实例被攻击宕机后，最稳妥的做法是先通过控制台隔离网络，再重置凭证并检查系统日志，确认无后门后再恢复服务。

命令速用版

大部分止血操作需要在甲骨文云控制台完成，系统内部加固可参考以下命令：

# 查看最近登录记录
last -f /var/log/wtmp

# 查看当前监听端口
ss -tulpn

# 禁用 SSH 密码登录（编辑 /etc/ssh/sshd_config）
PasswordAuthentication no

# 重启 SSH 服务
systemctl restart sshd

为什么会这样

甲骨文云实例宕机通常不是因为硬件故障，而是安全事件导致的资源耗尽或服务崩溃。常见原因包括 SSH 弱密码被暴力破解、未修复的系统漏洞被利用，或者开放了不必要的端口被扫描攻击。一旦攻击者获取 root 权限，可能会植入挖矿程序或后门，导致系统负载过高而无法正常响应。

分步处理

1. 控制台网络隔离

登录甲骨文云控制台，找到该实例所在的虚拟云网络（VCN）。进入“安全列表”或“网络安全组”，暂时删除允许 22 端口（SSH）或应用端口的入站规则，仅保留你自己的管理 IP 访问权限。这一步能立即切断攻击者的连接。

2. 创建快照备份

在对系统进行任何修改前，先在控制台为引导卷创建手动快照。如果后续操作导致系统无法启动，可以通过快照回滚。公开资料中没有看到可靠的量化数据表明快照会影响性能，但这是恢复前的必要保险。

3. 重置凭证

如果怀疑 SSH 密钥泄露，不要在原系统直接修改。建议在控制台“重置 SSH 密钥”功能中上传新的公钥，或者新建一个具有 sudo 权限的用户，删除可疑用户。确保不再使用密码登录。

4. 系统内部清理

恢复网络访问后，登录系统检查异常。查看定时任务（crontab）、启动项和服务列表。更新系统补丁，安装基础防护工具如 fail2ban，并配置 SSH 仅允许密钥登录。

怎么验证是否生效

执行ss -tulpn确认没有未知的外连连接或异常监听端口。查看/var/log/secure（CentOS）或/var/log/auth.log（Ubuntu），确认没有持续的失败登录尝试。使用外部端口扫描工具检查防火墙规则是否已生效，确保非授权 IP 无法连接 SSH 端口。

常见坑

不要直接重启实例，这可能会清除内存中的攻击痕迹，导致后续取证困难，且无法阻止攻击者再次登录。不要长期开放 0.0.0.0/0 的 SSH 访问权限，生产环境应限制特定 IP。不要在未备份的情况下修改关键配置文件，一旦配置错误可能导致无法远程连接，只能通过控制台 VNC 恢复。

参考来源

• Oracle Cloud Infrastructure Documentation, "Managing Compute Instances", https://docs.oracle.com/en-us/iaas/
• Oracle Cloud Infrastructure Documentation, "Security Lists", https://docs.oracle.com/en-us/iaas/