0x00 前言 当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失. 常见的应急响应事件分类: web入侵:网页挂马.主页篡改.Webshell 系统入侵:病毒木马.勒索软件.远控后门 网络攻击:DDOS攻击.DNS劫持.ARP欺骗 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Window服务器入侵排…

0x00 前言 ​ 当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失. 常见的应急响应事件分类: web入侵:网页挂马.主页篡改.Webshell 系统入侵:病毒木马.勒索软件.远控后门 网络攻击:DDOS攻击.DNS劫持.ARP欺骗 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Window服务器入…

0x00 前言 ​ 当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失. 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Linux服务器入侵排查的思路. 0x01 入侵排查思路 一.账号安全 基本使用: 1.用户信息文件/etc/passwdroot:x:0:0:root:/root:/bin/bash…

0x01 入侵排查思路 一.账号安全 基本使用: 1.用户信息文件/etc/passwd root:x:0:0:root:/root:/bin/bash account:password:UID:GID:GECOS:directory:shell 2.影子文件/etc/shadow root:$6$7LZU11L9$OrxD.7wkmCopj58AM5azR1M5/fqndWSHJwpniKJhMqPhxxsnpnaAbRkevpsKwBAOpq0JwVs66RE6.8U9ctHGT/:1776…

当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失. 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Linux服务器入侵排查的思路. 一.入侵排查思路 本次linux系统版本为:centos6.5 1.账号安全 用户信息文件 cat /etc//passwd ,如果里面内容比较多使用more  /etc…

深入分析,查找入侵原因 一.检查隐藏帐户及弱口令 检查服务器系统及应用帐户是否存在 弱口令: 检查说明:检查管理员帐户.数据库帐户.MySQL 帐户.tomcat 帐户.网站后台管理员帐户等密码设置是否较为简单,简单的密码很容易被黑客破解. 解决方法:以管理员权限登录系统或应用程序后台,修改为复杂的密码. 风险性:高. 使用 last 命令查看下服务器近期登录的帐户记录,确认是否有可疑 IP 登录过机器: 检查说明:攻击者或者恶意软件往往会往系统中注入隐藏的系统帐户实施提权或其他破坏性的攻击.…

点击上方"开源Linux",选择"设为星标" 回复"学习"获取独家整理的学习资料! 账号安全: 1.用户信息文件 /etc/passwd # 格式:account:password:UID:GID:GECOS:directory:shell # 用户名:密码:用户ID:组ID:用户说明:家目录:登陆之后的 shell root:x:0:0:root:/root:/bin/bash # 查看可登录用户: cat /etc/passwd | grep…

Mysql 高负载排查思路 发现问题 top命令 查看服务器负载,发现 mysql竟然百分之两百的cpu,引起Mysql 负载这么高的原因,估计是索引问题和某些变态SQL语句. 排查思路 1. 确定高负载的类型,top命令看负载高是CPU还是IO. 2. mysql 下执行查看当前的连接数与执行的sql 语句. 3. 检查慢查询日志,可能是慢查询引起负载高. 4. 检查硬件问题,是否磁盘故障问题造成的. 5. 检查监控平台,对比此机器不同时间的负载. 确定负载类型(top) top - :: u…

前言 处理过线上问题的同学基本上都会遇到系统突然运行缓慢,CPU 100%,以及Full GC次数过多的问题.当然,这些问题的最终导致的直观现象就是系统运行缓慢,并且有大量的报警. 本文主要针对系统运行缓慢这一问题,提供该问题的排查思路,从而定位出问题的代码点,进而提供解决该问题的思路. 对于线上系统突然产生的运行缓慢问题,如果该问题导致线上系统不可用,那么首先需要做的就是,导出jstack和内存信息,然后重启系统,尽快保证系统的可用性.这种情况可能的原因主要有两种: 代码中某个位置读取数据量较…

RPC服务超时排查思路- 1.查看服务提供者日志相关信息进行排查- 2.查看消费者的超时时间设置是否合理- 3.查看服务提供者业务逻辑是否有DB操作,有的话看是否有慢SQL- 4.查看服务提供者业务逻辑是否有缓存操作,是否频繁操作缓存- 5.查看服务提供者线程堆栈,有没有hang住线程的请求,有没有阻塞等待,有没有死锁等- 6.查看服务提供者是否有内存溢出,进行相关排查- 7.超时时间设置合理,则考虑是否网络,可以再观察…

前言 之前线上有过一两次OOM的问题,但是每次定位问题都有点手足无措的感觉,刚好利用星期天,以测试环境为模版来学习一下Linux常用的几个排查问题的命令. 也可以帮助自己在以后的工作中快速的排查线上问题. jmap命令 jmap -heap pid 输出当前进程 JVM 堆新生代.老年代.持久代等请情况,GC 使用的算法等信息 jmap -histo:live {pid} | head -n 10 输出当前进程内存中所有对象包含的大小 jmap -dump:format=b,file=/usr/…

一个基于 Linux 操作系统的服务器运行的同时,也会表征出各种各样参数信息.通常来说运维人员.系统管理员会对这些数据会极为敏感,但是这些参数对于开发者来说也十分重要,尤其当你的程序非正常工作的时候,这些蛛丝马迹往往会帮助快速定位跟踪问题. 这里只是一些简单的工具查看系统的相关参数,当然很多工具也是通过分析加工 /proc./sys 下的数据来工作的,而那些更加细致.专业的性能监测和调优,可能还需要更加专业的工具(perf.systemtap 等)和技术才能完成哦. 毕竟来说,系统性能监控本身就…

You need to enable JavaScript to run this app.   原文内容来自于LZ(楼主)的印象笔记,如出现排版异常或图片丢失等情况,可查看当前链接:https://app.yinxiang.com/fx/bf7839b3-5f7b-4212-9f7d-5f5577e952ea MySql CPU彪高到百分之1000的排查思路   查看当前MySql的CPU已经在百分之 1019   下述为当前MySql的所以子线程的CPU使用状况,可以看到当前已经有11个线程…

Flink 支持 Standalone 独立部署和 YARN.Kubernetes.Mesos 等集群部署模式,其中 YARN 集群部署模式在国内的应用越来越广泛.Flink 社区将推出 Flink on YARN 应用解读系列文章,分为上.下两篇.上篇分享了基于 FLIP-6 重构后的资源调度模型介绍 Flink on YARN 应用启动全流程,本文将根据社区大群反馈,解答客户端和 Flink Cluster 的常见问题,分享相关问题的排查思路. 客户端常见问题与排查思路 ▼ 应用提交控制台异…

〇.一件事儿 以下分析是站在Java工程师的角度来分析的. 一.CPU分析 分析CPU的繁忙程度,两个指标:系统负载和CPU利用率 1.系统负载分析 系统负载:在Linux系统中表示,一段时间内正在执行进程数和CPU运行队列中就绪等待进程数,以及非常重要的休眠但不可中断的进程数的平均值(具体load值的计算方式,有兴趣可以自行深究,这里不深究).说白了就是,系统负载与R(Linux系统之进程状态)和D(Linux系统之进程状态)状态的进程有关,这两个状态的进程越多,负载越高. 查看系统负载,见t…

本文将帮助你厘清在Kubernetes中调试 deployment的思路.下图是完整的故障排查思路,如果你想获得更清晰的图片,请在公众号后台(RancherLabs)回复"troubleshooting". 当你希望在Kubernetes中部署一个应用程序,你通常需要定义三个组件: Deployment--这是创建名为Pods的应用程序副本的方法 Serivce--内部负载均衡器,将流量路由到Pods Ingress--可以描述流量如何从集群外部流向Service 接下来,我们通过图片…

k8s集群应用例如jenkins启动问题排查思路 待办 rancher上的事件报告>pods日志>pods内容器日志(现获取容器id再查看容器日志,获取容器id 使用的是相应问题pod的名来抓取,docker ps | grep "podname"…

本章知识相关考试:1.企业场景面试题:Linux系统如何优化?2.企业场景面试题:SSH服务连不上,如何排查?记住回答技巧: 1 ping  2 telnet 客户端ssh工具:SecureCRT,xshell,Putty .服务端ssh服务:进程名:sshd,openssh,openssl . SSH故障排查思路:1.第一步:物理链路是否有问题,比喻为“高速路是否修通”?(客户端执行)ping ip            排查客户端到服务端线路问题,ping是常用的网络连通性检查工具.trac…

说明: 在后端编写业务逻辑时,可能会遇到异常抛出处理的情况,后端通常会通过throw出一个异常,然后通过@RestControllerAdvice注解标注自定义类进行统一处理,前端再将接收到的结果解析. 异常处理类 @RestControllerAdvice @Slf4j public class GlobalExceptionHandler { /** * 基础异常 */ @ExceptionHandler(BaseException.class) public ResultVo baseEx…

FeignClient注解属性configuration不生效问题排查思路 问题背景 我们知道,"如果需要自定义单个Feign配置,Feign的@Configuration 注解的类不能与@ComponentScan 的包重叠,这样会如果包重叠,将会导致所有的Feign Client都会使用该配置",所以正常使用时,我们在注解上指定单独自定义的配置,不使其全局生效.具体使用教程见我的这篇分享. 但有的小伙伴出现了,指定了configuration 却仍旧不生效的问题,博主本人最近也碰见…

本文已收录 https://github.com/lkxiaolou/lkxiaolou 欢迎star. 不想看字的同学可直接划到底部查看思维导图 问题分析 使用过Dubbo的朋友很多都碰到过如下报错: No provider available for the service org.newboo.basic.api.MyDemoService from registry 127.0.0.1:2181 on the consumer 127.0.0.1 using the dubbo vers…

目录 一.为何会被入侵? 二.排查 入侵排查 检查是否还存在被登陆可能 计划任务 被修改的文件 筛选日志 日志恢复 找到异常进程-1 找到异常进程-2 找到异常进程-3 找到异常进程-4 三.总结 一.为何会被入侵? 开放了22远程登陆,开放了外网,就有可能被暴力破解登陆,对方一直尝试root密码而登陆进去了. 也有可能开放的服务,例如nginx,mysql或者redis(默认没有密码),因为某些漏洞,从而被黑客进入到系统之中. 被入侵后如果还有潜伏程序,将会有如下特征 1.启动一个程序一直运行…

Oracle数据库丢失表排查思路 说明:由于系统采用ID取模分表法进行Oracle数据存储,某日发现Oracle数据库中缺少对应的几张业务数据表,遂进行相关问题查询,简单记录一下排查思路: 由于我们代码中实现思路是判断如果没有对应的表会自动创建,所以首先需要查询一下缺失数据库表的创建时间 SELECT * FROM dba_objects where OBJECT_NAME LIKE 'LOG_5%' AND owner = 'Geoff'; 通过查询Oracle执行SQL历史记录,数据库表的删…

欢迎来到 GreatSQL社区分享的MySQL技术文章,如有疑问或想学习的内容,可以在下方评论区留言,看到后会进行解答 一.简介 在开始排错之前我们需要知道 Update 在 MySQL 中的生命周期是什么,MySQL 如何执行一个事务的. 理解了如何执行,我们才知道如何去排查故障. 二.Update 生命周期 Server 层阶段 2.1 连接器 客户端发起一个 TCP 请求后,MySQL Server 端会负责通信协议处理.线程处理.账号认证.安全检查. 2.2 分析器 MySQL Serv…

用户在使用数据库过程中,经常会发现如果会话空闲一段时间,会话有可能断开,需要重连.这个问题影响因素很多,包括数据库参数设置.操作系统参数.防火墙等.以下介绍KingbaseES针对该问题的排查思路. 一.数据库参数检查 test=# select name,setting from sys_settings where name='client_idle_timeout'; name | setting ---------------------+--------- client_idle_ti…

1.深入分析,查找入侵原因 1.1 检查帐户和弱口令 1.查看服务器已有系统或应用帐户是否存在弱口令 检查说明:主要检查系统管理员帐户.网站后台帐户.数据库帐户以及其他应用程序(FTP.Tomcao.phpMyAdmin 等)帐户是否存在弱口令 检查方法:根据实际情况自行确认. 风险性:高 2.查看下服务器内是否有非系统和用户本身创建的帐户 检查说明:一般黑客创建的异常账户帐户名会在本地用户组显示出来 检查方法:打开 cmd 窗口,输入 lusrmgr.msc 命令,查看是否有新增的账号,如有管…

检查系统信息.用户账号信息 系统信息 ● 查看系统版本以及补丁信息 systeminfo 用户账号信息 ● 基本使用 ○ 创建普通账号并加入administrarors 组 net user test 123456 /add net localgroup administrators test /add ● 创建隐藏账号 net user test$ /add ● 创建克隆账户 进入注册表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users Names…

一般情况下,对WIN7的远程连接只需要5步即可完成远程连接的设置: 1).用户是否设置了密码 2).计算机属性-允许远程登录 3).设置计算机永不睡眠 4).关闭防火墙或者设置入站规则 5).排查Remote Desktop Services 进程是否开启…

一.绪论: WannaCry是一款基于NSA的永恒之蓝漏洞(SMB-MS17-010)类似蠕虫似传播的一款勒索软件(Ransomware).一旦中招,该勒索病毒会对系统中的各种文件进行加密,比要求支付赎金进行解密. 对于该类勒索软件及其变种应急思路如下. 二.本机保护: 0.对于内网已有报警,但尚未感染或者开机的主机:拔掉网线后启动,备份重要数据,使用ACL限制135.139.445端口的入站,最好及时安装补丁. 1.如果本机安装有安全防护软件,限制了勒索软件的运行,则本机数据安全无虞,此时也不…

1 准备工作   检查人员应该可以物理接触可疑的系统.因为黑客可能侦测到你可以在检查系统,例如网络监听,所以物理接触会比远程控制更好. 为了当做法庭证据可能需要将硬盘做实体备份.如果需要,断开所有与可疑机器的网络连接. 做入侵检查时,检查人员需要一台PC对检查的过程进行检查项目的结果记录. 请维护可疑服务器人员或者PC使用人员来配合,来确定机器上运行的服务和安装的软件,便于安全检查人员提交检查的效率和准确性. 2 基本检查点   检测不正常账户 查找被新增的账号,特别是管理员群组的(Admini…