ESTABLISHED
# 查看最近登录成功的用户
last
# 查看 SSH 登录失败记录(CentOS/RHEL)
grep "Failed password" /var/log/secure
# 查看 SSH 登录失败记录(Ubuntu/Debian)
grep "Failed password" /var/log/auth.log
# 查看异常进程
ps auxf | grep -v grep | grep -E 'wget|curl|miner'为什么会这样
甲骨文云 VPS 被攻击通常是因为 SSH 端口暴露在公网且使用了弱密码,或者运行的服务存在未修复的漏洞。攻击者通过扫描公网 IP,尝试暴力破解 SSH 密码或利用应用漏洞获取权限,进而植入挖矿程序或作为跳板。直接在受感染的系统内清理往往不彻底,攻击者可能留有多种后门,因此需要结合云平台的安全功能进行隔离。
分步处理
1. 应急数据备份
在进行任何清理操作前,务必先备份数据。登录甲骨文云控制台,进入“实例详情”页,点击“更多操作”->“创建自定义镜像”。如果实例无法停止,可通过 VNC 登录使用 tar 备份关键目录:
tar -czvf /tmp/backup_data.tar.gz /var/www /etc/important_config2. 控制台隔离网络
登录甲骨文云控制台,点击左侧菜单“联网”->“虚拟云网络”,找到实例所在的 VCN,进入“安全列表”。修改入站规则,暂时拒绝所有来源的流量,或者仅允许你当前的管理 IP 访问 SSH 端口。这一步能立即切断攻击者的连接。
3. 通过 VNC 登录检查
如果 SSH 已无法登录或被怀疑不可信,使用控制台的“实例详情”->“更多操作”->“启动串行控制台”或