求助服务器崩溃原因和解决方法

在计算机网络日益普及的今天，计算机安全不但要求防治计算机病毒，而且要提高系统抵抗黑客非法入侵的能力，还要提高对远程数据传输的保密性，避免在传输途中遭受非法窃取。下面壹基比小喻来给你们讲讲服务器托管站点崩溃的几大原因。

第一，内存泄漏

C/C++程序还可能产生另一个指针问题:丢失对已分配内存的引用。当内存是在子程序中被分 配时，通常会出现这种问题，其结果是程序从子程序中返回时不会释放内存。如此一来，对已分配的内存的引用就会丢失，只要操作系统还在运行中，则进程就会一 直使用该内存。这样的结果是，曾占用更多的内存的程序会降低系统性能，直到机器完全停止工作，才会完全清空内存。

第二，C指针错误

用C或C++编写的程序，如Web服务器API模块，有可能导致系统的崩溃，因为只要间接引 用指针(即，访问指向的内存)中出现一个错误，就会导致操作系统终止所有程序。另外，使用了糟糕的C指针的Java模拟量(analog)将访问一个空的 对象引用。Java中的空引用通常不会导致立刻退出JVM，但是前提是程序员能够使用异常处理方法恰当地处理错误。在这方面，Java无需过多的关注，但 使用Java对可靠性进行额外的度量则会对性能产生一些负面影响。

第三，数据库中的临时表不够用

许多数据库的临时表(cursor)数目都是固定的，临时表即保留查询结果的内存区域。在临时表中的数据都被读取后，临时表便会被释放，但大量同时进行的查询可能耗尽数目固定的所有临时表。这时，其他的查询就需要列队等候，直到有临时表被释放时才能再继续运行。

第四，线程死锁

由多线程带来的性能改善是以可靠性为代价的，主要是因为这样有可能产生线程死锁。线程死锁 时，第一个线程等待第二个线程释放资源，而同时第二个线程又在等待第一个线程释放资源。我们来想像这样一种情形:在人行道上两个人迎面相遇，为了给对方让 道，两人同时向一侧迈出一步，双方无法通过，又同时向另一侧迈出一步，这样还是无法通过。双方都以同样的迈步方式堵住了对方的去路。假设这种情况一直持续 下去，这样就不难理解为何会发生死锁现象了。

第五，磁盘已满

导致系统无法正常运行的最可能的原因是磁盘已满。一个好的网络管理员会密切关注磁盘的使用情况，隔一定的时间，就需要将磁盘上的一些负载转存到备份存储介质中(例如磁带)。

日志文件会很快用光所有的磁盘空间。Web服务器的日志文件、SQLNet的日志文件、 JDBC日志文件，以及应用程序服务器日志文件均与内存泄漏有同等的危害。可以采取措施将日志文件保存在与操作系统不同的文件系统中。日志文件系统空间已 满时Web服务器也会被挂起，但机器自身被挂起的几率已大大减低。

第六，服务器超载

Netscape Web服务器的每个连接都使用一个线程。Netscape Enterprise Web服务器会在线程用完后挂起，而不为已存在的连接提供任何服务。如果有一种负载分布机制可以检测到服务器没有响应，则该服务器上的负载就可以分布到其 它的Web服务器上，这可能会致使这些服务器一个接一个地用光所有的线程。这样一来，整个服务器组都会被挂起。操作系统级别可能还在不断地接收新的连接， 而应用程序(Web服务器)却无法为这些连接提供服务。用户可以在浏览器状态行上看到connected(已连接)的提示消息，但这以后什么也不会发生。

总之，还有许多因素也极有可能导致服务器租用或服务器托管站点无法工作。有许多种原因可能导致Web站点无法正常工作，这使得系统地检查所有问题变得很困难。

中学学校危化品事故应急预案

　在现实的学习、工作、生活中，有时会突发意外事故，为了避免造成重大损失和危害，时常要预先开展应急预案准备工作。应急预案应该怎么编制呢？以下是我精心整理的中学学校危化品事故应急预案，欢迎阅读与收藏。

中学学校危化品事故应急预案1

　为有效预防学校实验室事故的发生，防止学校实验室事故事态的扩大，保障在实验室进行教育教学活动的师生的生命安全，根据《中华人民共和国未成年人保护法》、教育部《学生伤害事故处理办法》、《xx市青少年保护条例》以及《xx市中小学校学生伤害事故处理条例》等有关文件精神，制定本预案。

　 一、可能引发实验室火灾的原因：

　实验室的易燃物品遇到明火、电火；实验人员操作不当；学生违规自行接触危险物品；易燃易爆物品管理不善。

　 二、事故的预防：

　1、实验指导老师工作认真负责、专业知识丰富、合格、称职。

　2、学校加强对学生的行为规范教育。不随意触摸实验室物品；教育学生不在实验室随便使用明火。

　3、学生必须在教师的指导下，按规范的操作方法进行实验。

　4、实验室易燃易爆物品必须做到“双人双锁”保管。

　5、无关人员不得随意进入实验室。

　6、实验室电线、电器必须定期检查，发现问题及时维修、解决。

　7、按规定配备足够数量的灭火器材。

　 三、事故的处理：

　1、火灾事故按火灾事故处理预案进行处理，按如下顺序操作：报警、疏散等。

　2、一旦发生学生伤害事故，立即送学校医务室，由校医视伤者情况决定是否送医院，若情况严重则立即将伤者送医院或拨打120电话。

　3、通知受伤学生家长，如实告知情况。

　4、保护现场。

　5、报告。一般事故3天内向区教育局、安全办公室作书面汇报；重大事故必须立即向区教育局办公室、安全办公室汇报，先口头、后书面。

　6、通知xx平安保险公司校方责任险理赔服务部，

　7、进行善后处理，接待学生家长，进行理赔或补偿协商

　 四、组织管理：

　1、领导小组（略）。

　2、人员分工：报警、报告、疏散、救护、接待、事故善后处理协商等。

中学学校危化品事故应急预案2

　一、指导思想

　实验室是实验教学、科研工作的重要场所，是仪器设备、化学药品（危险品）的要害部位，实验室内有许多具有易燃、易爆、氧化、剧毒、放射性物质和贵重仪器设备，在使用和保管过程中，稍有不慎，即能引起人身伤亡事故和对社会造成危害。

　为此，除了对实验室进行必要的技术预防外，还必须保障实验操作中师生的安全，促进实验室各项工作顺利开展，防范安全事故发生。对实验室灾害性事故的发生，应具有充分的思想准备和应变措施，做好事故发生后补救和善后工作，能科学有效地实施处置，切实有效地降低和控制安全事故的危害。

　坚持“预防为主”和“谁主管谁负责”的原则，实行学院、实验室负责，职责分工到人的管理模式。

　二、制定依据

　本应急处置预案根据《中华人民共和国安全生产法》、《危险化学品安全管理条例》和《江汉大学剧毒化学品、危险化学品安全管理规定》制定。

　三、处置预案

　（一）触电应急处置预案

　若出现触电事故，应先切断电源或拔下电源插头，若来不及切断电源，可用绝缘物挑开电线，在未切断电源之前，切不可用手去拉触电者，也不可用金属或潮湿的东西挑电线。对触电者，应及时实施救护，若触电者出现休克现象，要立即进行人工呼吸，并请医生治疗。同时报告校保卫处和实验室管理部门，对触电事故分析整治，及时排除隐患。

　（二）火灾应急处置预案

　1、发现火灾事故时，要立即切断电源，并及时、迅速向校保卫处和实验室管理部门及公安消防部门（119）电话报警。报警时，讲明发生火灾的地点、燃烧物质的种类和数量，火势情况，报警人姓名、电话等详细情况。

　2、应立即通知医疗、安全保卫及安全消防员等人员一起赶赴火场展开工作。

　3、救护应按照“先人员，后物资，先重点，后一般”的原则进行，抢救被困人员及贵重物资，要有计划、有组织地疏散人员，并且要戴齐防护用具，注意自身安全，防止发生意外事故。

　4、根据火灾类型，采用不同的灭火器材进行灭火。

　按照不同物质发生的火灾，火灾大体分为四种类型：

　A类火灾为固体可燃材料的火灾，包括木材、布料、纸张、橡胶以及塑料等。

　B类火灾为易燃可燃液体、易燃气体和油脂类等化学药品火灾。

　C类火灾为带电电气设备火灾。

　D类火灾为部分可燃金属，如镁、钠、钾及其合金等火灾。

　扑救A类火灾：一般可采用水冷却法，但对珍贵图书、档案应使用二氧化碳、卤代烷、干粉灭火剂灭火。

　扑救B类火灾：首先应切断可燃液体的来源，同时将燃烧区容器内可燃液体转至安全地区，并用水冷却燃烧区可燃液体的容器壁，减慢蒸发速度；及时使用大剂量泡沫灭火剂、干粉灭火剂将液体火灾扑灭。对于可燃气体应关闭可燃气阀门，防止可燃气发生爆炸，然后选用干粉、卤代烷、二氧化碳灭火器灭火。

　扑救C类火灾：应切断电源后再灭火，因现场情况及其他原因，不能断电，需要带电灭火时，应使用沙子或干粉灭火器，不能使用泡沫灭火器或水；

　扑救D类火灾：钠和钾的火灾切忌用水扑救，水与钠、钾起反应放出大量热和氢，会促进火灾猛烈发展。应用特殊的灭火剂，如干砂或干粉灭火器等。

　（三）化学危险品事故应急处置预案

　1、实验过程中若不慎将酸、碱或其它腐蚀性药品溅在身上（若眼睛受到伤害时，切勿用手揉搓），立即用大量清水进行冲洗，冲洗后用苏打（针对酸性物质）或硼酸（针对碱性物质）进行中和。并及时向指导老师和实验室负责人报告，负责人视情况的轻重将其送入医院就医。

　2、当大量氯气或氨气泄漏，给周围环境造成严重污染，严重威胁人身安全应迅速戴上防毒面具撤离现场。受氯气轻微中毒者口服复方樟脑酊解毒，并在胸部用冷湿敷法救护，中毒较重者应吸氧；严重者如已昏迷者，应立即做人工呼吸，并拔打120急救。

　（四）剧毒药品中毒应急处置预案

　如发生气体中毒，应马上打开窗户通风，并疏散学生离开实验室到安全的地方，以最快的速度报告校保卫处和实验室管理部门，并根据严重程度联系医院救治。

　如发生入口中毒，应根据毒物种类采取适当处理方法，酸碱类腐蚀物品先大量饮水，再服用牛奶或蛋清，其他毒物先行催吐后再灌入牛奶，并快速送医院救治。

　（五）实验室爆炸事故应急处置预案

　爆炸事故多发生在具有易燃易爆物品和压力容器的实验室。实验室发生爆炸事故时，应及时切断电源和管道，对现场学生有组织的通过安全出口或用其他方法迅速撤离，如有人员伤害以最快速度联系医院救治。并快速报告校保卫处和实验室管理部门。

　四、无论在何时何地，当发生安全事故时，均应根据事故的严重程度，迅速、准确地报警并及时采取自救、互救措施。正确有效的疏散无关人员，避免对人员造成更大伤害。发生严重事故，立即报警110、119、120。

　五、发生事故后要采取有效措施，保护现场，配合保卫部门进行勘察，事故查清后，要写出定性结案处理报告，事故发生的时间、地点、部位和人员伤亡情况，造成的经济损失、调查经过、对调查的证据材料的分析、对事故性质的认定和结论，以及对事故制造者或责任者的'处理意见。根据事故的情况，上报有关部门处理。

　六、本应急处置预案由各实验室组织落实，全体实验室工作人员必须严格按照本应急处置预案的规定实施，各实验室要制订本实验室切实可行的应急处置预案。凡在事故救援中，有失职、渎职行为的，按情节轻重严肃处理，构成犯罪的由司法机关追究刑事责任。

中学学校危化品事故应急预案3

　化学实验室是我校教学、科研工作使用和保管化学危险品的要害部位。各类易燃、易爆、易氧化、剧毒物质在使用和保管过程中稍有不慎，即可能引起人身伤害事故和对社会造成危害。所以，除了对化学实验室进行必要的技术预防，专业人员守护，以及要害部门人员思想动态的掌握之外，还必须对因该部位而引发的事故具有充分的思想准备和应变措施做好事故发生补救工作，为此，特制定本预案。

　 一、化学实验室事故应急工作领导小组

　组长：

　成员：

　 二、化学实验中避免事故发生的预防措施

　1．实验前实验管理员必须做好实验仪器、设备的安全性能检查，并做好记录，对存在安全隐患的实验仪器不得在实验中使用，严格管理好危险药品和仪器设备，严格检查电器设备的安全情况，确保实验安全进行。

　2．科任教师在实验前，必须向学生详细讲解实验中安全注意事项和应急措施，准备好安全防护措施。实验过程中科任教师和实验管理员要密切注意学生操作过程，发现不规范操作或举动应立即予以制止和纠正。实验后应立即回收危险药品，确保学生安全。

　3．实验管理员做好危险药品的管理

　①危险药品保存要远离教室、宿舍、食堂和水源。

　②易燃、易爆、剧毒化学药品的领用、消耗应随时登记，建立档案。

　③危险化学药品按特性分类保管，做到防光、防晒、防潮、防冻、防高温、防氧化，并经常检查。

　④对氧化剂、自燃药品，遇水燃烧品，易燃液体，易燃固体，毒害品，腐蚀品要严格保管，谨慎使用，绝对避免因混放而诱发爆炸、火灾等事故。

　 三、化学实验室事故应急预案

　1．发生化学药品丢失、伤人、刑事案件和灾害性事故，学校领导、保卫人员迅速赶赴现场，并向主管领导汇报，发生严重事故报警：110、119、120．

　2．正常的教育教学实验中发生危害学生身体或群体健康事件发生时

　①在场教师立即停止一切教学活动，并立即开展救援、疏导、撤离（教师在确认没有学生时最后一个撤离）

　②学校领导立即赶赴事故现场，联系校医务室，做好应急救治处理措施，妥善处理受伤学生。

　③立即将受伤学生送医院救治，同时联系学生家长，告知情况。

　④让在场学生、教师写好突发事件经过说明书。

　⑤对事故现场进行相应保护，对不能长时间保护的现场应通过摄像、摄影进行保护。

　⑥由校办公室在第一时间内向县教育局汇报。

　⑦做好家长的安抚和事故的善后处理工作。

　⑧事故查清后， 要写出定性处理报告，以及对事故制造者或责任者处理意见。

中学学校危化品事故应急预案4

　为确保我院实验室安全与稳定，以保证正常运行为宗旨，按照“预防为主，积极处置”的原则，本着建立一个有效处置突发事件，建立统一指挥、职责明确运转有序、反应迅速、处置有力的机房安全体系的目标，特制定本应急处理预案。

　 一、实验室突发事件处置领导机构及工作职责

　（一）实验室突发安全事件应急处置领导小组

　负责组织指挥突发事件的应急处置工作领导小组由分管安全工作和实验室工作的中心领导任领导小组组长，实验室管理人员等相关人员为成员组成。

　（二）应急处置领导小组工作职责

　1．根据消防安全管理的有关规定和实验室的具体情况，配备更新消防灭火器材，检查消防设施完好情况，开展相关知识的宣传工作。

　2．加强实验室安全管理，将实验室安全工作作为实验室建设、管理与评估的一个重要组成部分，做好实验室突发事件应急预案的制定和执行工作。

　3．定期进行实验室及其附属用房电路设施的检修、改造，增强抵御洪水、风暴等自然灾害对实验室造成危害的能力。

　4．根据突发事件的应急预案，具体实施对突发事件的紧急应对与处置工作；及时向上级有关部门报告突发事件的进展与处置情况。

　5．对突发事件原因进行调查；根据突发事件的性质及所造成的后果提出对有关责任人进行处理的建议。

　 二、突发事件的预防

　坚持预防为主的方针，针对可能发生的突发事件，做到早发现、早报告、 早处置。

　1、建立健全机房管理制度

　（1）在正常工作日内，实验室相关管理员负责对机房进行监控，主要职责是：巡视网络设备及系统的运行情况，发生异常情况及时处理，消除网络故障隐患，保证实践教学的正常运行。

　（2）未经允许，无关人员不得进入主控机房。（如控制室、管理室）

　2、机房内严格采取防雷（如电源保护开关、防雷插座等）、防火（禁止堆放易燃、易爆物品，配备灭火器等）、防尘、防静电等措施以及机房入口处24小时监控录像等措施。（注：监控系统的建立正在筹备中）

　3、对实验室设备进行常规维护，做好巡查，若发现异常情况应及时进行处理，确保实验室教学的正常运行。

　 三、应急预案的启动与处置方案

　（一）应急预案的启动

　1．突发事件发生后，实验室负责人及相关管理人员及时有关情况报告应急处置领导小组，报告事件名称、发生地点和时间、报告时间、涉及人群或潜在的威胁和影响、事件初步性质、严重程度及发展趋势、可能的原因、已采取的措施等。 领导小组接到报告后，根据职责和规定的权限启动本应急预案，对突发事件进行及时、有效处置，控制事态进一步发展。

　2．在领导小组统一部署下，快速作出应急反应。根据实际情况可采取下列措施：组织营救和救治受害人员，疏散、撤离、安置受到威胁的人员；迅速消除突发事件的危害和危险源，划定危害区域并加强巡逻；针对突发事件可能造成的损害，封闭、隔离有关场所，中止可能导致损害扩大的活动；

　3．突发事件应急处置要采取边调查、边处理、边抢救、边核实的方式，以有效控制事态发展。

　4．事后，要对其他实验室和相关人员及学生进行教育，要及时部署和落实学院的预防控制措施防止类似突发事件在本单位再次发生。 分析总结处置过程中存在的问题及整改情况。

　(二)突发事件应急处置方案

　1、学生实验机房应急预案

　当学生上课期间机房发生触电，火灾等突发事故时，实验指导教师第一时间迅速将学生撤离到安全区域，迅速做好抢救和灭火工作，并及时报告实验室管理员并119报警电话，若发生学生受伤事故，及时拨打120急救电话。实验室管理员及时报告院应急处置领导小组。

　2、电源系统应急预案

　（1）定期检查实验室供电设备的运行状况和电路线缆器材情况，当发生下列突发事件时，按照以下方案进行处置：

　（2）当实验室发生供电突然停电或是电源异常时。首先应和学校相关部门联系确认是否正常停电以及预计停电时间。检查不间断电源的电池可供电时间，确保设备正常运行，如遇到突然断电，应及时将空调等不在UPS电源供电范围内的设备及时断电，预防突然来电时瞬间电流过大导致设备损坏等现象。

　（3）当确定停电原因是在本身供电系统范围内，立即汇报给负责领导，并及时联系相关维护人员达到现场检修。

　（4）恢复供电后，严格按照操作程序逐步恢复机房设备和UPS的供电，以防瞬间电流过大造成设备损坏。

　注：UPS电源正在配备中，故此应急预案将其考虑在内。

　3、网络和服务器络系统应急预案

　（1）发生网络故障时，首先检查机房设备情况，确定网络故障的原因。

　（2）确认原因后，若为短时间内可恢复的，应尽快联系网络维护人员，及时处理和排除故障。

　（3）当确认原因为短时间无法恢复，应该及时向负责领导汇报，并向任课教师说明情况，做好上课机房调整的准备，以保证教学实践的正常运行。然后再联系维护人员，及时处理故障。

　4、机房管理室消防和防雷应急预案

　（1）上班工作时间发生火警，还在机房工作的人员应及时紧急撤离，并立刻拨打119报警。在确保自身安全的情况下，应尽量使用灭火器进行灭火，减少电子设备的损坏。同时采取关闭电源总闸等措施，尽量减少可能造成的损失和破坏。

　（2）非工作时间或节假日休息时间发现火情后，要立刻拨打119报警，并立刻通知领导，做好火灾的处置工作。

　（3）火情结束之后，机房相关人员应全体赶赴现场，并向相关领导汇报。同时立即联系相关网络公司和设备相关厂家，及时评估事故损失情况，研讨恢复网络系统正常运行的最佳解决方案。

　（4）遇雷暴天气或接上级部门雷暴气象预警，应关闭所有服务器，切断电源，暂停内部计算机网络工作。雷暴天气结束后，及时开通服务器，恢复内部计算机网络工作。因雷击造成的损失，应及时进行核实、报损，并将详细情况向分管领导汇报。

　5、设备盗抢应急预案

　发生盗抢事件后，要保护好现场然后报警，并向领导汇报情况。配合公安机关做好事件侦察工作。待现场处理完毕后，要组织相关人员估计损毁情况，并联系相关网络和设备厂家，积极做好恢复工作。

;

服务器遭受攻击后的处理流程

　安全总是相对的，再安全的服务器也有可能遭受到攻击。作为一个安全运维人员，要把握的原则是：尽量做好系统安全防护，修复所有已知的危险行为，同时，在系统遭受攻击后能够迅速有效地处理攻击行为，最大限度地降低攻击对系统产生的影响。下面是我整理的服务器遭受攻击后的处理流程：

　一、处理服务器遭受攻击的一般思路

　系统遭受攻击并不可怕，可怕的是面对攻击束手无策，下面就详细介绍下在服务器遭受攻击后的一般处理思路。

　1 切断网络

　所有的攻击都来自于网络，因此，在得知系统正遭受黑客的攻击后，首先要做的就是断开服务器的网络连接，这样除了能切断攻击源之外，也能保护服务器所在网络的其他主机。

　2 查找攻击源

　可以通过分析系统日志或登录日志文件，查看可疑信息，同时也要查看系统都打开了哪些端口，运行哪些进程，并通过这些进程分析哪些是可疑的程序。这个过程要根据经验和综合判断能力进行追查和分析。下面的章节会详细介绍这个过程的处理思路。

　3 分析入侵原因和途径

　既然系统遭到入侵，那么原因是多方面的，可能是系统漏洞，也可能是程序漏洞，一定要查清楚是哪个原因导致的，并且还要查清楚遭到攻击的途径，找到攻击源，因为只有知道了遭受攻击的原因和途径，才能删除攻击源同时进行漏洞的修复。

　4 备份用户数据

　在服务器遭受攻击后，需要立刻备份服务器上的用户数据，同时也要查看这些数据中是否隐藏着攻击源。如果攻击源在用户数据中，一定要彻底删除，然后将用户数据备份到一个安全的地方。

　5 重新安装系统

　永远不要认为自己能彻底清除攻击源，因为没有人能比黑客更了解攻击程序，在服务器遭到攻击后，最安全也最简单的方法就是重新安装系统，因为大部分攻击程序都会依附在系统文件或者内核中，所以重新安装系统才能彻底清除攻击源。

　6 修复程序或系统漏洞

　在发现系统漏洞或者应用程序漏洞后，首先要做的就是修复系统漏洞或者更改程序bug，因为只有将程序的漏洞修复完毕才能正式在服务器上运行。

　7 恢复数据和连接网络

　将备份的数据重新复制到新安装的服务器上，然后开启服务，最后将服务器开启网络连接，对外提供服务。

　二、检查并锁定可疑用户

　当发现服务器遭受攻击后，首先要切断网络连接，但是在有些情况下，比如无法马上切断网络连接时，就必须登录系统查看是否有可疑用户，如果有可疑用户登录了系统，那么需要马上将这个用户锁定，然后中断此用户的远程连接。

　1 登录系统查看可疑用户

　通过root用户登录，然后执行“w”命令即可列出所有登录过系统的用户，如图1-11所示。

　通过这个输出可以检查是否有可疑或者不熟悉的用户登录，同时还可以根据用户名以及用户登录的源地址和它们正在运行的进程来判断他们是否为非法用户。

　2 锁定可疑用户

　一旦发现可疑用户，就要马上将其锁定，例如上面执行“w”命令后发现nobody用户应该是个可疑用户(因为nobody默认情况下是没有登录权限的)，于是首先锁定此用户，执行如下操作：

　[root@server ~]# passwd -l nobody

　锁定之后，有可能此用户还处于登录状态，于是还要将此用户踢下线，根据上面“w”命令的输出，即可获得此用户登录进行的pid值，操作如下：

　[root@server ~]# ps -ef|grep @pts/3

　531 6051 6049 0 19:23 00:00:00 sshd: nobody@pts/3

　[root@server ~]# kill -9 6051

　这样就将可疑用户nobody从线上踢下去了。如果此用户再次试图登录它已经无法登录了。

　3 通过last命令查看用户登录事件

　last命令记录着所有用户登录系统的日志，可以用来查找非授权用户的登录事件，而last命令的输出结果来源于/var/log/wtmp文件，稍有经验的入侵者都会删掉/var/log/wtmp以清除自己行踪，但是还是会露出蛛丝马迹在此文件中的。

　三、查看系统日志

　查看系统日志是查找攻击源最好的方法，可查的'系统日志有/var/log/messages、/var/log/secure等，这两个日志文件可以记录软件的运行状态以及远程用户的登录状态，还可以查看每个用户目录下的bash_history文件，特别是/root目录下的bash_history文件，这个文件中记录着用户执行的所有历史命令。

　四、检查并关闭系统可疑进程

　检查可疑进程的命令很多，例如ps、top等，但是有时候只知道进程的名称无法得知路径，此时可以通过如下命令查看：

　首先通过pidof命令可以查找正在运行的进程PID，例如要查找sshd进程的PID，执行如下命令：

　[root@server ~]# pidof sshd

　13276 12942 4284

　然后进入内存目录，查看对应PID目录下exe文件的信息：

　[root@server ~]# ls -al /proc/13276/exe

　lrwxrwxrwx 1 root root 0 Oct 4 22:09 /proc/13276/exe -> /usr/sbin/sshd

　这样就找到了进程对应的完整执行路径。如果还有查看文件的句柄，可以查看如下目录：

　[root@server ~]# ls -al /proc/13276/fd

　通过这种方式基本可以找到任何进程的完整执行信息，此外还有很多类似的命令可以帮助系统运维人员查找可疑进程。例如，可以通过指定端口或者tcp、udp协议找到进程PID，进而找到相关进程：

　[root@server ~]# fuser -n tcp 111

　111/tcp: 1579

　[root@server ~]# fuser -n tcp 25

　25/tcp: 2037

　[root@server ~]# ps -ef|grep 2037

　root 2037 1 0 Sep23 00:00:05 /usr/libexec/postfix/master

　postfix 2046 2037 0 Sep23 00:00:01 qmgr -l -t fifo -u

　postfix 9612 2037 0 20:34 00:00:00 pickup -l -t fifo -u

　root 14927 12944 0 21:11 pts/1 00:00:00 grep 2037

　在有些时候，攻击者的程序隐藏很深，例如rootkits后门程序，在这种情况下ps、top、netstat等命令也可能已经被替换，如果再通过系统自身的命令去检查可疑进程就变得毫不可信，此时，就需要借助于第三方工具来检查系统可疑程序，例如前面介绍过的chkrootkit、RKHunter等工具，通过这些工具可以很方便的发现系统被替换或篡改的程序。

　五、检查文件系统的完好性

　检查文件属性是否发生变化是验证文件系统完好性最简单、最直接的方法，例如可以检查被入侵服务器上/bin/ls文件的大小是否与正常系统上此文件的大小相同，以验证文件是否被替换，但是这种方法比较低级。此时可以借助于Linux下rpm这个工具来完成验证，操作如下：

　[root@server ~]# rpm -Va

　L c /etc/pamd/system-auth

　S5 c /etc/security/limitsconf

　S5T c /etc/sysctlconf

　S5T /etc/sgml/docbook-simplecat

　S5T c /etc/logindefs

　S5 c /etc/openldap/ldapconf

　S5T c /etc/sudoers

　5T c /usr/lib64/security/classpathsecurity

　L c /etc/pamd/system-auth

　S5 c /etc/security/limitsconf

　S5 c /etc/ldapconf

　S5T c /etc/ssh/sshd_config

　对于输出中每个标记的含义介绍如下：

　 S 表示文件长度发生了变化

　 M 表示文件的访问权限或文件类型发生了变化

　 5 表示MD5校验和发生了变化

　 D 表示设备节点的属性发生了变化

　 L 表示文件的符号链接发生了变化

　 U 表示文件/子目录/设备节点的owner发生了变化

　 G 表示文件/子目录/设备节点的group发生了变化

　 T 表示文件最后一次的修改时间发生了变化

　如果在输出结果中有“M”标记出现，那么对应的文件可能已经遭到篡改或替换，此时可以通过卸载这个rpm包重新安装来清除受攻击的文件。

　不过这个命令有个局限性，那就是只能检查通过rpm包方式安装的所有文件，对于通过非rpm包方式安装的文件就无能为力了。同时，如果rpm工具也遭到替换，就不能通过这个方法了，此时可以从正常的系统上复制一个rpm工具进行检测。

;

根据外国媒体的报道，谷歌浏览器的搜索引擎突然之间崩盘了，就是说搜索不出来任何东西，我们都知道谷歌浏览器在国外的地位非常的高，所有的人都是用谷歌浏览器和IE浏览器，随着IE浏览器的退役，谷歌也就占据了大部分的市场，现在谷歌浏览器出现了一定的异常，也给用户们带来了很大的影响。根据一些数据显示，我们得知谷歌的数据中心发生了电气事故的原因，造成了三名员工受伤，并且伤势还比较严重，目前已经被送往医院救治，但神志还是比较清晰，可能经过一些救治之后，就能够恢复如初了。这一次的事故当中还传出了很剧烈的爆炸声，惊动了很多的人们。

那么这一次谷歌浏览器的服务器异常，是不是和电气事故有关呢？我认为是肯定有关系的，不然怎么会这么巧，刚好发生了爆炸事件，服务器就瘫痪了，那绝对不会这么巧，一定是有直接关系的，虽然谷歌他们单方面说与这件事情无关，但这让人们怎么相信呢。这一次造成的影响还是十分巨大的，对全世界的影响都很很大，因为谷歌搜索它是一个全世界性的用品，很多的用户都在使用，特别是那些用谷歌浏览器来做一些商业的，这些人们的苦恼将会非常大，因为他们完全无法工作。

总的来说，还是希望谷歌的浏览器能够早日的恢复正常，并且也希望受伤者能够早日康复，回归到工作当中来，也希望不要让他们在这一次的事故当中留下阴影。还是那一句话，工作是要做，但是我们也要把自己的生命安全放在第1位，从事这么危险的工作之时，一定要做到一个十足的把握，没有把握千万不要去操作，以免发生安全事故带来不可挽回的后果。

谷歌数据中心发生爆炸，这次事件造成三位技术人员受伤。同时这三位人员现在已经被紧急送往当地的医院进行治疗。发生这起事件的原因是出现了电气爆炸，同时这三位人员当时正在中心大楼附近进行维修工作。

这次事件的发生已经早有预警，前几个月谷歌的数据中心突然出现了问题。并且很多客户反映根本没有办法使用搜索引擎服务，由此影响了使用者正常的工作。虽然暂时不清楚这两次事件是否有直接联系，不过提醒每一位工作人员在工作期间一定要以自己的身体安全为主。这次事件影响比较严重，同时会带来一个火热的冲击波，会对周围环境造成一定的损害，所以网友非常担忧。事故地址较为偏僻，没有收到其他人员伤亡报告。谷歌对这些事件的重视程度非常高，相信可以早日修复。

在美国谷歌一共有14个数据中心。这次事件发生在康瑟尔布拉夫斯，它是谷歌最大的数据中心之一。如果想要进行后期修复的话，需要花费较多的时间以及精力。用户可以在这段时间内用其他的浏览器。大家可以保持耐心，这是一个异常繁重的任务。关于具体原因现在正在进一步的调查当中，也许后续会向大家披露更多细节。

现在上网群体越来越庞大，因此加大了工作人员的工作量。为了适应这个社会以及时代的发展，所以部署了更多的服务器以及大数据平台，因此大家猜测可能存在着高负荷运转问题。也许是因为谷歌很长时间没有进行维修以及故障检测或者没有及时发现问题所在。因此其他平台需要保持警惕，可以加大人力投入成本，从这次事件中吸取一定的教训。

信息化的发展离不开服务器，像我们访问的各类网站其背后都是有服务器支撑的。而作为网站运营方一般都会将服务器放置在专业的机房进行托管，而很少放在自家或者办公室中，因为专业机房里的环境及标准都是有一定要求的，比如说电力上的保障、带宽稳定性上都具备优势。

但是我们把服务器托管在远程机房后，若服务器出现了问题，有些是需要我们自己解决处理的，而有些只能由机房人员协助处理。下面我整理了服务器可能会出的一些异常及处理方案以供大家参考。

需要由机房处理的异常

1、电力、网络异常

机房的电力及网络都是商业性质的，比民用的要稳定。但也不排除会出现一些问题，比如BAT企业这几家都遇到过机房光缆被挖断的事故。

当我们发现服务器异常停机且没有自动启动、网络中断的时，就需要直接联系机房安排人员查看情况。

2、受到大流量DDoS攻击导致网站访问异常

当我们的站点受到大流量DDoS攻击后，可能会导致上行带宽被占满的情况，此时我们是不好处理的，需要联系机房安排进行流量清洗。

3、服务器硬件故障

服务器是长期不间断运行的，硬件损伤也是比较严重的。特别是那种传统机械硬件的服务器一旦被突然断电，很可能会导致磁盘故障。

需要由服务器运维人员处理的异常

1、网站受到攻击

首先需要确定攻击类型，是流量攻击还是漏洞提权，然后对应的溯源处理。

2、服务器负载较大，CPU及内存被占满

如果并发及流量较大，可能是正常的，这是由于访客激增导致的服务器负载较大；但如果当前访客不多，而CPU及内存都被占满了，则我们需要找到这些资源被哪个进程使用的，Windows系统使用任务管理器可以查看，Linux中使用top、ps等指令来查看。

3、服务器被黑

服务器被黑这个不在机房服务范围之内，需要服务器运维人员去解决。判断服务器是通过哪种途径被黑的，比如说：程序漏洞、系统漏洞、提权、SQL注入等。

1、切断网路：所有攻击都来自网路，因此在得知系统正遭受攻击后，首先切断网路，保护服务器网路内的其他主机。2、找出攻击源：通过日志分析，查出可疑信息，同时也要查看系统打开了哪些端口，运行了哪些进程。3、分析入侵原因和途径：既然是遭到入侵，那么原因是多方面的，可能是系统漏洞，也可能是程序漏洞，一定要查清楚原因，并且查清楚攻击的途径，找到攻击源，只有找到了攻击原因和途径才能进行漏洞的删除和修复。4、备份用户数据：在呗攻击后，需要里面备份服务器上的数据，同时也要查看数据中是否隐藏攻击源。如果攻击源在用户数据中，一定要彻底删除。然后将数据备份到一个安全的地方。5、重装系统：不要以为清除了攻击源就是安全的，因为没人能比黑客更了解攻击程序，在服务器遭受攻击后，最简单的方法就是重装系统。因为大部分攻击都是依附在系统文件或者内核中。6、修复程序或系统漏洞：在发现程序漏洞或系统漏洞后，首先要做的是修复漏洞，只有将程序漏洞修复完毕才能在服务器上运行。7、恢复数据和连接网络：将备份的数据重新复制到新装的服务器上，然后开启服务，最后将服务器的网络连接开启，对外提供服务。二、检查并锁定可疑用户当发现服务器遭受攻击后，首先要切断网络连接，但是在有些情况下，比如无法马上切断网络连接时，就必须登录系统查看是否有可疑用户，如果有可疑用户登录了系统，那么需要马上将这个用户锁定，然后中断此用户的远程连接。 当发现服务器遭受攻击后，首先要切断网络连接，但是在有些情况下，比如无法马上切断网络连接时，就必须登录系统查看是否有可疑用户，如果有可疑用户登录了系统，那么需要马上将这个用户锁定，然后中断此用户的远程连接。1登录系统查看可疑用户通过root用户登录，然后执行“w”命令即可列出所有登录过系统的用户，通过这个输出可以检查是否有可疑或者不熟悉的用户登录，同时还可以根据用户名以及用户登录的源地址和它们正在运行的进程来判断他们是否为非法用户。2锁定可疑用户一旦发现可疑用户，就要马上将其锁定，例如上面执行“w”命令后发现nobody用户应该是个可疑用户(因为nobody默认情况下是没有登录权限的)，于是首先锁定此用户，执行如下操作：[root@server ~]# passwd -l nobody锁定之后，有可能此用户还处于登录状态，于是还要将此用户踢下线，根据上面“w”命令的输出，即可获得此用户登录进行的pid值这样就将可疑用户nobody从线上踢下去了。如果此用户再次试图登录它已经无法登录了。3通过last命令查看用户登录事件last命令记录着所有用户登录系统的日志，可以用来查找非授权用户的登录事件，而last命令的输出结果来源于/var/log/wtmp文件，稍有经验的入侵者都会删掉/var/log/wtmp以清除自己行踪，但是还是会露出蛛丝马迹在此文件中的。