本周二的时候,涛哥找我,说明了一件事,在安装ganglia的时候,发生的一个问题. 在一台suse 10 sp1的服务器上,安装ganglia的一个依赖包,libconfuse.rpm,安装完成之后, 执行任何命令都会出现段错误的提示,而且无法再次ssh登录,也无法直接console登录. ssh登录,提示握手的时候错误,console登录提示init失败,请等等五分钟. 根据所有这些提示找到的解决方案都不适用于我们的情况. 其实在这个时候,涛哥给我讲了一件事,说前两天也发生过类似的事情,说是库…

开篇前言 Linux服务器一直给我们的印象是安全.稳定.可靠,性能卓越.由于一来Linux本身的安全机制,Linux上的病毒.木马较少,二则由于宣称Linux是最安全的操作系统,导致很多人对Linux的安全性有个误解:以为它永远不会感染病毒.木马:以为它没有安全漏洞.所以很多Linux服务器都是裸奔的.其实在这次事件之前,我对Linux的安全性方面的认识.重视程度也是有所不足的.系统的安全性是相对而言的,没有绝对的安全,风险无处不在.   案例描述 我们在云端(中信国际电讯CPC)的一台Linu…

中毒原因,redis bind 0.0.0.0 而且没有密码,和安全意识太薄弱. 所以,redis一定要设密码,改端口,不要用root用户启动,如果业务没有需要,不要bind 0.0.0.0!!!!!!!!!!! 这个病毒能都横向传播,不要以为在外网redis的端口不通就没有事情.只要内网里有机器感染了病毒,就可以继续感染. 病症:CPU被不明进程吃满. 该病毒主要是通过,crontab定时任务,向指定网站下载脚本,运行进行挖矿. 通过crontab -l 就能查看 */15 * * * * (…

开始排查 首先检查日志,以前做过安全运维,所以写过类似于检查命令和工具,开始一一排查. #查看是否为管理员增加或者修改 find / -type f -perm #显示文件中查看是否存在系统以外的文件 rpm -Vf /bin/ls rpm -Vf /usr/sbin/sshd rpm -Vf /sbin/ifconfig rpm -Vf /usr/sbin/lsof #检查系统是否有elf文件被替换 #在web目录下运行 grep -r "getRuntime" ./ #查看是否有木…

近日接到客户求助,他们收到托管电信机房的信息,通知检测到他们的一台服务器有对外发送攻击流量的行为.希望我们能协助排查问题. 一.确认安全事件 情况紧急,首先要确认安全事件的真实性.经过和服务器运维人员沟通,了解到业务只在内网应用,但服务器竟然放开到公网了,能在公网直接ping通,且开放了22远程端口.从这点基本可以确认服务器已经被入侵了. 二.日志分析 猜想黑客可能是通过SSH暴破登录服务器.查看/var/log下的日志,发现大部分日志信息已经被清除,但secure日志没有被破坏,可以看到大量S…

在阿里云ECS Linux服务器运维过程中,如果发现某些IP访问异常,如怀疑有攻击行为或者怀疑是别人写的爬虫程序长时间占用你的服务器资源,则可以通过相关的设置来禁止这些IP段的访问,拒绝这些IP的请求. 根据官方给出的资料,我们可以通过以下两种方式来屏蔽这些IP. 一.通过对配置文件vim /etc/hosts.deny 进行修改配置,使用sshd.httpd等关键字添加相应的限制规则. sshd:39.177.140.52  #禁止39.177.140.52对服务器SSH的访问 sshd:20…

Linux服务器在使用过程中,经常会有除自己之外的其他人员使用.并不是每个人都对Linux服务器特别熟悉,难免会有一些操作导致服务器报错. 因此,监控Linux服务器的操作并记录下来,是非常有必要的! history是查询当前连接所操作的命令,通过编写以下内容添加至/etc/profile的原有内容之后,将每个连接的操作都进行记录,并保存在特定位置. vi /etc/profile 添加内容如下: #history record history RQ=`date "+%Y%m%d"`…

记一次Linux系统被入侵的过程 1. 前期现象 前期现象,宋组那边反应开发环境192.161.14.98这台机器通过公网下载文件,很慢,ping百度丢包严重.因为这台机器是通过楼下adsl拨号上网,于是连上去ping该网段网关(192.168.3.1),发现内网都丢包. 2.问题排查 2.1前期排查 2.1.1排查是不是14.98这台机器的问题 为排查是不是192.161.14.98这台机器的问题,通过发现抓包发现.Arp包.和广播包都比较比较多,考虑到是不是DOS攻击,然后在登录adsl开启…

linux 服务器更主板后无法识别网卡处理过程   服务器故障报修,主板坏,更换主板后无法识别网卡,ifconfig 查看只显示:lo loopback 127.0.0.1. 系统加载网卡驱动后会去读一个文件,这个文件是一个缓存文件,包含了网卡的mac地址,因为更换了主板,网卡的mac也变动了,但是这个文件的mac还是没有变,所以现有的网卡mac地址和文件里的不同,所以系统就拒绝启动,把这个文件删除后重启系统就可以了 这个文件是: /etc/udev/rules.d/70-persistent-…

首先你要有一个完整的web应用的小Demo,一个简单的demo就可以了,但是要涉及到数据库,笔者这里简单的模拟一个登陆的过程. 在本地测试,访问项目: 键入账号密码,点击登陆: 就是这么个简单的动作,下面把它部署到linux服务器上,在linux服务器上需要安装jdk(1.8).tomcat8.mysql.这里先用本机的虚拟机里的linux做模拟,后边再部署到真正的服务器上,这里使用的linux是CentOS6.使用Xshell连接安装好的linux系统,点击Xftp工具,将所需的安装包上传到服…