linux 服务器死机了,于是追查原因。

  • 查看boot.log

wade@koala:/var/log$ less boot.log

看不出异常

  • 显示开机信息

wade@koala:/var/log$ less dmesg

区别;(未明)

/var/log/boot.log  ---  System boot log

/var/log/dmesg     ---  print or control the kernel ring buffer

/var/log/messages
看看这个区别

担心有人hack,首先ps -ef 查看了是否有异常的进程。逐个排查,没发现。

  • last 命令查看登录历史

wade@koala:~$ last
wade pts/0 14.*.*.* Sat Aug 16 22:50 still logged in
wade pts/0 14.*.*.* Sat Aug 16 10:47 - 11:20 (00:32)

看到登录的ip 登录的时间,登录的时长

  • 查看auth.log

wade@koala:/var/log$ less auth.log

Aug 10 00:48:10 koala sshd[58696]: refused connect from 116.10.191.175 (116.10.191.175)
Aug 10 00:48:10 koala CRON[37279]: pam_unix(cron:session): session closed for user wade
Aug 10 00:48:26 koala sshd[59316]: refused connect from 116.10.191.175 (116.10.191.175)
Aug 10 00:48:45 koala CRON[27541]: pam_unix(cron:session): session closed for user root
Aug 10 00:48:57 koala sshd[61072]: refused connect from 116.10.191.175 (116.10.191.175)
Aug 10 00:49:01 koala CRON[61923]: pam_unix(cron:session): session opened for user wade by (uid=0)
Aug 10 00:49:23 koala CRON[40733]: pam_unix(cron:session): session closed for user wade
Aug 10 00:49:32 koala sshd[62333]: refused connect from 116.10.191.175 (116.10.191.175)

可以看到有些拒绝的连接,并且来自与异常的地方

您查询的IP:116.10.191.175
    • 本站主数据:广西壮族自治区南宁市 电信

想看看这些登录者都干了什么:

1984 mocha test --compilers coffee:coffee-script
1985 git status
1986 vim ~/.bashrc
1987 cd
1988 vim /etc/hosts
1989 last
1990 history

问题是:区分不哪些是异常登录的时间的命令记录。

于是:vim  ~/.bashrc

export HISTTIMEFORMAT="%F %T "

之后的登录的敲的命令都可以记录如下,带了时间:

1019 2014-08-16 23:29:36 less messages
1020 2014-08-16 23:30:14 ufw status
1021 2014-08-16 23:30:16 sudo ufw status
1022 2014-08-16 23:31:49 sudo ufw status| wc -l

  • 查看防火墙的log

wade@koala:/var/log$ less ufw.log

才发现,原来防火墙抵御了很多攻击:

Aug 10 00:42:41 koala kernel: [2765854.251408] [UFW BLOCK] IN=eth0 OUT= MAC=08:9e:01:49:d7:d6:0c:da:41:15:7a:1c:08:00 SRC=117.57.221.187 DST=14.17.96.17 LEN=40 TOS=0x00 PREC=0x00 TTL=54 ID=4680 DF PROTO=TCP SPT=3045 DPT=80 WINDOW=16560 RES=0x00 ACK FIN URGP=0
Aug 10 00:42:44 koala kernel: [2765857.155576] [UFW BLOCK] IN=eth0 OUT= MAC=08:9e:01:49:d7:d6:0c:da:41:15:7a:1c:08:00 SRC=60.173.26.34 DST=122.13.170.232 LEN=40 TOS=0x00 PREC=0x00 TTL=106 ID=256 PROTO=TCP SPT=6000 DPT=8088 WINDOW=16384 RES=0x00 SYN URGP=0
Aug 10 00:42:57 koala kernel: [2765869.791424] [UFW BLOCK] IN=eth1 OUT= MAC=08:9e:01:49:d7:d7:60:eb:69:d2:36:f1:08:00 SRC=192.168.1.6 DST=192.168.1.7 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=34479 DF PROTO=TCP SPT=54874 DPT=4949 WINDOW=5840 RES=0x00 SYN URGP=0

有异常的ip,也有本地的ip(未明,待查)

  • 同时看了下防火墙的端口,似乎有一些过多的,很不安全。具体有写是不是应该开,待清理。

wade@koala:/var/log$ sudo ufw status| wc -l
70

总结:除了有些异常ip成功登录了,没发现异常,于是改了密码,清理一些开放的端口。

另外,所有这些记录都是可以更改的,包括所有的log, 所有的登录历史,history 命令,都可以改。要是真聪明,这些log都查看不出。

记录一次追查server死机& 登录异常情况的更多相关文章

  1. windows server 2012 开机运行一段时间死机的故障

    环境: 物理机:华为2288 V5 虚拟化:esxi 6.5.2 虚拟操作系统 windwos server 2012 标准版 内安装sql server 和其他应用软件 故障描述:window se ...

  2. 解决Oracle+weblogic系统死机的问题

    前段时间发布的系统(Oracle+weblogic)频繁挂掉,每天早上9点.下午2点高峰期就挂,纠结了很长时间,最终解决,方法描述下. 执行select count(*),status from v$ ...

  3. 一起KVM环境下windows7虚拟机异常死机(BSOD)的问题解决

    先说一下环境: 一.硬件 8台服务器做的超融合架构,软件存储池, 每台服务器是96G内存,两颗Intel(R) Xeon(R) CPU E5-2670 0 @ 2.60GHz,32线程. 每台服务器是 ...

  4. Ubuntu死机解决方法汇总

    为什么不建议强制关机 如果长按电源按键强制关机,有可能损坏硬件或者丢失数据,甚至导致磁盘坏道! 其实, 大部分时候的死机是假死, 不是真死... 有时候鼠标还能动呢. 还有一个原因: 对于平时忠贞不二 ...

  5. APP测试点总结(功能,交互,死机崩溃状态分析,容易出错的检查点)

    APP测试点总结(功能,交互,死机崩溃状态分析,容易出错的检查点) 版权声明:本文为博主原创文章,未经博主允许不得转载. 最近涉足APP端测试,常见检查点总结如下:   一.业务方面: 1.  注册( ...

  6. 【原创】贴个dirtycow(脏牛漏洞)不死机的exploit

    dirtycow官网上几个获得rootshell的exp大都会导致机器死机,在原作者的基础上改进了一下,做个记录: /* * (un)comment correct payload first (x8 ...

  7. [转发]dsdt解决睡眠唤醒死机

    登录 注册 首页 热门话题 最新发布   简单模式 详细模式 dsdt解决睡眠唤醒死机 Leave a reply 首先,感谢x5115x提供了一个相对比较完整的THINKPAD T410在MAC下的 ...

  8. android 常见死机问题--log分析

    http://blog.csdn.net/fangchongbory/article/details/7645815         android 常见死机问题--log分析============ ...

  9. android死机问题

    一般在平时工作中,基本上很多代码可以在eclipse+ndk进行调试,但如果需要用到具体的硬件设备,如媒体播放设备无法模拟的情况下,只能上硬件(盒子或手机)上进行调试.此时唯一的调试手段就是logca ...

随机推荐

  1. 熔断监控面板(Hystrix Dashboard)

    Hystrix Dashboard Hystrix-dashboard是一款针对Hystrix进行实时监控的工具,通过Hystrix Dashboard我们可以在直观地看到各Hystrix Comma ...

  2. Spring MVC之DispatcherServlet初始化详解

    Spring作为一个优秀的web框架,其运行是基于Tomcat的.在我们前面的讲解中,Spring的驱动都是使用的ClassPathXmlApplicationContext,并且都是直接在main方 ...

  3. CentOS7安装配置Bacular

    参考: http://blog.51cto.com/molewan/2045602 https://blog.csdn.net/heshangkung/article/details/47955023 ...

  4. android 自定义命名空间 http://schemas.android.com/apk/res-auto

    XML中用 xmlns="http://schemas.android.com/apk/res-auto" 获取自定义属性值: public static String NAMES ...

  5. Docker(3):Dockerfile介绍及简单示例

    Dockerfile 概念 Dockerfile是由一系列命令和参数构成的脚本,这些命令应用于基础镜像并最终创建一个新的镜像.它们简化了从头到尾的流程并极大的简化了部署工作.Dockerfile从FR ...

  6. 漫步Java------初识java

    一. Java语言概述 语言:是人与人之间用于沟通的一种方式. 例如:中国人与中国人用普通话沟通.而中国人要和英国人交流,就要学习英语. 计算机语言(编程语言): 人与计算机交流的方式.如果人要与计算 ...

  7. Beta阶段冲刺---Day5

    一.Daily Scrum Meeting照片 二.今天冲刺情况反馈 昨天已完成的工作: (1)闯关模式界面设计: (2)主界面做了相应修改: (3)RankActivity修改. (4)RANKli ...

  8. Python基础3切片,字符串的方法,for 循环

    切片:截取序列(字符串,列表,元组等)中某一段字符,并不改变原数据和数据类型.结构:[起始位置:终止位置:步长]  但不包括终止位置.所谓:顾头不顾尾. 索引:序列中每个元素都是有编号的,都是从0开始 ...

  9. Spring Boot 揭秘与实战(二) 数据存储篇 - ElasticSearch

    文章目录 1. 版本须知 2. 环境依赖 3. 数据源 3.1. 方案一 使用 Spring Boot 默认配置 3.2. 方案二 手动创建 4. 业务操作5. 总结 4.1. 实体对象 4.2. D ...

  10. [转]TCP滑动窗口详解

    TCP滑动窗口详解  http://lyjdamzwf.blog.163.com/blog/static/75206837201193373226/ TCP滑动窗口(Sliding Window)   ...