linux 服务器死机了,于是追查原因。

  • 查看boot.log

wade@koala:/var/log$ less boot.log

看不出异常

  • 显示开机信息

wade@koala:/var/log$ less dmesg

区别;(未明)

/var/log/boot.log  ---  System boot log

/var/log/dmesg     ---  print or control the kernel ring buffer

/var/log/messages
看看这个区别

担心有人hack,首先ps -ef 查看了是否有异常的进程。逐个排查,没发现。

  • last 命令查看登录历史

wade@koala:~$ last
wade pts/0 14.*.*.* Sat Aug 16 22:50 still logged in
wade pts/0 14.*.*.* Sat Aug 16 10:47 - 11:20 (00:32)

看到登录的ip 登录的时间,登录的时长

  • 查看auth.log

wade@koala:/var/log$ less auth.log

Aug 10 00:48:10 koala sshd[58696]: refused connect from 116.10.191.175 (116.10.191.175)
Aug 10 00:48:10 koala CRON[37279]: pam_unix(cron:session): session closed for user wade
Aug 10 00:48:26 koala sshd[59316]: refused connect from 116.10.191.175 (116.10.191.175)
Aug 10 00:48:45 koala CRON[27541]: pam_unix(cron:session): session closed for user root
Aug 10 00:48:57 koala sshd[61072]: refused connect from 116.10.191.175 (116.10.191.175)
Aug 10 00:49:01 koala CRON[61923]: pam_unix(cron:session): session opened for user wade by (uid=0)
Aug 10 00:49:23 koala CRON[40733]: pam_unix(cron:session): session closed for user wade
Aug 10 00:49:32 koala sshd[62333]: refused connect from 116.10.191.175 (116.10.191.175)

可以看到有些拒绝的连接,并且来自与异常的地方

您查询的IP:116.10.191.175
    • 本站主数据:广西壮族自治区南宁市 电信

想看看这些登录者都干了什么:

1984 mocha test --compilers coffee:coffee-script
1985 git status
1986 vim ~/.bashrc
1987 cd
1988 vim /etc/hosts
1989 last
1990 history

问题是:区分不哪些是异常登录的时间的命令记录。

于是:vim  ~/.bashrc

export HISTTIMEFORMAT="%F %T "

之后的登录的敲的命令都可以记录如下,带了时间:

1019 2014-08-16 23:29:36 less messages
1020 2014-08-16 23:30:14 ufw status
1021 2014-08-16 23:30:16 sudo ufw status
1022 2014-08-16 23:31:49 sudo ufw status| wc -l

  • 查看防火墙的log

wade@koala:/var/log$ less ufw.log

才发现,原来防火墙抵御了很多攻击:

Aug 10 00:42:41 koala kernel: [2765854.251408] [UFW BLOCK] IN=eth0 OUT= MAC=08:9e:01:49:d7:d6:0c:da:41:15:7a:1c:08:00 SRC=117.57.221.187 DST=14.17.96.17 LEN=40 TOS=0x00 PREC=0x00 TTL=54 ID=4680 DF PROTO=TCP SPT=3045 DPT=80 WINDOW=16560 RES=0x00 ACK FIN URGP=0
Aug 10 00:42:44 koala kernel: [2765857.155576] [UFW BLOCK] IN=eth0 OUT= MAC=08:9e:01:49:d7:d6:0c:da:41:15:7a:1c:08:00 SRC=60.173.26.34 DST=122.13.170.232 LEN=40 TOS=0x00 PREC=0x00 TTL=106 ID=256 PROTO=TCP SPT=6000 DPT=8088 WINDOW=16384 RES=0x00 SYN URGP=0
Aug 10 00:42:57 koala kernel: [2765869.791424] [UFW BLOCK] IN=eth1 OUT= MAC=08:9e:01:49:d7:d7:60:eb:69:d2:36:f1:08:00 SRC=192.168.1.6 DST=192.168.1.7 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=34479 DF PROTO=TCP SPT=54874 DPT=4949 WINDOW=5840 RES=0x00 SYN URGP=0

有异常的ip,也有本地的ip(未明,待查)

  • 同时看了下防火墙的端口,似乎有一些过多的,很不安全。具体有写是不是应该开,待清理。

wade@koala:/var/log$ sudo ufw status| wc -l
70

总结:除了有些异常ip成功登录了,没发现异常,于是改了密码,清理一些开放的端口。

另外,所有这些记录都是可以更改的,包括所有的log, 所有的登录历史,history 命令,都可以改。要是真聪明,这些log都查看不出。

记录一次追查server死机& 登录异常情况的更多相关文章

  1. windows server 2012 开机运行一段时间死机的故障

    环境: 物理机:华为2288 V5 虚拟化:esxi 6.5.2 虚拟操作系统 windwos server 2012 标准版 内安装sql server 和其他应用软件 故障描述:window se ...

  2. 解决Oracle+weblogic系统死机的问题

    前段时间发布的系统(Oracle+weblogic)频繁挂掉,每天早上9点.下午2点高峰期就挂,纠结了很长时间,最终解决,方法描述下. 执行select count(*),status from v$ ...

  3. 一起KVM环境下windows7虚拟机异常死机(BSOD)的问题解决

    先说一下环境: 一.硬件 8台服务器做的超融合架构,软件存储池, 每台服务器是96G内存,两颗Intel(R) Xeon(R) CPU E5-2670 0 @ 2.60GHz,32线程. 每台服务器是 ...

  4. Ubuntu死机解决方法汇总

    为什么不建议强制关机 如果长按电源按键强制关机,有可能损坏硬件或者丢失数据,甚至导致磁盘坏道! 其实, 大部分时候的死机是假死, 不是真死... 有时候鼠标还能动呢. 还有一个原因: 对于平时忠贞不二 ...

  5. APP测试点总结(功能,交互,死机崩溃状态分析,容易出错的检查点)

    APP测试点总结(功能,交互,死机崩溃状态分析,容易出错的检查点) 版权声明:本文为博主原创文章,未经博主允许不得转载. 最近涉足APP端测试,常见检查点总结如下:   一.业务方面: 1.  注册( ...

  6. 【原创】贴个dirtycow(脏牛漏洞)不死机的exploit

    dirtycow官网上几个获得rootshell的exp大都会导致机器死机,在原作者的基础上改进了一下,做个记录: /* * (un)comment correct payload first (x8 ...

  7. [转发]dsdt解决睡眠唤醒死机

    登录 注册 首页 热门话题 最新发布   简单模式 详细模式 dsdt解决睡眠唤醒死机 Leave a reply 首先,感谢x5115x提供了一个相对比较完整的THINKPAD T410在MAC下的 ...

  8. android 常见死机问题--log分析

    http://blog.csdn.net/fangchongbory/article/details/7645815         android 常见死机问题--log分析============ ...

  9. android死机问题

    一般在平时工作中,基本上很多代码可以在eclipse+ndk进行调试,但如果需要用到具体的硬件设备,如媒体播放设备无法模拟的情况下,只能上硬件(盒子或手机)上进行调试.此时唯一的调试手段就是logca ...

随机推荐

  1. 【IAP支付之三】苹果IAP安全支付与防范 receipt收据验证

    这里网上的朋友已经介绍的很详细了,具体的链接已经无法找到了. 这里主要说几点本人在开发中遇到的问题: 1.漏单必须要处理,玩家花RMB购买的东西却丢失了,是绝对不能容忍的.所谓的漏单就是玩家已经正常付 ...

  2. Mysql InnoDB三大特性-- change buffer

    Mysql InnoDB三大特性-- change buffer

  3. freemarker中的null异常处理以及!与??的使用(转)

    原文链接: https://blog.csdn.net/mexican_jacky/article/details/50638062 阅读数:6304 如工程包含: 在user中我们有个角色,那么我们 ...

  4. findbugs 安装及使用

    1.eclipse安装findbugs插件 Help -> install new softWare 输入 http://findbugs.cs.umd.edu/eclipse 2.使用find ...

  5. PODOFO编译

    由于LibHaru库只能创建PDF,所以只能换了. PODOFO项目的依赖项目有: FreeType2: https://sourceforge.net/projects/freetype/files ...

  6. apache 服务器配置

    第一.强制www域名301跳转 RewriteEngine onRewriteCond %{HTTP_HOST} ^itbulu\.com [NC]RewriteRule ^(.*)$ https:/ ...

  7. linux 部署之路 修行不够全靠悟

    考虑到很多孩子不会Linux或Mysql,所以我这里提示一下, 这篇教程里 "有多行代码" 的是给你展示结果的,不用你敲 只有一行的才是要你自己敲进去的.   1.首先更新一下仓库 ...

  8. 1--Jmeter4.0连接Oracle数据库

    一.Jmeter要连接oracle数据库,就必须复制JDBC驱动jar包文件ojdbc5.jar或者ojdbc6.jar到Jmeter的lib目录下 路径:oracle安装目录\jdbc\lib 二. ...

  9. HDU 6063 17多校3 RXD and math(暴力打表题)

    Problem Description RXD is a good mathematician.One day he wants to calculate: ∑i=1nkμ2(i)×⌊nki−−−√⌋ ...

  10. [JetBrains注册] 利用教育邮箱注册JetBrains产品(pycharm、idea等)的方法

    我们在使用JetBrains的一些产品时,大多使用网上的一些key去注册或者pojie的,但是由于提供这些key的服务器并不能保证稳定可用,所以可能一段时间我们使用的ide又需要重新pojie. 这里 ...