linux 伺服器宕機了,於是追查原因。
wade@koala:/var/log$ less boot.log
看不出異常
wade@koala:/var/log$ less dmesg
區別;(未明)
/var/log/boot.log --- system boot log
/var/log/dmesg --- print or control the kernel ring buffer
/var/log/messages
看看這個區別
擔心有人hack,首先ps -ef 檢視了是否有異常的程序。逐個排查,沒發現。
wade@koala:~$ last
wade pts/0 14.*.*.* sat aug 16 22:50 still logged in
wade pts/0 14.*.*.* sat aug 16 10:47 - 11:20 (00:32)
看到登入的ip 登入的時間,登入的時長
wade@koala:/var/log$ less auth.log
aug 10 00:48:10 koala sshd[58696]: refused connect from 116.10.191.175 (116.10.191.175)
aug 10 00:48:10 koala cron[37279]: pam_unix(cron:session): session closed for user wade
aug 10 00:48:26 koala sshd[59316]: refused connect from 116.10.191.175 (116.10.191.175)
aug 10 00:48:45 koala cron[27541]: pam_unix(cron:session): session closed for user root
aug 10 00:48:57 koala sshd[61072]: refused connect from 116.10.191.175 (116.10.191.175)
aug 10 00:49:01 koala cron[61923]: pam_unix(cron:session): session opened for user wade by (uid=0)
aug 10 00:49:23 koala cron[40733]: pam_unix(cron:session): session closed for user wade
aug 10 00:49:32 koala sshd[62333]: refused connect from 116.10.191.175 (116.10.191.175)
可以看到有些拒絕的連線,並且來自與異常的地方
想看看這些登入者都幹了什麼:
1984 mocha test --compilers coffee:coffee-script
1985 git status
1986 vim ~/.bashrc
1987 cd
1988 vim /etc/hosts
1989 last
1990 history
問題是:區分不哪些是異常登入的時間的命令記錄。
於是:vim ~/.bashrc
export histtimeformat="%f %t "
1019 2014-08-16 23:29:36 less messages
1020 2014-08-16 23:30:14 ufw status
1021 2014-08-16 23:30:16 sudo ufw status
1022 2014-08-16 23:31:49 sudo ufw status| wc -l
wade@koala:/var/log$ less ufw.log
才發現,原來防火牆抵禦了很多攻擊:
aug 10 00:42:41 koala kernel: [2765854.251408] [ufw block] in=eth0 out= mac=08:9e:01:49:d7:d6:0c:da:41:15:7a:1c:08:00 src=117.57.221.187 dst=14.17.96.17 len=40 tos=0x00 prec=0x00 ttl=54 id=4680 df proto=tcp spt=3045 dpt=80 window=16560 res=0x00 ack fin urgp=0
aug 10 00:42:44 koala kernel: [2765857.155576] [ufw block] in=eth0 out= mac=08:9e:01:49:d7:d6:0c:da:41:15:7a:1c:08:00 src=60.173.26.34 dst=122.13.170.232 len=40 tos=0x00 prec=0x00 ttl=106 id=256 proto=tcp spt=6000 dpt=8088 window=16384 res=0x00 syn urgp=0
aug 10 00:42:57 koala kernel: [2765869.791424] [ufw block] in=eth1 out= mac=08:9e:01:49:d7:d7:60:eb:69:d2:36:f1:08:00 src=192.168.1.6 dst=192.168.1.7 len=60 tos=0x00 prec=0x00 ttl=64 id=34479 df proto=tcp spt=54874 dpt=4949 window=5840 res=0x00 syn urgp=0
有異常的ip,也有本地的ip(未明,待查)
wade@koala:/var/log$ sudo ufw status| wc -l
70總結:除了有些異常ip成功登入了,沒發現異常,於是改了密碼,清理一些開放的埠。
另外,所有這些記錄都是可以更改的,包括所有的log, 所有的登入歷史,history 命令,都可以改。要是真聰明,這些log都檢視不出。
記錄一次配置ubuntu18 server的過程
將配置好的系統做成iso映象 公司要使用新裝置 程式控制機,由於自己裝逼,讓賣家裝的ubuntu server,所以得自己配置很多東西。拿到程式控制機第一步,修改軟體源。開啟系統的時候發現卡在a start 指令,之後會說怎麼解決開機卡主的問題。修改軟體源方式如下 備份軟體源 sudo cp etc...
記一次mysql宕機
e warning pdo prepare mysql server has gone away pdo prepare mysql server has gone awayilluminate database queryexception sqlstate hy000 2002 connecti...
記錄一次mysql宕機的解決辦法
首先先貼上出來我的錯誤資訊,如下 2019 07 16t00 53 18.285919z 0 system my 010116 server usr sbin mysqld mysqld 8.0.15 starting as process 18555 2019 07 16t00 53 18.506...