linux服务器系统故障排查
目录
排查思路及方法
排查思路
1)进程排查命令
1. 查看当前系统状态(top),top命令:可以持续的监视进程的信息。
2.查看当前系统进程信息(ps),ps命令:可以查看进程的瞬间信息。
3. 查看非root运行的进程(ps)
4. 查看用户root运行的进程(ps),
5. 查看有没有奇怪进程(ps)
6. 检测隐藏进程(ps)
7. 检测系统守护进程(ls)
2)任务及用户活动排查命令
1. 查看当前有谁登陆在服务器上(who)
2. 查看当前登陆用户的IP信息(who)
3.查看近期用户登陆情况(last)
4. 查看历史命令(history)
5. 查看空口令账号(awk)
6. 查看uid为0的账号(awk)
7. 查看uid为0的账号(grep)
8. 查看进程树是否所有异常进程存在一个父进程、判断进程的父子关系(pstree)
3)网络排查命令
1. 列出本机所有的连接和监听的端口,查看有没有非法连接(netstat)
2. 查看谁在使用某个端口(lsof)
3. 查看多个进程号对应的文件信息(lsof)
4. 查看所有tcp网络连接信息(lsof)
5. 查看所有udp网络连接信息(lsof)
4)文件排查命令
1. 查看所有文件,包括隐藏的文件(ls)
2. 查看文件路径(whereis)
3. 查看文件创建时间(ls),命令:ls -al filname
4. 查找最近24小时内修改过的文件(find),命令:find ./ -mtime 0
5. 查找以.txt结尾的文件名(find),命令:find / -name "*.txt"
6. 查找不是以.txt结尾的文件(find),命令:find / ! -name "*.txt"
排查思路及方法
基本流程:接到应急指令后,与客户沟通,确认信息,定位问题,解决问题。
常见应急问题
大多数应急常见的问题都是挖矿,或者是被植入菠菜
小部分是中了勒索病毒,如果是勒索病毒的话,看看360、腾讯有没有什么
排查思路
接到应急指令后,一般都需要到客户现场去处理的,最好带上电脑和笔记本。
到达现场后,跟客户沟通,我方需要确认一些信息(我在Windows安全应急的第三篇有讲解一些), 方便定位问题,后面客户可能会让你上机操作,或者是使用你自己电脑登录目标机器查找问题。
找出问题 –> 解决问题 –> 编写报告
有句传言道是:扫描一分钟,报告一个钟,
如果是菠菜的话,那要多注意注意是不是修改了网站配置文件还是直接在网页上植入入的链接。
1)进程排查命令
服务器被入侵后,攻击者难免会利用恶意程序来达到自己的目的。
1. 查看当前系统状态(top),top命令:可以持续的监视进程的信息。
挖矿应急通常优先使用top命令来查看系统进程,
一般挖矿病毒站用CPU比较大
2.查看当前系统进程信息(ps),ps命令:可以查看进程的瞬间信息。
常用参数:
-a:显示现行终端机下的所有程序,包括其他用户的程序。
-e:列出程序时,显示每个程序所使用的环境变量。
-f:显示UID,PPIP,C与STIME栏位。
3. 查看非root运行的进程(ps)
命令:ps -U root -u root -N
4. 查看用户root运行的进程(ps),
命令:ps -u root
5. 查看有没有奇怪进程(ps)
命令:ps -aef | grep inetd
grep是搜索命令
inetd程序是一个Linux守护进程.
6. 检测隐藏进程(ps)
命令:ps -ef | awk '{print}' | sort -n |uniq >1
命令:ls /proc | sort -n |uniq >2
sort命令将文本文件内容加以排序,可针对文本文件的内容,以行为单位来排序。-n参数依照数值的大小排序。
uniq命令用于检查及删除文本文件中重复出现的行列,一般与 sort 命令结合使用。
7. 检测系统守护进程(ls)
命令:ls /etc/crontab
2)任务及用户活动排查命令
说明:机器使用过程中难免会留下一些痕迹
1. 查看当前有谁登陆在服务器上(who)
who命令查看当前登录用户(tty本地登陆 pts远程登录)
w命令查看系统信息,想知道某一时刻用户的行为
2. 查看当前登陆用户的IP信息(who)
命令:who -m
3.查看近期用户登陆情况(last)
命令:last -n 5 ## -n 5 表示输出5条
4. 查看历史命令(history)
命令:history 5 ## 5 表示输出最近使用的5条命令
5. 查看空口令账号(awk)
awk是一种编程语言,用于对文本和数据进行处理的
语法:awk [options] ‘pattern{action}’ file
命令:awk -F: '($2=="")' /etc/shadow
没有的话啥都不输出
在没有options和pattern的情况下,可以使用cat命令
6. 查看uid为0的账号(awk)
命令:awk -F: '($3==0)' /etc/passwd
7. 查看uid为0的账号(grep)
命令:grep -v -E "^#" /etc/passwd | awk -F: '$3==0{print $1}'
8. 查看进程树是否所有异常进程存在一个父进程、判断进程的父子关系(pstree)
命令:pstree -p
3)网络排查命令
说明:挖矿病毒避免不了要跟主机通信
1. 列出本机所有的连接和监听的端口,查看有没有非法连接(netstat)
netstat命令用来打印Linux中网络系统的状态信息。 常用参数:
-a或–all:显示所有连线中的Socket。
-c或–continuous:持续列出网络状态。
-i或–interfaces:显示网络界面信息表单。
l或–listening:显示监控中的服务器的Socket。
-n或–numeric:直接使用ip地址,而不通过域名服务器。
-t或–tcp:显示TCP传输协议的连线状况。
-u或–udp:显示UDP传输协议的连线状况。
命令:netstat -lntp
图片
2. 查看谁在使用某个端口(lsof)
lsof命令用于查看你进程开打的文件,打开文件的进程,进程打开的端口(TCP、UDP)。 常用参数:
-g:列出GID号进程详情;
-d<文件号>:列出占用该文件号的进程;
-i<条件>:列出符合条件的进程。(4、6、协议、:端口、 @ip )
-p<进程号>:列出指定进程号所打开的文件;
-u:列出UID号进程详情;
命令:lsof -i :22 # 看看谁在使用22端口
3. 查看多个进程号对应的文件信息(lsof)
命令:lsof -p 2,3 # 使用逗号分隔
4. 查看所有tcp网络连接信息(lsof)
命令:lsof -i tcp
5. 查看所有udp网络连接信息(lsof)
命令:lsof -i udp
4)文件排查命令
说明:服务器被入侵后,攻击者基本上都需要修改一些文件来维持脚本的运行
1. 查看所有文件,包括隐藏的文件(ls)
ls命令用来显示目标列表,不同类型的文件颜色也不同 常用参数:
-a:显示所有文件及目录,包括隐藏文件
-l:以长格式显示目录下的内容列表。
-t:用文件和目录的更改时间排序
命令:ls -la
2. 查看文件路径(whereis)
命令:whereis filename
3. 查看文件创建时间(ls),命令:ls -al filname
4. 查找最近24小时内修改过的文件(find),命令:find ./ -mtime 0
find命令用来在指定目录下查找文件。
参数-mtime n按照文件的更改时间来找文件,n为整数。
例:
-mtime 0 表示文件修改时间距离当前为0天的文件,即距离当前时间不到1天(24小时)以内的文件。
-mtime 1 表示文件修改时间距离当前为1天的文件,即距离当前时间1天(24小时-48小时)的文件。
-mtime+1 表示文件修改时间为大于1天的文件,即距离当前时间2天(48小时)之外的文件
-mtime -1 表示文件修改时间为小于1天的文件,即距离当前时间1天(24小时)之内的文件
5. 查找以.txt结尾的文件名(find),命令:find / -name "*.txt"
忽略大小写,命令:find / -iname "*.txt"
6. 查找不是以.txt结尾的文件(find),命令:find / ! -name "*.txt"
linux服务器系统故障排查相关推荐
- linux服务器无网络确认,Linux服务器故障排查实用指南
[2013年3月25日 51CTO外电头条]由于造成网络问题的因素多种多样,因此网络故障排查技能就成了每位服务器或网络服务负责人必不可少的重要素质.Linux为我们提供了大量网络故障排查工具,在本文中 ...
- linux服务器网络不稳定,Linux服务器故障排查指南7:网络缓慢状况
网络缓慢状况的故障排查 从某种角度来说,网络无法工作的问题更容易解决.当一台主机无法访问,我们可以执行前面讨论过的故障排查步骤直到一切恢复正常.但如果仅仅是网络缓慢,追查其根本原因往往变得更为棘手.本 ...
- Linux服务器故障排查基本方案
服务器架构 服务器系统为Centos7 首先需要知晓系统的对外的架构 一般架构: 1.域名->云服务器(ECS) 2.域名->CDN->云服务器(OSS) 3.域名->CDN- ...
- Linux服务器问题排查工具sar命令 sysstat工具集使用
服务器上遇到服务挂起.内存占用高.CPU核心调度不均衡等特殊状态时,如果需要监控系统实时状态,可以借助sysstat工具集中的工具. 安装 sudo apt install sysstat 或者 su ...
- linux服务器中毒排查--基础篇
先是发现linux常见命令wget,curl不见了,以为是误操作没了,发现历史命令都没了,就很不正常,但是top也没见有啥高消耗进程,就没在意,,yum安装命令时竟然显示安装了,rpm -qa 截取查 ...
- linux系统日志排故方案,Linux系统故障排查思路与常见案例
Linux系统故障排查思路与常见案例 1.Linux系统日志与分类 内核及系统日志 这种日志数据由系统服务syslog统一管理,根据其主配置文件"/etc/syslog.conf" ...
- Linux 系统故障排查和修复技巧
点击上方"民工哥技术之路"选择"置顶或星标" 每天10点为你分享不一样的干货 来源:csghjnbj blog.chinaunix.net/uid-265677 ...
- Linux服务器Cache占用过多内存导致系统内存不足问题的排查解决
Linux服务器Cache占用过多内存导致系统内存不足问题的排查解决 参考文章: (1)Linux服务器Cache占用过多内存导致系统内存不足问题的排查解决 (2)https://www.cnblog ...
- linux cpu不足处理运维,Linux运维知识之Linux服务器CPU占用率较高问题排查思路
本文主要向大家介绍了Linux运维知识之Linux服务器CPU占用率较高问题排查思路,通过具体的内容向大家展现,希望对大家学习Linux运维知识有所帮助. 注意:本文相关配置及说明已在 CentOS ...
最新文章
- 重改mysql名字_如何快速重命名MySQL数据库(更改模式名称)...
- CentOS 6.3下rsync服务器的安装与配置
- VS2019配置PCL
- CVPR 2021 论文和开源项目合集(Papers with Code)
- java 重载 equals_实现Student类的equals重载函数
- 对计算机基础知识的一点感想,浅议对《计算机应用基础》教学感想.doc
- creo工程图模板_Creo工程图的优越性总结(仅供参考),来自网友与君共享
- 【前端基础进阶】JS原型、原型链、对象详解
- 方差分析软件_手把手教你用Graphpad做单因素方差分析
- 超简洁又强大的幻灯片JS、CSS代码,兼容性强
- compileflow 淘宝工作流引擎
- Apache Ant官网下载、安装及环境变量配置过程详细图文说明(以windows系统为例)
- poi导出excel文件加密处理
- 2020-11-30 网络爬虫
- 【HTML粒子流特效】(效果 + 代码)
- 跟小博老师一起学JSP ——通信作用域
- 目前最值得收藏的100个各类资源站
- 解决ping: www.baidu.com: Name or service not known
- 使用selenium 刷票
- 遥感图像的高时空融合前期学习总结