Linux服务器被黑如何查?,第1张

linux系统的服务器被入侵,总结了以下的基本方法,供不大懂linux服务器网理人员参考考学习。\x0d\首先先用iptraf查下,如果没装的运行yum install iptraf装下,看里面是不是UDP包发的很多,如果是,基本都被人装了后门\x0d\1 检查帐户\x0d\# less /etc/passwd\x0d\# grep :0: /etc/passwd(检查是否产生了新用户,和UID、GID是0的用户)\x0d\# ls -l /etc/passwd(查看文件修改日期)\x0d\# awk -F: ‘$3= =0 {print $1}’ /etc/passwd(查看是否存在特权用户)\x0d\# awk -F: ‘length($2)= =0 {print $1}’ /etc/shadow(查看是否存在空口令帐户)\x0d\ \x0d\2 检查日志\x0d\# last(查看正常情况下登录到本机的所有用户的历史记录)\x0d\注意”entered promiscuous mode”\x0d\注意错误信息\x0d\注 意Remote Procedure Call (rpc) programs with a log entry that includes a large number (> 20) strange characters(-^PM-^PM-^PM-^PM-^PM-^PM-^PM-^PM)\x0d\ \x0d\3 检查进程\x0d\# ps -aux(注意UID是0的)\x0d\# lsof -p pid(察看该进程所打开端口和文件)\x0d\# cat /etc/inetdconf | grep -v “^#”(检查守护进程)\x0d\检查隐藏进程\x0d\# ps -ef|awk ‘{print }’|sort -n|uniq >1\x0d\# ls /porc |sort -n|uniq >2\x0d\# diff 1 2\x0d\ \x0d\4 检查文件\x0d\# find / -uid 0 _perm -4000 _print\x0d\# find / -size +10000k _print\x0d\# find / -name “” _print\x0d\# find / -name “ ” _print\x0d\# find / -name “ ” _print\x0d\# find / -name ” ” _print\x0d\注意SUID文件,可疑大于10M和空格文件\x0d\# find / -name core -exec ls -l {} ;(检查系统中的core文件)\x0d\检查系统文件完整性\x0d\# rpm _qf /bin/ls\x0d\# rpm -qf /bin/login\x0d\# md5sum _b 文件名\x0d\# md5sum _t 文件名\x0d\ \x0d\5 检查RPM\x0d\# rpm _Va\x0d\输出格式:\x0d\S _ File size differs\x0d\M _ Mode differs (permissions)\x0d\5 _ MD5 sum differs\x0d\D _ Device number mismatch\x0d\L _ readLink path mismatch\x0d\U _ user ownership differs\x0d\G _ group ownership differs\x0d\T _ modification time differs\x0d\注意相关的 /sbin, /bin, /usr/sbin, and /usr/bin\x0d\ \x0d\6 检查网络\x0d\# ip link | grep PROMISC(正常网卡不该在promisc模式,可能存在sniffer)\x0d\# lsof _i\x0d\# netstat _nap(察看不正常打开的TCP/UDP端口)\x0d\# arp _a\x0d\ \x0d\7 检查计划任务\x0d\注意root和UID是0的schedule\x0d\# crontab _u root _l\x0d\# cat /etc/crontab\x0d\# ls /etc/cron\x0d\ \x0d\8 检查后门\x0d\# cat /etc/crontab\x0d\# ls /var/spool/cron/\x0d\# cat /etc/rcd/rclocal\x0d\# ls /etc/rcd\x0d\# ls /etc/rc3d\x0d\# find / -type f -perm 4000\x0d\ \x0d\9 检查内核模块\x0d\# lsmod\x0d\ \x0d\10 检查系统服务\x0d\# chkconfig\x0d\# rpcinfo -p(查看RPC服务)\x0d\ \x0d\11 检查rootkit\x0d\# rkhunter -c\x0d\# chkrootkit -q

好,技巧第一招,

修改你登录游戏的名字,比如op名字叫做SB,那你把名字改成sb,然后进入游戏,你会发现你没注册,并且你是op!

如果服务器有npcmod,你去下载对应版本的背包编辑器,调出npc魔杖,通过一些方法可以给自己op

把自己技术练一练,装的什么都懂,开小号去聘op。。。

关键业务服务器对可靠性要求非常严格,调研机构曾调查过不同行业,关键业务中断服务带来的金钱损失:服务器宕机1分钟,平均会使运输业损失15万美元,银行业损失27万美元,通信业损失35万美元,制造业损失42万美元,证券业损失45万美元。而根据ITIC最新2018年底统计,1小时停机损失:

前些年关键业务服务器的金标准是要做到5个9,现在已经要求6个9,甚至7个9。他们是什么意思呢?

X个9,表示在1年时间的使用过程中,服务器可以正常使用时间与总时间(1年)的比值。

5个9:(1-99999%)3652460=526分钟,表示1年非计划停机时间不超过526分钟。

6个9:(1-999999%)365246060=315秒,表示1年非计划停机时间不超过30秒。

7个9:(1-9999999%)365246060=315秒,表示1年非计划停机时间不超过3秒。

ITIC统计2018年80%的企业最低要求4个9,可靠性要求增长非常迅速:

服务器能够做到这么短的非计划停机时间,除了在操作系统上要求严格外,硬件上的保证是重中之重。服务器的RAS(Reliability, Availability,Serviceability 高可靠性、高可用性、高服务性)特性(feature)曾经是大型机的骄傲,也是它们高高在上身价的基础,但随着X86在RAS功能上的补足,服务器市场已经几乎被X86服务器占据。关键业务服务器由于 历史 和维护原因,还有部分市场份额不在X86的掌控之中,但非X86高可靠性的神话已经破灭。根据ITIC统计:

X86服务器不但占据绝大部分,而且可靠性也仅仅比Power 服务器低一点点。

那么这些RAS功能都是些什么呢?绝对不是焚香祷告哦

而是实打实的硬功夫!RAS的根本在于提供硬件冗余来避免错误;出错后及时发现、纠正和避免错误扩散;替换掉出错的设备等等。下面我们来分别了解一下。

对计算机比较了解的同学都知道磁盘的RAID模式,RAID提供了数据冗余来保证数据安全。当然RAID是服务器上的必备要求,但你知道吗,内存也有同样的模式,那就是内存镜像(Memory Mirror)。内存镜像将4个通道的内存成对存储相同的数据,类似磁盘的RAID 1,内存的数据在硬件上就被保存了两份,当一份损坏时还有备份,而更妙的是这些是对软件透明的。

这个冗余度和RAID1一样是很大的,一半的资源在大部分情况下闲置了,在提高可靠性的同时浪费也十分严重,有没有稍微省钱点的做法呢?当然有,那就是内存备用(Memory Sparing),简单来说就是保留了部分内存,当出错再把这些内存拿来顶上。它的颗粒度可以到DIMM甚至以Rank为单位。

大家知道1位奇偶校验码可以发现1位的错误,但不能纠正,对于2位以上连发现都发现不了。ECC好一些,但对于很多位错误就无能为力了。SDDC (Single Device Data Correction,单设备数据校正 )可以纠正X4的单设备错误:

SDDC+1不但可以纠正X4的内存错误,还可以把出错的颗粒替换掉,让它下次不再出错:

DDDC(Double Device Data Correction )可以和Lockstep一起,将两个DIMM拼拼,纠正两个X4颗粒的错误:

DDDC+1和ADDDC(Adaptive Double Device Data Correction)这里就不再介绍,有兴趣的可以自行Google。

这些都是内存访问的时候发现错误了如何处理,但是还有些错误可能发生在没有访问的区域,这些区域错误不加处理,积少成多,可能超过DDDC的纠错能力。这就需要Patrol Memory Scrubbing的帮助了。它会像高速巡警一样,借助一个特殊的引擎,帮助定期扫描内存的可能出现的错误。Demand Scrubbing会把发现错误的数据,纠正后写回去,避免错误积累。

我曾经有过两篇文章介绍出错的问题:

计算机硬件出错了会发生什么?​

WHEA原理和架构​

大家感兴趣可以翻翻前面的文章。

作为服务器必备的功能,WHEA会把错误向操作系统报告,操作系统可以选择做出相应的动作。BIOS还可以设置poison位来标定出错的范围。

硬件发生了错误,即使已经通过各种手段(SDDC等)得到纠正,但隐患已经埋下。硬件一旦发生错误,可能会越来越严重,慢慢变得不能够纠正而变成严重错误。为了避免发生这种情况,需要把出错的设备移除和替换。

那么操作系统报告给管理员错误后,该怎么办呢?按照一般的想法就是关机换设备吧。但这种操作是严重影响x个9的可用性数据的。必须在操作系统还在持续提供服务的情况下更换设备、内存甚至CPU!

也许你听说过PCIe设备的热插拔,但内存和CPU的热插拔就比较高冷了。CPU和内存热插拔和PCIe类似,有个attention开关。在按下后,BIOS、操作系统和硬件会合作把设备周边电路隔离、内核对象移除和变更,在完成后会有状态指示灯显示准备工作结束,可以动手移除了。CPU和内存插入和这个相反,但都要BIOS、操作系统和硬件支持,十分复杂,但整个操作下来也十分炫酷。

6个9甚至7个9是个系统工程,需要整体上考虑。除了这些RAS功能之外,服务器硬件如磁盘驱动器等等也与民用不同,十分昂贵。

这些功能整体推高了服务器的价格,Google、FB、亚马逊和阿里等等大型云服务公司决定另辟蹊径,从操作系统级别的软件冗余来解决系统X个9的可靠性问题,这样一台服务器出错,直接整台offline,而不是CPU或者内存的更换。于此同时另外2到3台服务器还在持续提供服务,服务不会中断。

但是大型关键部门如银行电信等,还在借助传统的RAS来保证系统的可靠性。

DABAN RP主题是一个优秀的主题,极致后台体验,无插件,集成会员系统
网站模板库 » Linux服务器被黑如何查?

0条评论

发表评论

提供最优质的资源集合

立即查看 了解详情