記錄一次追查server宕機 登入異常情況

2021-09-08 22:04:49 字數 2940 閱讀 8527

linux 伺服器宕機了,於是追查原因。

wade@koala:/var/log$ less boot.log

看不出異常

wade@koala:/var/log$ less dmesg

區別;(未明)

/var/log/boot.log  ---  system boot log

/var/log/dmesg --- print or control the kernel ring buffer

/var/log/messages

看看這個區別

擔心有人hack,首先ps -ef 檢視了是否有異常的程序。逐個排查,沒發現。

wade@koala:~$ last

wade pts/0 14.*.*.* sat aug 16 22:50 still logged in

wade pts/0 14.*.*.* sat aug 16 10:47 - 11:20 (00:32)

看到登入的ip 登入的時間,登入的時長

wade@koala:/var/log$ less auth.log

aug 10 00:48:10 koala sshd[58696]: refused connect from 116.10.191.175 (116.10.191.175)

aug 10 00:48:10 koala cron[37279]: pam_unix(cron:session): session closed for user wade

aug 10 00:48:26 koala sshd[59316]: refused connect from 116.10.191.175 (116.10.191.175)

aug 10 00:48:45 koala cron[27541]: pam_unix(cron:session): session closed for user root

aug 10 00:48:57 koala sshd[61072]: refused connect from 116.10.191.175 (116.10.191.175)

aug 10 00:49:01 koala cron[61923]: pam_unix(cron:session): session opened for user wade by (uid=0)

aug 10 00:49:23 koala cron[40733]: pam_unix(cron:session): session closed for user wade

aug 10 00:49:32 koala sshd[62333]: refused connect from 116.10.191.175 (116.10.191.175)

可以看到有些拒絕的連線,並且來自與異常的地方

想看看這些登入者都幹了什麼:

1984 mocha test --compilers coffee:coffee-script

1985 git status

1986 vim ~/.bashrc

1987 cd

1988 vim /etc/hosts

1989 last

1990 history

問題是:區分不哪些是異常登入的時間的命令記錄。

於是:vim  ~/.bashrc

export histtimeformat="%f %t "

1019 2014-08-16 23:29:36 less messages

1020 2014-08-16 23:30:14 ufw status

1021 2014-08-16 23:30:16 sudo ufw status

1022 2014-08-16 23:31:49 sudo ufw status| wc -l

wade@koala:/var/log$ less ufw.log

才發現,原來防火牆抵禦了很多攻擊:

aug 10 00:42:41 koala kernel: [2765854.251408] [ufw block] in=eth0 out= mac=08:9e:01:49:d7:d6:0c:da:41:15:7a:1c:08:00 src=117.57.221.187 dst=14.17.96.17 len=40 tos=0x00 prec=0x00 ttl=54 id=4680 df proto=tcp spt=3045 dpt=80 window=16560 res=0x00 ack fin urgp=0

aug 10 00:42:44 koala kernel: [2765857.155576] [ufw block] in=eth0 out= mac=08:9e:01:49:d7:d6:0c:da:41:15:7a:1c:08:00 src=60.173.26.34 dst=122.13.170.232 len=40 tos=0x00 prec=0x00 ttl=106 id=256 proto=tcp spt=6000 dpt=8088 window=16384 res=0x00 syn urgp=0

aug 10 00:42:57 koala kernel: [2765869.791424] [ufw block] in=eth1 out= mac=08:9e:01:49:d7:d7:60:eb:69:d2:36:f1:08:00 src=192.168.1.6 dst=192.168.1.7 len=60 tos=0x00 prec=0x00 ttl=64 id=34479 df proto=tcp spt=54874 dpt=4949 window=5840 res=0x00 syn urgp=0

有異常的ip,也有本地的ip(未明,待查)

wade@koala:/var/log$ sudo ufw status| wc -l

70總結:除了有些異常ip成功登入了,沒發現異常,於是改了密碼,清理一些開放的埠。

另外,所有這些記錄都是可以更改的,包括所有的log, 所有的登入歷史,history 命令,都可以改。要是真聰明,這些log都檢視不出。

記錄一次配置ubuntu18 server的過程

將配置好的系統做成iso映象 公司要使用新裝置 程式控制機,由於自己裝逼,讓賣家裝的ubuntu server,所以得自己配置很多東西。拿到程式控制機第一步,修改軟體源。開啟系統的時候發現卡在a start 指令,之後會說怎麼解決開機卡主的問題。修改軟體源方式如下 備份軟體源 sudo cp etc...

記一次mysql宕機

e warning pdo prepare mysql server has gone away pdo prepare mysql server has gone awayilluminate database queryexception sqlstate hy000 2002 connecti...

記錄一次mysql宕機的解決辦法

首先先貼上出來我的錯誤資訊,如下 2019 07 16t00 53 18.285919z 0 system my 010116 server usr sbin mysqld mysqld 8.0.15 starting as process 18555 2019 07 16t00 53 18.506...