linux 服务器死机了,于是追查原因。

  • 查看boot.log

wade@koala:/var/log$ less boot.log

看不出异常

  • 显示开机信息

wade@koala:/var/log$ less dmesg

区别;(未明)

/var/log/boot.log  ---  System boot log

/var/log/dmesg     ---  print or control the kernel ring buffer

/var/log/messages
看看这个区别

担心有人hack,首先ps -ef 查看了是否有异常的进程。逐个排查,没发现。

  • last 命令查看登录历史

wade@koala:~$ last
wade pts/0 14.*.*.* Sat Aug 16 22:50 still logged in
wade pts/0 14.*.*.* Sat Aug 16 10:47 - 11:20 (00:32)

看到登录的ip 登录的时间,登录的时长

  • 查看auth.log

wade@koala:/var/log$ less auth.log

Aug 10 00:48:10 koala sshd[58696]: refused connect from 116.10.191.175 (116.10.191.175)
Aug 10 00:48:10 koala CRON[37279]: pam_unix(cron:session): session closed for user wade
Aug 10 00:48:26 koala sshd[59316]: refused connect from 116.10.191.175 (116.10.191.175)
Aug 10 00:48:45 koala CRON[27541]: pam_unix(cron:session): session closed for user root
Aug 10 00:48:57 koala sshd[61072]: refused connect from 116.10.191.175 (116.10.191.175)
Aug 10 00:49:01 koala CRON[61923]: pam_unix(cron:session): session opened for user wade by (uid=0)
Aug 10 00:49:23 koala CRON[40733]: pam_unix(cron:session): session closed for user wade
Aug 10 00:49:32 koala sshd[62333]: refused connect from 116.10.191.175 (116.10.191.175)

可以看到有些拒绝的连接,并且来自与异常的地方

您查询的IP:116.10.191.175
    • 本站主数据:广西壮族自治区南宁市 电信

想看看这些登录者都干了什么:

1984 mocha test --compilers coffee:coffee-script
1985 git status
1986 vim ~/.bashrc
1987 cd
1988 vim /etc/hosts
1989 last
1990 history

问题是:区分不哪些是异常登录的时间的命令记录。

于是:vim  ~/.bashrc

export HISTTIMEFORMAT="%F %T "

之后的登录的敲的命令都可以记录如下,带了时间:

1019 2014-08-16 23:29:36 less messages
1020 2014-08-16 23:30:14 ufw status
1021 2014-08-16 23:30:16 sudo ufw status
1022 2014-08-16 23:31:49 sudo ufw status| wc -l

  • 查看防火墙的log

wade@koala:/var/log$ less ufw.log

才发现,原来防火墙抵御了很多攻击:

Aug 10 00:42:41 koala kernel: [2765854.251408] [UFW BLOCK] IN=eth0 OUT= MAC=08:9e:01:49:d7:d6:0c:da:41:15:7a:1c:08:00 SRC=117.57.221.187 DST=14.17.96.17 LEN=40 TOS=0x00 PREC=0x00 TTL=54 ID=4680 DF PROTO=TCP SPT=3045 DPT=80 WINDOW=16560 RES=0x00 ACK FIN URGP=0
Aug 10 00:42:44 koala kernel: [2765857.155576] [UFW BLOCK] IN=eth0 OUT= MAC=08:9e:01:49:d7:d6:0c:da:41:15:7a:1c:08:00 SRC=60.173.26.34 DST=122.13.170.232 LEN=40 TOS=0x00 PREC=0x00 TTL=106 ID=256 PROTO=TCP SPT=6000 DPT=8088 WINDOW=16384 RES=0x00 SYN URGP=0
Aug 10 00:42:57 koala kernel: [2765869.791424] [UFW BLOCK] IN=eth1 OUT= MAC=08:9e:01:49:d7:d7:60:eb:69:d2:36:f1:08:00 SRC=192.168.1.6 DST=192.168.1.7 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=34479 DF PROTO=TCP SPT=54874 DPT=4949 WINDOW=5840 RES=0x00 SYN URGP=0

有异常的ip,也有本地的ip(未明,待查)

  • 同时看了下防火墙的端口,似乎有一些过多的,很不安全。具体有写是不是应该开,待清理。

wade@koala:/var/log$ sudo ufw status| wc -l
70

总结:除了有些异常ip成功登录了,没发现异常,于是改了密码,清理一些开放的端口。

另外,所有这些记录都是可以更改的,包括所有的log, 所有的登录历史,history 命令,都可以改。要是真聪明,这些log都查看不出。

记录一次追查server死机& 登录异常情况的更多相关文章

  1. windows server 2012 开机运行一段时间死机的故障

    环境: 物理机:华为2288 V5 虚拟化:esxi 6.5.2 虚拟操作系统 windwos server 2012 标准版 内安装sql server 和其他应用软件 故障描述:window se ...

  2. 解决Oracle+weblogic系统死机的问题

    前段时间发布的系统(Oracle+weblogic)频繁挂掉,每天早上9点.下午2点高峰期就挂,纠结了很长时间,最终解决,方法描述下. 执行select count(*),status from v$ ...

  3. 一起KVM环境下windows7虚拟机异常死机(BSOD)的问题解决

    先说一下环境: 一.硬件 8台服务器做的超融合架构,软件存储池, 每台服务器是96G内存,两颗Intel(R) Xeon(R) CPU E5-2670 0 @ 2.60GHz,32线程. 每台服务器是 ...

  4. Ubuntu死机解决方法汇总

    为什么不建议强制关机 如果长按电源按键强制关机,有可能损坏硬件或者丢失数据,甚至导致磁盘坏道! 其实, 大部分时候的死机是假死, 不是真死... 有时候鼠标还能动呢. 还有一个原因: 对于平时忠贞不二 ...

  5. APP测试点总结(功能,交互,死机崩溃状态分析,容易出错的检查点)

    APP测试点总结(功能,交互,死机崩溃状态分析,容易出错的检查点) 版权声明:本文为博主原创文章,未经博主允许不得转载. 最近涉足APP端测试,常见检查点总结如下:   一.业务方面: 1.  注册( ...

  6. 【原创】贴个dirtycow(脏牛漏洞)不死机的exploit

    dirtycow官网上几个获得rootshell的exp大都会导致机器死机,在原作者的基础上改进了一下,做个记录: /* * (un)comment correct payload first (x8 ...

  7. [转发]dsdt解决睡眠唤醒死机

    登录 注册 首页 热门话题 最新发布   简单模式 详细模式 dsdt解决睡眠唤醒死机 Leave a reply 首先,感谢x5115x提供了一个相对比较完整的THINKPAD T410在MAC下的 ...

  8. android 常见死机问题--log分析

    http://blog.csdn.net/fangchongbory/article/details/7645815         android 常见死机问题--log分析============ ...

  9. android死机问题

    一般在平时工作中,基本上很多代码可以在eclipse+ndk进行调试,但如果需要用到具体的硬件设备,如媒体播放设备无法模拟的情况下,只能上硬件(盒子或手机)上进行调试.此时唯一的调试手段就是logca ...

随机推荐

  1. C++面向对象实现封装线程池

    body, table{font-family: 微软雅黑; font-size: 13.5pt} table{border-collapse: collapse; border: solid gra ...

  2. PHP和Mysql事物处理

    这几天做支付的时候,又用到了事物,为了方便自己以后查看,今天闲的没事就把以前的东西整理下.(其中引用别人的东西,在这里谢谢他们贡献的代码!) 一.事务处理概述: 事务:是若干事件的集合 事务处理:当所 ...

  3. Bootstrap--思维导图

    Bootstrap--思维导图

  4. 4.1 C++多态的概念及前提条件

    参考:http://www.weixueyuan.net/view/6370.html 总结: 而多态的功能则是将函数名动态绑定到函数入口地址,这样的动态绑定过程称为运行期绑定. 而在运行期绑定的函数 ...

  5. L1-055 谁是赢家

    某电视台的娱乐节目有个表演评审环节,每次安排两位艺人表演,他们的胜负由观众投票和 3 名评委投票两部分共同决定.规则为:如果一位艺人的观众票数高,且得到至少 1 名评委的认可,该艺人就胜出:或艺人的观 ...

  6. easyui再学习的一部分代码

    <%-- Created by IntelliJ IDEA. User: zhen Date: // Time: : To change this template use File | Set ...

  7. 安装ubuntu不能引导win7

    台式机安装了ubuntu导致进不了win7了,2系统在同一硬盘. win7引导需要bootmgr和boot文件夹中的文件,2个东东在winows引导分区根目录下. 我的笔记本安装windows系统分区 ...

  8. 使用Maven+ssm框架搭建一个web项目

    1,前期准备:Eclipse(Mars.2 Release (4.5.2)).jdk1.7.tomcat7.maven3.2.1 2.使用eclipse中的maven新建一个web项目 点击next: ...

  9. awk入门及进阶

    awk是Linux下优良的文本处理工具,有自成一体的编程语法规则,在循环和条件判断语句等方面和C语言很像. 其一般形式是:Pattern1 {ACTIONS; } Pattern2 { ACTIONS ...

  10. DRBD常用管理篇

          在DRBD进入使用阶段之后,要经常查看它的工作状态,通过这些状态来判断DRBD运行情况. 1) 使用drbd-overview命令观察状态      最为简便的方式就是运行drbd-ove ...