Linux服务器被黑如何查？

linux系统的服务器被入侵，总结了以下的基本方法，供不大懂linux服务器网理人员参考考学习。\x0d\首先先用iptraf查下，如果没装的运行yum install iptraf装下，看里面是不是UDP包发的很多，如果是，基本都被人装了后门\x0d\1 检查帐户\x0d\# less /etc/passwd\x0d\# grep :0: /etc/passwd（检查是否产生了新用户，和UID、GID是0的用户）\x0d\# ls -l /etc/passwd（查看文件修改日期）\x0d\# awk -F: ‘$3= =0 {print $1}’ /etc/passwd（查看是否存在特权用户）\x0d\# awk -F: ‘length($2)= =0 {print $1}’ /etc/shadow（查看是否存在空口令帐户）\x0d\ \x0d\2 检查日志\x0d\# last（查看正常情况下登录到本机的所有用户的历史记录）\x0d\注意”entered promiscuous mode”\x0d\注意错误信息\x0d\注 意Remote Procedure Call (rpc) programs with a log entry that includes a large number (> 20) strange characters(-^PM-^PM-^PM-^PM-^PM-^PM-^PM-^PM)\x0d\ \x0d\3 检查进程\x0d\# ps -aux（注意UID是0的）\x0d\# lsof -p pid（察看该进程所打开端口和文件）\x0d\# cat /etc/inetdconf | grep -v “^#”（检查守护进程）\x0d\检查隐藏进程\x0d\# ps -ef|awk ‘{print }’|sort -n|uniq >1\x0d\# ls /porc |sort -n|uniq >2\x0d\# diff 1 2\x0d\ \x0d\4 检查文件\x0d\# find / -uid 0 _perm -4000 _print\x0d\# find / -size +10000k _print\x0d\# find / -name “” _print\x0d\# find / -name “ ” _print\x0d\# find / -name “ ” _print\x0d\# find / -name ” ” _print\x0d\注意SUID文件，可疑大于10M和空格文件\x0d\# find / -name core -exec ls -l {} ;（检查系统中的core文件）\x0d\检查系统文件完整性\x0d\# rpm _qf /bin/ls\x0d\# rpm -qf /bin/login\x0d\# md5sum _b 文件名\x0d\# md5sum _t 文件名\x0d\ \x0d\5 检查RPM\x0d\# rpm _Va\x0d\输出格式：\x0d\S _ File size differs\x0d\M _ Mode differs (permissions)\x0d\5 _ MD5 sum differs\x0d\D _ Device number mismatch\x0d\L _ readLink path mismatch\x0d\U _ user ownership differs\x0d\G _ group ownership differs\x0d\T _ modification time differs\x0d\注意相关的 /sbin, /bin, /usr/sbin, and /usr/bin\x0d\ \x0d\6 检查网络\x0d\# ip link | grep PROMISC（正常网卡不该在promisc模式，可能存在sniffer）\x0d\# lsof _i\x0d\# netstat _nap（察看不正常打开的TCP/UDP端口)\x0d\# arp _a\x0d\ \x0d\7 检查计划任务\x0d\注意root和UID是0的schedule\x0d\# crontab _u root _l\x0d\# cat /etc/crontab\x0d\# ls /etc/cron\x0d\ \x0d\8 检查后门\x0d\# cat /etc/crontab\x0d\# ls /var/spool/cron/\x0d\# cat /etc/rcd/rclocal\x0d\# ls /etc/rcd\x0d\# ls /etc/rc3d\x0d\# find / -type f -perm 4000\x0d\ \x0d\9 检查内核模块\x0d\# lsmod\x0d\ \x0d\10 检查系统服务\x0d\# chkconfig\x0d\# rpcinfo -p（查看RPC服务）\x0d\ \x0d\11 检查rootkit\x0d\# rkhunter -c\x0d\# chkrootkit -q

好，技巧第一招，

修改你登录游戏的名字，比如op名字叫做SB，那你把名字改成sb，然后进入游戏，你会发现你没注册，并且你是op！

如果服务器有npcmod，你去下载对应版本的背包编辑器，调出npc魔杖，通过一些方法可以给自己op

把自己技术练一练，装的什么都懂，开小号去聘op。。。

关键业务服务器对可靠性要求非常严格，调研机构曾调查过不同行业，关键业务中断服务带来的金钱损失：服务器宕机1分钟，平均会使运输业损失15万美元，银行业损失27万美元，通信业损失35万美元，制造业损失42万美元，证券业损失45万美元。而根据ITIC最新2018年底统计，1小时停机损失：

前些年关键业务服务器的金标准是要做到5个9，现在已经要求6个9，甚至7个9。他们是什么意思呢？

X个9，表示在1年时间的使用过程中，服务器可以正常使用时间与总时间（1年）的比值。

5个9：(1-99999%)3652460=526分钟，表示1年非计划停机时间不超过526分钟。

6个9：(1-999999%)365246060=315秒，表示1年非计划停机时间不超过30秒。

7个9：(1-9999999%)365246060=315秒，表示1年非计划停机时间不超过3秒。

ITIC统计2018年80%的企业最低要求4个9，可靠性要求增长非常迅速：

服务器能够做到这么短的非计划停机时间，除了在操作系统上要求严格外，硬件上的保证是重中之重。服务器的RAS(Reliability， Availability，Serviceability 高可靠性、高可用性、高服务性)特性（feature）曾经是大型机的骄傲，也是它们高高在上身价的基础，但随着X86在RAS功能上的补足，服务器市场已经几乎被X86服务器占据。关键业务服务器由于 历史 和维护原因，还有部分市场份额不在X86的掌控之中，但非X86高可靠性的神话已经破灭。根据ITIC统计：

X86服务器不但占据绝大部分，而且可靠性也仅仅比Power 服务器低一点点。

那么这些RAS功能都是些什么呢？绝对不是焚香祷告哦

而是实打实的硬功夫！RAS的根本在于提供硬件冗余来避免错误；出错后及时发现、纠正和避免错误扩散；替换掉出错的设备等等。下面我们来分别了解一下。

对计算机比较了解的同学都知道磁盘的RAID模式，RAID提供了数据冗余来保证数据安全。当然RAID是服务器上的必备要求，但你知道吗，内存也有同样的模式，那就是内存镜像（Memory Mirror）。内存镜像将4个通道的内存成对存储相同的数据，类似磁盘的RAID 1，内存的数据在硬件上就被保存了两份，当一份损坏时还有备份，而更妙的是这些是对软件透明的。

这个冗余度和RAID1一样是很大的，一半的资源在大部分情况下闲置了，在提高可靠性的同时浪费也十分严重，有没有稍微省钱点的做法呢？当然有，那就是内存备用(Memory Sparing)，简单来说就是保留了部分内存，当出错再把这些内存拿来顶上。它的颗粒度可以到DIMM甚至以Rank为单位。

大家知道1位奇偶校验码可以发现1位的错误，但不能纠正，对于2位以上连发现都发现不了。ECC好一些，但对于很多位错误就无能为力了。SDDC （Single Device Data Correction,单设备数据校正 ）可以纠正X4的单设备错误：

SDDC+1不但可以纠正X4的内存错误，还可以把出错的颗粒替换掉，让它下次不再出错：

DDDC（Double Device Data Correction ）可以和Lockstep一起，将两个DIMM拼拼，纠正两个X4颗粒的错误：

DDDC+1和ADDDC(Adaptive Double Device Data Correction)这里就不再介绍，有兴趣的可以自行Google。

这些都是内存访问的时候发现错误了如何处理，但是还有些错误可能发生在没有访问的区域，这些区域错误不加处理，积少成多，可能超过DDDC的纠错能力。这就需要Patrol Memory Scrubbing的帮助了。它会像高速巡警一样，借助一个特殊的引擎，帮助定期扫描内存的可能出现的错误。Demand Scrubbing会把发现错误的数据，纠正后写回去，避免错误积累。

我曾经有过两篇文章介绍出错的问题：

计算机硬件出错了会发生什么？​

WHEA原理和架构​

大家感兴趣可以翻翻前面的文章。

作为服务器必备的功能，WHEA会把错误向操作系统报告，操作系统可以选择做出相应的动作。BIOS还可以设置poison位来标定出错的范围。

硬件发生了错误，即使已经通过各种手段（SDDC等）得到纠正，但隐患已经埋下。硬件一旦发生错误，可能会越来越严重，慢慢变得不能够纠正而变成严重错误。为了避免发生这种情况，需要把出错的设备移除和替换。

那么操作系统报告给管理员错误后，该怎么办呢？按照一般的想法就是关机换设备吧。但这种操作是严重影响x个9的可用性数据的。必须在操作系统还在持续提供服务的情况下更换设备、内存甚至CPU！

也许你听说过PCIe设备的热插拔，但内存和CPU的热插拔就比较高冷了。CPU和内存热插拔和PCIe类似，有个attention开关。在按下后，BIOS、操作系统和硬件会合作把设备周边电路隔离、内核对象移除和变更，在完成后会有状态指示灯显示准备工作结束，可以动手移除了。CPU和内存插入和这个相反，但都要BIOS、操作系统和硬件支持，十分复杂，但整个操作下来也十分炫酷。

6个9甚至7个9是个系统工程，需要整体上考虑。除了这些RAS功能之外，服务器硬件如磁盘驱动器等等也与民用不同，十分昂贵。

这些功能整体推高了服务器的价格，Google、FB、亚马逊和阿里等等大型云服务公司决定另辟蹊径，从操作系统级别的软件冗余来解决系统X个9的可靠性问题，这样一台服务器出错，直接整台offline，而不是CPU或者内存的更换。于此同时另外2到3台服务器还在持续提供服务，服务不会中断。

但是大型关键部门如银行电信等，还在借助传统的RAS来保证系统的可靠性。